1. Главная ссылка к новости
2. OpenNews: Компания NVIDIA прокомментировала критическое высказывание Линуса Торвальдса
3. OpenNews: Перевод статьи Ричарда Столмана про уход Билла Гейтса из Microsoft
4. OpenNews: Билл Гейтс отметил пользу свободного ПО
5. OpenNews: Билл Гейтс опубликовал код первого продукта Microsoft
6. OpenNews: 25 мифов и шуток о Линусе Торвальдсе

Язык оптимизирован для решения низкоуровневых задач, таких как разработка операционных систем, компиляторов, сетевых приложений и системных утилит, для которых требуется достижение максимальной производительности и полный контроль над выполнением. В языке применяется ручное управление памятью и статическая система типов, при которой каждой переменной явно должен быть присвоен определённый тип.

Для выполнения приложения поставляется минимальный runