На данный момент на Rust реализован прямой порт с языка Zig, который включает множество блоков unsafe кода, использует ту же архитектуру, те же структуры данных и прежние внешние библиотеки. Отмечается, что порт на Rust успешно прошёл проверку существующим тестовым набором на всех платформах. Попутно было устранено несколько утечек памяти и сбоев в тестах.

После сборки версии на Rust исполняемый файл получился на 3-8 МБ меньше, чем при сборке версии на Zig. В тестах производительности версия на Rust оказалась либо быстрее, либо на том же уровне. При этом по мнению Джарред самым важным преимуществом варианта на Rust стала возможность отлавливания и предотвращения ошибок при работе с памятью, диагностика которых последние годы отнимала у разработчиков Bun уйму времени.

В качестве причины переписывания на Rust ранее отмечалось желание устранить проблемы в Bun, вызванные утечками памяти, наличие разногласий с авторами Zig в плане применения AI для написания кода и неприемлемая для крупных проектов политика Zig в отношении принятия в язык изменений, нарушающих совместимость.

JavaScript-платформа Bun развивается как высокопроизводительный аналог платформ Node.js и Deno. Проект разрабатывается с оглядкой на обеспечение совместимости с серверными приложениями для Node.js и поддерживает большую часть API Node.js. В состав платформы входит набор инструментов для создания и выполнения приложений на языках JavaScript и TypeScript, а также runtime для выполнения JavaScript-приложений без браузера, пакетный менеджер (совместимый с NPM), инструментарий для выполнения тестов, система сборки самодостаточных пакетов и прослойка для встраивания обработчиков, написанных на языке Си. По производительности Bun заметно обгоняет Deno и Node.js (в тестах на базе фреймворка React платформа Bun в 2 раза опережает Deno и почти в 5 раз Node.js). Для выполнения JavaScript задействован JavaScript-движок JavaScriptCore и компоненты проекта WebKit с дополнительными патчами.

1. Главная ссылка к новости
2. OpenNews: Автор платформы Bun проводит эксперимент по переписыванию с Zig на Rust
3. OpenNews: Опубликована платформа Node.js 26.0.0
4. OpenNews: Доступна платформа Deno 2.0, развиваемая автором Node.js
5. OpenNews: Доступна серверная JavaScript-платформа Bun 1.0, более быстрая, чем Deno и Node.js
6. OpenNews: В JavaScript-платформе Bun добавлена поддержка вызова кода на языке Си

Образы контейнеров публикуются для архитектур amd64 и arm64. В настоящее время в каталоге предложено 49 вариантов контейнеров (c учётом редакций FIPS и multi-arch - 157), позволяющих развернуть рабочие окружения с Python, Go, Node.js, Rust, Ruby, OpenJDK, .NET, PostgreSQL, nginx и другими открытыми проектами. Образы формируются в соответствии с принципом "Distroless", т.е. не включают пакетный менеджер и программный интерпретатор (shell), а содержат только целевое приложения и необходимые для его работы компоненты.

95% пакетов, задействованных в образах контейнеров Hummingbird, собираются из репозитория Fedora Rawhide, а остальные 5% загружаются и собираются напрямую из репозиториев основных проектов (upstream). В эти 5% входят приложения, отсутствующие в Rawhide или имеющие в Rawhide не самые свежие выпуски. Для формирования Hummingbird независимо от Fedora раздельно сопровождаются собственные RPM-пакеты, собираемые в отдельной инфраструктуре из штатных SPEC-файлов Fedora, что позволяет при необходимости добавлять в них специфичные для проекта оптимизации и модификации.

Предоставляемые сборки совместимы с образами из Docker Hub, Red Hat UBI и других реестров, что упрощает миграцию на Hummingbird уже имеющихся систем. В отличие от проекта CoreOS, предоставляющего минималистичные хостовые сборки для оркестровки контейнеров, Hummingbird нацелен на разработчиков, которым необходимо одновременно использовать разные версии runtime (Python 3.11- 3.14, Go 1.25-1.26, Node.js 20-25 и т.п.) и раздельно поддерживать жизненный цикл каждой версии.

В отличие от традиционных контейнеров, большинство вариантов Hummingbird работают по умолчанию под непривилегированным пользователем без прав root. Контейнеры поддерживают воспроизводимую сборку и могут быть пересобраны пользователем из предоставляемого исходного кода, чтобы убедиться что свои и распространяемые проектом готовые образы полностью совпадают. Для упрощения проверки отдельно поставляются source-контейнеры со всем необходимым кодом и исходными RPM-пакетами. Для обеспечения безопасности содержимое контейнеров собирается в изолированном окружении, не имеющем доступа к сети.

Помимо контейнеров для запуска конечных приложений проектом развивается загрузочный хостовый образ bootc-os, построенный с использованием технологии загрузочных контейнеров и пригодный для установки на диск. Системный образ комбинирует компоненты Hummingbird, пакеты c ядром Linux от проекта CKI (Continuous Kernel Integration), загрузчик и системные сервисы из Fedora. Вся система оформляется в виде контейнера OCI. Обновление bootc-os осуществляется автоматически при каждой перезагрузке. Для запуска контейнеров из окружения bootc-os задействованы инструментарии Podman и Skopeo.

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива Fedora Linux 44
3. OpenNews: Релиз дистрибутива Vanilla OS 2, использующего контейнеры и атомарные обновления
4. OpenNews: Представлено семейство атомарно обновляемых дистрибутивов Fedora Atomic Desktops
5. OpenNews: Опубликован Bottlerocket 1.15, дистрибутив на базе изолированных контейнеров
6. OpenNews: Компания Canonical опубликовала монолитный дистрибутив Ubuntu Core 24

Главное нововведение в релизе - возможность обновлять карты независимо от самого приложения, используя новую кнопку "Проверить обновления" на экране загрузки карт. Исторически версии карт и приложения были тесно связаны - для получения доступа к новым картам сначала требовалось обновить само приложение. Это упрощало обеспечение совместимости, но требовало постоянных обновлений приложения и порой длительного ожидания одобрения каждого релиза магазинами приложений - каждый день ожидания делал карты менее актуальными. Теперь свежие карты планируется выпускать каждую неделю и актуальность на момент выпуска будет составлять всего пару дней. В настоящее время для загрузки предложены карты на основе данных OpenStreetMap от 10 мая.

Кроме того, в новой версии при навигации обеспечено отображение только светофоров на маршруте, но более крупными значками. В Android-версии категории поиска теперь отображаются колонками и реализована настройка включения режима инкогнито для системной клавиатуры. В iOS-версии в панель режима навигации добавлена кнопка начала записи трека.

12 мая проекту исполнился год, за который около 100 человек внесли 2500 коммитов в основной репозиторий проекта на Codeberg. Более 270 переводчиков работают над переводами на 80 языкаов (30 из которых уже полностью готовы). Один из основных англоязычных Matrix/Telegram чатов насчитывает более 1200 участников. Есть и чаты на испанском, французском, немецком, турецком и русском языках. Текущие операционные вопросы обычно обсуждаются разработчиками в пространстве CoMaps на платформе Zulip, в котором присутствует около 50 активных участников. Пользовательская база проекта на всех платформах оценена примерно в 250 тысяч человек.

Среди других заметных изменений за год:

• Расширена информация о точках интереса (POI): ссылки на панорамы "Panoramax", показ даты крайней актуализации объекта, наличие натуральных (organic) опций в магазинах и кафе, информация о стоимости услуг, подробная информация о зарядках для электромобилей (тип, мощность, количество разъёмов..) и т.д.
• Построение маршрутов: учёт дополнительного времени на проезд перекрёстков, светофоров и знаков "Стоп"; учёт временных/условных ограничений; опции для избегания ступенек и мощёных дорог (для любителей приключений).
• На карту добавлены около 100 новых разных типов объектов и проведена большая работа по общему улучшению стиля отображения карты, включая стиль "Активный отдых".
• Статьи из Википедии об объектах карты теперь доступны на 17 языках (изначально было 5).
• Проведена работа по обеспечению конфиденциальности и модернизации кода.
• С декабря 2025 года Android-версия CoMaps позволяет использовать сторонние/собственные серверы c картами. Расширена "официальная" сеть серверов, многие из которых предоставлены и поддерживаются членами сообщества.
• Интегрированы различные открытые улучшения из проекта Organic Maps (часть новых возможностей OM основана на проприетарных изменениях кода генератора карт и требует переработки для включения в CoMaps).
• Проведена работа по улучшению встроенного в CoMaps редактора OpenStreetMap, например, добавлена возможность создания объектов, требующих нескольких OSM-тегов, возможность пометки объектов как неиспользумые, упрощённое добавление заметок и т.д. За год встроенным редактором воспользовались более 7500 пользователей CoMaps, внеся почти 90 000 изменений в OpenStreetMap. В том числе вышла пара заметок с идеями о том, как находить и исправлять заметки, созданные в CoMaps и как находить и исправлять ошибки в данных OSM.
• CoMaps был выбран в качестве карт по умолчанию для iodéOS и CalyxOS. * Проект "European & Open Source Alternatives" дал CoMaps оценку доверия в 9,6 баллов из 10 - самый высокий рейтинг среди навигационных приложений. Ресурс Switching Software рекомендовал CoMaps в качестве альтернативы Google Maps. Проект "is it really foss?" подтвердил, что CoMaps является полностью открытым проект без оговорок и подвохов.

Из планов на будущее отмечена интеграция актуальной информации о трафике, улучшения, связанные с общественным транспортом, добавление пользовательских отзывов/рейтинга, создание специализированных стилей карты для различных видов транспорта.

Проект CoMaps был основан бывшими волонтёрами-контрибьюторами Organic Maps, недовольными зависимостью Organic Maps от интересов акционеров коммерческой компании Organic Maps, закрытостью процесса управления, непрозрачностью распределения пожертвований и несоответствием провозглашаемым принципам СПО. Форк развивается в соответствии с принципами открытости, прозрачности и совместной работы. Проект сосредоточен на ведении только некоммерческой деятельности и подотчётности сообществу. Ключевые принципы развития приложения: простой интерфейс пользователя, работа в offline-режиме и легковесность (включая потребление энергии), отсутствие рекламы, идентификации личности и сбора данных.

1. Главная ссылка к новости
2. OpenNews: Релиз картографического приложения CoMaps 2025.12.19 и отчёт о состоянии проекта
3. OpenNews: Первый релиз CoMaps, форка картографического приложения Organic Maps
4. OpenNews: Проект CoMaps начал развитие форка приложения Organic Maps
5. OpenNews: GitHub принудительно перевёл репозитории проекта Organic Maps в архивный режим
6. OpenNews: Независимые участники проекта опубликовали открытое письмо владельцам Organic Maps

Помимо отката нового сборщика мусора в ветке 3.14 решено не использовать его в следующем значительном выпуске 3.15, несколько дней назад перешедшем на стадии бета-тестирования. Напомним, что в ветке 3.14 цикличный сборщик мусора был заменён на инкрементальный, в котором сборка мусора долгоживущих объектов выполняется по частям и реже, чем обработка новых поколений объектов, которые обычно освобождаются чаще, что позволило на порядок снизить максимальное время приостановки выполнения приложений с очень большим числом объектов в памяти.

1. Главная ссылка к новости
2. OpenNews: Динамика изменения кодовой базы проекта Python
3. OpenNews: Прогресс развития JIT в CPython
4. OpenNews: Компания Anthropic выделила 1.5 млн долларов проекту Python
5. OpenNews: CPython может сделать Rust обязательной сборочной зависимостью к версии 3.17
6. OpenNews: Выпуск языка программирования Python 3.14

Отмечено, что выделенные средства помогут вывести основные продукты проекта, такие как среда рабочего стола KDE Plasma и дистрибутив KDE Linux, на новый уровень, который позволит обычным пользователям, компаниям и госучреждениям восстановить свою приватность, безопасность и контроль над цифровым суверенитетом. В 2023 и 2024 годах миллион евро также получил проект GNOME. Фонд STF рассматривает выделение средств ключевым средам рабочего стола, используемым в Linux, как инвестицию в устойчивость и надёжность цифровой инфраструктуры, на которую опирается современное общество.

Организация STF учреждена в Германии для стимулирования развития открытой цифровой инфраструктуры и экосистем с открытым исходным кодом. Фонд создан на средства, предоставленные Министерством экономики и защиты климата Германии, и курируется Федеральным агентством прорывных инноваций SPRIND (Federal Agency for Breakthrough Innovation). Отмечается, что инвестирование в открытое ПО способствует развитию инноваций в Германии и Европе, а также повышает конкурентоспособность, продуктивность и возможность продвижения инноваций в малых и средних предприятиях.

Помимо KDE в этом году финансовую поддержку получили проекты:

• Mastodon (614 тысяч евро),
• libmicrohttpd3 (234 тысячи евро),
• Debian CI (180 тысяч евро),
• PHPStan (210 тысяч евро),
• OSGi (165 тысяч евро),
• Sequoia (225 тысяч евро),
• FFmpeg (280 тысяч евро).

Всего с 2022 года организация STF инвестировала 37.3 млн евро в 108 открытых проектов, среди которых FreeBSD, GNOME, Samba, Rust, Pipewire, Eclipse, OpenStreetMap, Arch Linux и FFmpeg. Помимо уже отмеченных KDE и Mastodon, наибольший объем средств выделен проектам:

• GNOME (миллион евро),
• Rust (826 тысяч евро),
• Samba (688 тысяч евро),
• FreeBSD (686 тысяч евро),
• Arch Linux (562 тысячи евро),
• Servo (545 тысяч евро),
• Eclipse (515 тысяч евро),
• Maven (450 тысяч евро),
• OpenSSL (405 тысяч евро),
• systemd (399 тысяч евро),
• R Project (392 тысячи евро),
• Scala (377 тысяч евро),
• PHP (223 тысячи евро)

1. Главная ссылка к новости
2. OpenNews: Фонд Sovereign профинансирует Scala, Servo, Drupal, PHP, OpenSSL, OpenPrinting, R и systemd
3. OpenNews: Фонд Sovereign инвестировал 562 тысячи евро в модернизацию управления пакетами в Arch Linux
4. OpenNews: Фонд Sovereign инвестирует 688 тысяч евро в развитие проекта Samba
5. OpenNews: Фонд Sovereign инвестирует 686 тысяч евро в обновление инфраструктуры FreeBSD
6. OpenNews: Проект GNOME получил миллион евро на развитие

Уязвимость (CVE-2026-42945), которой присвоен критический уровень опасности, вызвана переполнением буфера в модуле ngx_http_rewrite_module, которое может быть эксплуатировано для выполнения кода с правами рабочего процесса nginx через отправку HTTP-запроса со специально оформленным URI. Проблема проявляется в конфигурациях с директивой "rewrite", в которой в регулярных выражениях используются подстановки масок при помощи неименованных переменных (например, $1 и $2), при условии, что в заменяющей строке имеется символ "?". Пример уязвимой конструкции:

   rewrite ^/users/([0-9]+)/profile/(.*)$ /profile.php?id=$1&tab=$2 last;

Выражения с именованными подстановками уязвимости не подвержены. Например, уязвимость не затрагивает конструкции:

   rewrite ^/users/(?<user_id>[0-9]+)/profile/(?<section>.*)$ /profile.php?id=$user_id&tab=$section last;

Уязвимость присутствует начиная с версии 0.6.27, выпущенной в марте 2008 года. Причиной появления уязвимости стало то, что буфер выделялся с расчётом, что в него будут записаны неэкранированные данные, а фактически копировались данные после выполнения экранирования спецсимволов, размер которых был больше, так как каждый символ "+", "%" и "&" кодировался не одним, а тремя байтами. Подобное рассогласование возникало из-за того, что при наличии в правиле rewrite символа "?" выставлялся флаг "e->is_args", при котором включалось экранирование, но выделение буфера осуществлялось при сброшенном флаге, при котором экранирование не применялось.

Другие уязвимости:

• CVE-2026-42926 - возможность подстановки данных атакующего в проксируемый запрос при использовании в настройках директивы "proxy_set_body" и обращении к бэкенду через HTTP/2 (proxy_http_version=2).
• CVE-2026-40701 - обращение к памяти после её освобождения (use-after-free) в модуле ngx_http_ssl_module, возникающее при обработке ответов от DNS-сервера в конфигурациях с директивой "ssl_ocsp".
• CVE-2026-42946 - чтение из области за пределами буфера в модулях ngx_http_uwsgi_module и ngx_http_scgi_module, возникающее при обработке специально оформленного ответа. Проблема может привести к утечке содержимого памяти рабочего процесса или его аварийному завершению.
• CVE-2026-42934 - чтение из области за пределами буфера в рабочем процессе, возникающее при обработке ответов с декодированием из кодировки UTF-8 при использовании директивы "charset_map". Проблема может привести к утечке содержимого памяти рабочего процесса или его аварийному завершению.
• CVE-2026-40460 - уязвимость в реализации протокола HTTP/3, допускающая спуфинг IP-адреса для обхода авторизации или ограничений.

Улучшения, добавленные в выпуске nginx 1.31.0:

• В состав включён модуль ngx_http_tunnel_module, реализующий возможность работы в виде прокси ("forward proxy"), перенаправляющего запросы на другой сервер при обращении клиента при помощи метода HTTP/1.1 CONNECT. Возможна настройка аутентификации обращения к прокси, используя директивы "auth_basic", "satisfy" и "auth_delay".
• В блок "upstream" добавлена директива "least_time", включающая метод балансировки нагрузки с передачей запроса серверу с наименьшими средним временем ответа и наименьшим числом активных соединений.
• В модуль "stream_proxy" добавлена директива "proxy_ssl_alpn" для задания списка протоколов, допустимых в расширении ALPN при подключении к проксируемому серверу. Например: "proxy_ssl_alpn h2 http/1.1".
• Обеспечено отклонение запросов по протоколам HTTP/2 и HTTP/3, включающим заголовки "Connection", "Proxy-Connection", "Keep-Alive", "Transfer-Encoding", "Upgrade".
• В модуле ngx_http_dav_module обеспечено отклонение запросов COPY и MOVE с повторяющимися исходным и целевым ресурсом или вложенными коллекциями.
• Уровень логгирования ошибок SSL "invalid alert", "record layer failure" и "SSL alert number N" понижен с "crit" до "info".
• В скрипт configure добавлен параметр "--without-http_upstream_sticky_module" для отключения сборки модуля http_upstream_sticky_module (параметр "--without-http_upstream_sticky" объявлен устаревшим).

1. Главная ссылка к новости
2. OpenNews: В Apache httpd 2.4.67 устранена уязвимость в HTTP/2, не исключающая удалённое выполнение кода
3. OpenNews: Вышел nginx 1.4.1 с устранением уязвимости, приводящей к удалённому выполнению кода
4. OpenNews: Атаки, меняющие настройки nginx для перенаправления трафика
5. OpenNews: Обновления nginx 1.29.7 и 1.28.3 с устранением 6 уязвимостей
6. OpenNews: Выпуск nginx 1.30.0 и форка FreeNginx 1.30.0

Уязвимость проявляется в ядрах Linux, выпущенных после 5 мая, из-за случайной активации исправлением уязвимости Dirty Frag. Для устранения уязвимости Fragnesia для ядра Linux было предложено исправление. Анализ данного исправления показал, что его недостаточно, после чего был подготовлен второй вариант патча.

Уязвимость присутствует в подсистеме xfrm в реализации механизма инкапсуляции протокола ESP (Encapsulating Security Payload) в TCP (ESP-in-TCP, RFC 8229), применяемой для туннелирования трафика IPsec поверх TCP. Для исключений лишней буферизации операции с использованием алгоритма AES-GCM выполнялись по месту через выполнение операции XOR к данным в страничном кэше. Из-за логической ошибки возникали условия, позволяющие перезаписать 1 байт в страничном кэше по выбранному смещению. Повторяя операции можно байт за байтом изменить содержимое любого файла в страничном кэше.

Все операции чтения из файлов в первую очередь отдают содержимое из страничного кэша. В случае модификации данных в страничном кэше операции чтения из файла приведут к возвращению не реально хранимой на накопителе информации, а подменённых данных. Эксплуатация уязвимости сводится к изменению страничного кэша для исполняемого файла с флагом suid root, предварительного прочитанного для попадания в страничный кэш. В предложенном исследователями эксплоите первые 192 байт файла /usr/bin/su в страничном кэше перезаписываются кодом для запуска /usr/bin/sh. Последующий запуск утилиты "su" приводит к тому, что в память будет загружен не оригинальный исполняемый файл с накопителя, а изменённая копия из страничного кэша.

Для эксплуатации уязвимости Fragnesia в системе должно быть разрешено создание пространств имён идентификаторов пользователей (user namespace). В Ubuntu подобная операция по умолчанию запрещена, но может быть разрешена через sysctl "kernel.apparmor_restrict_unprivileged_userns=0" или профили AppArmor. В остальных дистрибутивах доступность "user namespace" непривилегированным пользователям зависит от выставления sysctl "kernel.unprivileged_userns_clone" (если 0, то запрещено).

Обновления с исправлениями для ядра Linux и пакетов с ядром в дистрибутивах пока не опубликованы. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora. В качестве обходного пути защиты можно заблокировать загрузку модулей ядра esp4 и esp6:

   sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 2>/dev/null; true"

1. Главная ссылка к новости
2. OpenNews: Уязвимости Dirty Frag, изменяющие страничный кэш для получения root в любых дистрибутивах Linux
3. OpenNews: Copy Fail - уязвимость в ядре Linux, позволяющая получить root в большинстве дистрибутивов
4. OpenNews: Атака по определению состояния памяти процессов при помощи страничного кэша
5. OpenNews: Уязвимость в ядре Linux, позволяющая исказить файлы, доступные только для чтения
6. OpenNews: В ядре Linux выявлен новый вариант уязвимости Dirty COW

Проблема вызвана обращением к уже освобождённой памяти (use-after-free) в бэкенде к GnuTLS и может быть эксплуатирована при обращении к серверам, поддерживающим расширение "ESMTP CHUNKING" и команду BDAT для передачи порциями тела письма вместо передачи неделимым блоком при помощи команды DATA. Повреждение содержимого памяти процесса возникает при инициировании клиентом преждевременного завершения сеанса TLS при помощи команды close_notify во время передачи тела сообщения через BDAT и отправки следом в том же TCP-соединении одного байта без шифрования в открытом виде.

Получив команду close_notify в бекенде GnuTLS вызывается функция прерывания TLS-сеанса, которая освобождает связанные с сеансом буферы. Из-за ошибки в коде бэкенда, несмотря на освобождение TLS-буфера обработчик BDAT продолжает читать данные из потока и вызывает функцию ungetc(), что при отправке следом незашифрованных данных приводит к записи одного байта в уже освобождённый буфер. Данный байт повреждает метаданные аллокатора памяти в куче (heap), что было использовано для проведения экспериментов по созданию эксплоита, выполняющего произвольный код на сервере.

Вначале исследователи сгенерировали частично работающий эксплоит через AI, который позволил добиться выполнения кода, но был работоспособен только в тепличных условиях, на системах с отключённой защитой ASLR и PIE, и определённой версией библиотеки libc. Далее была предпринята попытка создания эксплоита при участии человека, в которой часть трудностей удалось преодолеть и добиться утечки адреса стека, но до запланированной даты раскрытия информации об уязвимости эксплоит не был доведён до конца. По мнению выявивших уязвимость исследователей AI-ассистенты ещё не способны создавать эксплоиты для сложных продуктов, но надеются, что в будущем другие исследователи смогут довести их работу до конца и написать полноценно работающий эксплоит.

Из крупных дистрибутивов версии Exim 4.97+ используются в Debian 13, Ubuntu 24.04+, SUSE/openSUSE, Arch Linux, Alpine Linux 3.19+, ALT Linux p11, ROSA, Gentoo, OpenWRT, Fedora, EPEL (exim не входит в штатный репозиторий RHEL) и FreeBSD. Сборка Exim с GnuTLS применяется по умолчанию в Debian и Ubuntu, в других дистрибутивах требует уточнения. В качестве обходного пути блокирования уязвимости можно отключить расширение CHUNKING при помощи настройки chunking_advertise_hosts в файле конфигурации.

1. Главная ссылка к новости
2. OpenNews: Обновление почтового сервера Exim 4.99.2 с устранением 4 уязвимостей
3. OpenNews: Раскрыты подробности критической уязвимости в Exim
4. OpenNews: Опубликован Exim 4.92.3 с устранением четвёртой за год критической уязвимости
5. OpenNews: Три критические уязвимости в Exim, позволяющие удалённо выполнить код на сервере
6. OpenNews: Обновление Exim 4.94.2 с устранением 10 удалённо эксплуатируемых уязвимостей

Уязвимость выявлена сотрудниками AMD, детали эксплуатации пока не приводятся. Заявлено, что проблема вызвана некорректной изоляцией совместно используемых ресурсов при выполнении операций с кэшем объектных кодов CPU. Через повреждение элементов в кэше атакующий может добиться изменения инструкций, выполняемых на другом уровне привилегий.

Уязвимость проявляется только в процессорах AMD на базе микроархитектуры Zen2 (Fam17h). Проблема затрагивает гипервизор Xen и может использоваться для обхода изоляции. Для веток Xen c 4.17 по 4.21 опубликованы патчи. Исправление для блокирования уязвимости также передано для включения в состав ядра Linux.

В десктопных и мобильных сериях CPU AMD Ryzen 3000, 4000, 5000, 7020, 7030 и Threadripper PRO 3000 WX уязвимость устранена осенью прошлого года. Во встраиваемых CPU AMD Ryzen Embedded V2000 уязвимость устранена в конце декабря. В процессорах серии AMD EPYC 7002 проблема остаётся неисправленной и её предлагается блокировать на уровне операционной системы.

1. Главная ссылка к новости
2. OpenNews: CPU AMD Zen 5 подвержены уязвимости, допускающей изменение микрокода и обход изоляции SEV-SNP
3. OpenNews: Уязвимости в CPU AMD, позволяющие выполнить код на уровне SMM
4. OpenNews: Уязвимость в загрузчике микрокода в CPU AMD, позволяющая обойти изоляцию SEV-SNP
5. OpenNews: Sinkclose - уязвимость в CPU AMD, позволяющая получить доступ к SMM
6. OpenNews: Уязвимость в CPU AMD, позволяющая обойти механизм защиты SEV (Secure Encrypted Virtualization)

Подключение смартфона может быть произведено через USB или TCP/IP. На смартфоне запускается серверное приложение, которое взаимодействует с внешней системой через туннель, организуемый при помощи утилиты adb. Наличие root-доступа к устройству не требуется. Серверное приложение генерирует видеопоток (на выбор H.264, H.265 или AV1) с содержимым экрана смартфона, а клиент декодирует и отображает видео. Клавиатурный ввод и события мыши транслируются на сервер и подставляются в систему ввода Android.

Основные возможности:

• Высокая производительность (30~120fps).
• Поддержка экранных разрешений 1920×1080 и выше.
• Низкие задержки (35~70мс).
• Высокая скорость запуска (около секунды до вывода первых изображений экрана).
• Трансляция звука.
• Возможность записи звука и видео.
• Поддержка зеркалирования при выключенном/заблокированном экране смартфона.
• Буфер обмена с возможностью копирования и вставки информации между компьютером и смартфоном.
• Настраиваемое качество трансляции экрана.
• Поддержка использования Android-смартфона в качестве web-камеры (V4L2).
• Симуляция физически подключённых клавиатуры и мыши.
• Поддержка геймпадов.
• Возможность использования виртуального экрана.
• Режим OTG.

В новой версии:

• Переход с библиотеки SDL2 на ветку SDL3.
• Добавлена опция "--flex-display" ("-x"), включающая режим работы с виртуальным экраном, допускающий произвольное изменение его размера во время работы.
• Предоставлены комбинации клавиш и опции командной строки для динамического управления камерой и фонариком: MOD+t/MOD+Shift+t ("--camera-torch") - включение/выключение фонарика, MOD+↑/MOD+↓ ("--camera-zoom") - изменение масштаба.
• Обеспечено сохранение соотношения сторон окна при изменении его размера. Для восстановления старого поведения (показ чёрных рамок) предложена опция "--no-window-aspect-ratio-lock".
• Добавлена опция "--keep-active" для предотвращения отключения устройства после истечения таймаута неактивности.
• Цвет фона по умолчанию заменён с чёрного на серый. Для изменения фона можно использовать опцию "--background-color".
• Обеспечен вывод пиктограммы разрыва соединения, которая показывается в течение двух секунд до закрытия окна после потери связи с устройством, чтобы у пользователя не создавалось впечатление об аварийном завершении scrcpy.
• Налажена поддержка устройств Meta Quest с новой прошивкой (после обновления прошивки при зеркалировании наблюдалось мерцание).
• Устранена ошибка, приводившая к большой нагрузке на CPU при воспроизведении тишины во время проигрывания звука в формате OPUS.
• Добавлены новые горячие клавиши: F11 для перехода в полноэкранный режим и MOD+q для выхода.

1. Главная ссылка к новости
2. OpenNews: Доступна операционная система Capyloon, основанная на наработках Firefox OS
3. OpenNews: Релиз мультимедийной библиотеки SDL 3.4.0
4. OpenNews: Доступна мобильная платформа KDE Plasma Mobile 6.5
5. OpenNews: Marathon OS - мобильная ОС в стиле BlackBerry 10 на базе Linux, Qt и Wayland
6. OpenNews: Проект postmarketOS представил Duranium, атомарно обновляемую редакцию для смартфонов

Интерфейс пользователя основан на реализованном в ветке Android 16 десктоп-режиме для больших экранов, позволяющем одновременно работать с окнами нескольких приложений по аналогии с традиционной средой рабочего стола.

Платформа Googlebook преподносится как переход от традиционных операционных систем к умным системам, в которые тесно интегрированы AI-сервисы. Активация AI-ассистента Gemini осуществляется при помощи умного курсора - достаточно подёргать курсор из стороны в сторону, и курсор перейдёт в режим вывода контекстных подсказок, появляющихся при его наведении на любой интересующий контент на экране. Например, после наведения курсора на дату в письме AI-ассистент предложит назначить встречу, а при выборе курсором нескольких изображений можно сгенерировать новое изображение на их основе. Подобным образом также можно сравнивать контент и задавать AI-ассистенту вопросы о содержимом.

При помощи AI также осуществляется создание пользовательских виджетов - достаточно нажать кнопку создания виджета и естественным языком описать, что хочется получить. Для создания персонализированных виджетов, AI-ассистент Gemini может выполнить поиск в интернете и подключиться к приложениям Google, таким как Gmail и Calendar.

Поддерживается бесшовное взаимодействие со смартфонами на базе платформы Android и предоставляется возможность устанавливать созданные для Android приложения из каталога Google Play. Из интерфейса Googlebook также можно запускать приложения, установленные на связанном смартфоне, не доставая смартфон и не переустанавливая их на ноутбуке.

Для работы с файлами имеется полноценный файловый менеджер, через который можно не только осуществлять навигацию по файловой системе ноутбука, но и обращаться к содержимому смартфона и быстро переносить, просматривать и искать файлы на разных Android-устройствах пользователя.

В платформе задействованы перенесённые из Chrome OS интерфейс запуска приложений (Launcher), файловый менеджер, а также отдельные системные сервисы, приложения, элементы прошивки, фоновые процессы и библиотеки. Ядро Linux, GKI-модули (Generic Kernel Image), компоненты взаимодействия с оборудованием (HAL), Android Runtime, Android API, системные фоновые процессы, библиотеки и другие компоненты задействованы из Android.

1. Главная ссылка к новости
2. OpenNews: Google подтвердил грядущее слияние Android и Chrome OS
3. OpenNews: Планы по слиянию Chrome OS и Android в одну платформу
4. OpenNews: Google намерен перевести Chrome OS на платформу Android
5. OpenNews: Google переводит ChromeOS на компоненты платформы Android
6. OpenNews: Поставка ОС Aluminium намечена на 2028 год. Поддержка ChromeOS сохранится до 2034 года

Доступ к публикации релизов был получен из-за неверной настройки pull_request_target "Pwn Request" в GitHub Actions (указание маски в настройках привело к запуску pull_request_target для pull-запросов в сторонние форки), отравления кэша GitHub Actions через форк и возможности извлечения OIDC-токена из памяти запущенного runner-процесса (Runner.Worker) через чтение содержимого /proc/<pid>/mem.

NPM-пакеты с вредоносными изменениями были опубликованы 11 мая с 22:20 до 22:26 (MSK), замечены через 20 минут и блокированы спустя полтора часа. Для каждого из поражённых NPM-пакетов были выпущены по две вредоносные версии, в которые был интегрирован код для активации червя mini-shai-hulud, выполняющего поиск токенов и учётных данных в текущем окружении. В случае обнаружения токена подключения к каталогу NPM червь автоматически публиковал новые вредоносные релизы для разрабатываемых в текущем окружении пакетов, поражая дерево зависимостей. Таким способом было поражено более 400 NPM-пакетов, использующих пакеты TanStack в числе зависимостей.

Червь размещался в файле router_init.js и активировался при установке поражённого пакета вручную разработчиком или автоматизированно в окружении непрерывной интеграции при помощи команд "npm install", "pnpm install" или "yarn install". После активации червь выполнял поиск в системе токенов к NPM (~/.npmrc), AWS, GCP, Azure, HashiCorp и KubernetesK8s, а также закрытых ключей SSH. Найденные данные отправлялись злоумышленникам через децентрализованный P2P-мессенджер getsession.org.

В черве было предусмотрено совершение деструктивных действий в случае отзыва перехваченного NPM-токена - в системе настраивался периодический запуск скрипта ~/.local/bin/gh-token-monitor.sh, который каждые 60 секунд проверял активность токена через обращение к api.github.com/user и в случае отзыва токена выполнял команду "rm -rf ~/".

1. Главная ссылка к новости
2. OpenNews: Анализ конфиденциальных данных, захваченных червём Shai-Hulud 2
3. OpenNews: При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакетов
4. OpenNews: Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в неделю
5. OpenNews: Утечка кода инструментария Claude Code из-за забытого в NPM-пакете map-файла
6. OpenNews: Раскрыты подробности захвата учётных данных сопровождающего NPM-пакет axios

Выявленные проблемы:

• CVE-2026-4892 - переполнение буфера в реализации DHCPv6, позволяющее атакующему, имеющему доступ к локальной сети, выполнить код с правами root через отправку специально оформленного пакета DHCPv6. Переполнение вызвано тем, что при записи DHCPv6 CLID в буфер не учитывалось то, что в пакете данные сохраняются в шестнадцатеричном представлении, в котором используется три байта "%xx" на каждый фактический байт CLID (например, сохранение 1000-байтового CLID приведёт к записи 3000 байт).
• CVE-2026-2291 - переполнение буфера в функции extract_name(), позволяющее атакующему подставить фиктивные записи в кэш DNS и добиться перенаправления домена на другой IP-адрес. Переполнение возникло из-за выделения буфера без учёта экранирования некоторых символов во внутреннем представлении доменного имени в dnsmasq.
• CVE-2026-4893 - утечка информации, позволяющая обойти проверку через отправку специально оформленного DNS-пакета с информацией о подсети клиента (RFC 7871). Уязвимость может использоваться для изменения маршрута DNS-ответа и перенаправления пользователей на домен атакующего. Уязвимость вызвана тем, что в функцию check_source() передавалась длина записи OPT вместо длины пакета, из-за чего функция всегда возвращала успешный результат проверки.
• CVE-2026-4891 - чтение из области вне границы буфера при валидации DNSSEC, приводящее к утечке в ответе данных из памяти процесса при обработке специально оформленного DNS-запроса.
• CVE-2026-4890 - зацикливание при валидации DNSSEC, позволяющее вызвать отказ в обслуживании через отправку специально оформленного DNS-пакета.
• CVE-2026-5172 - чтение из области вне буфера в функции extract_addresses(), приводящее к аварийному завершению при обработке специально оформленных DNS-ответов.

Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch, Fedora, OpenWRT, FreeBSD. Проект Dnsmasq задействован в платформе Android и специализированных дистрибутивах, таких как OpenWrt и DD-WRT, а также в прошивках беспроводных маршрутизаторов многих производителей. В обычных дистрибутивах Dnsmasq может устанавливаться при использовании libvirt для обеспечения работы DNS-сервиса в виртуальных машинах или активироваться в конфигураторе NetworkManager.

1. Главная ссылка к новости
2. OpenNews: Проект Dnsmasq стал обладателем первой премии BlueHats
3. OpenNews: Уязвимости в Dnsmasq, позволяющие подменить содержимое в кэше DNS
4. OpenNews: Уязвимости в Dnsmasq, позволяющие удалённо выполнить код атакующего
5. OpenNews: Уязвимость в uClibc и uClibc-ng, позволяющая подменить данные в кэше DNS
6. OpenNews: Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализаций DNSSEC

При этом Дэниел признал значительное повышение качества работы современных AI-анализаторов кода, которые превосходят традиционные статические анализаторы, умеют выявлять несоответствие кода описанию из комментариев, исследовать проблемы в сторонних зависимостях, учитывать специфику протоколов и предлагать исправления.

Анализ 176 тысяч строк кода Curl при помощи Claude Mythos выявил наличие 5 уязвимостей, которые были помечены в отчёте как "подтверждённые уязвимости". Ручная проверка показала, что только одна из 5 проблем приводит к уязвимости, а 4 проблемы не являются уязвимостями (три проблемы вызваны ложными срабатываниями, а одна представляет собой не связанную с безопасностью ошибку). Найденная уязвимость не связана с работой с памятью, имеет низкий уровень опасности и будет устранена в конце июня в выпуске Curl 8.21.0.

До этого за последние 8-10 месяцев код Curl проверялся при помощи AI-сервисов AISLE, Zeropath и OpenAI Codex Security, что позволило исправить 200-300 ошибок, из которых 12 были уязвимостями. Кроме того, проверки через AI выполнялись независимыми энтузиастами, присылающими отчёты об уязвимостях, выявленных при помощи AI. Всего в этом году в Curl было выявлено около 60 уязвимостей. После этих проверок модель Mythos выявила одну новую незначительную уязвимость и около двадцати мелких ошибок. Ошибки были качественно описаны AI-моделью и найдены практически без ложных срабатываний.

Тем временем, компания OpenAI представила инструментарий Daybreak на базе AI модели GPT-5.5 и AI-агента Codex, предназначенный для поиска уязвимостей, анализа вредоносного кода и разработки исправлений. В качестве опции в Daybreak предложена AI-модель GPT-5.5-Cyber, в которой убраны некоторые ограничения в области создания эксплоитов и проверки безопасности систем. Доступ к модели GPT-5.5-Cyber предоставляется только исследователям безопасности после выборочного одобрения заявок.

1. Главная ссылка к новости
2. OpenNews: Anthropic анонсировал AI-модель Claude Mythos, умеющую создавать рабочие эксплоиты
3. OpenNews: В Ubuntu намечена интеграция AI
4. OpenNews: Проблемы из-за подготовленных AI-инструментами отчётов об уязвимостях
5. OpenNews: В CVE опубликованы отчёты о ложных уязвимостях в curl, PostgreSQL и других проектах
6. OpenNews: LLVM ввёл правила применения AI-инструментов. Curl и Node.js ограничат выплаты за уязвимости из-за AI

Число увольняемых сотрудников не уточняется, но упоминается, что компания намерена уйти из 30% стран, где присутствовали небольшие команды сотрудников и переложить обслуживание клиентов в этих странах на партнёрскую сеть. Также планируют упростить управление в компании и убрать лишние уровни менеджмента для того чтобы руководители были ближе к исполнителям. В процессе реорганизации отделов R&D будет выделено 60 небольших автономных команд, которые будут нести полную ответственность за создаваемый продукт. Внутренние рутинные процессы будут оптимизированы с вовлечением AI-агентов для согласования решений, проверки выполнения работы и координации выполнения задач.

Объявлены три принципа, на основе которых будет формироваться новая система ценностей GitLab: скорость с качеством (работа малых команд короткими циклами с высокой планкой качества), мышление собственника (каждый сотрудник несёт ответственность за результат и ощущает себя владельцем компании) и клиентоориентированность (основное внимание на пользу для клиента). Для стимулирования сотрудников будет введена программа премий, которые будут составлять до 10% от зарплаты и зависеть от достигнутых результатов. Сотрудникам, не согласным с новой политикой компании, предлагается до 18 мая принять решение о добровольном увольнении.

Платформа GitLab будет оптимизирована для трёх режимов работы: разработка человеком, использование человеком AI-агентов и автономная работа AI-агентов. Помимо оплаты по подписке, будет внедрена возможность оплаты по факту потребления ресурсов, израсходованных AI-агентами. Средства непрерывной интеграции и доставки (CI/CD) будут расширены возможностями для координации работы AI-агентов, оценки результатов и проверки соблюдения ими правил.

Инфраструктура и Git будут расширены в плане предоставления API для AI-агентов и оркестровки работы AI-агентов, а также оптимизированы для нагрузок, создаваемых AI-агентами. В ядро платформы будут интегрированы инструменты для контроля и аудита. Планируется задействование единой AI-модели, доступной через API, которую можно будет использовать для написания кода, рецензирования изменений, планирования работы и проверки безопасности.

1. Главная ссылка к новости
2. OpenNews: Уязвимость в GitLab, позволяющая обойти двухфакторную аутентификацию
3. OpenNews: Взлом внутреннего GitLab-сервера Red Hat
4. OpenNews: Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в GitLab
5. OpenNews: GitLab рассматривает возможность продажи бизнеса
6. OpenNews: В Ubuntu намечена интеграция AI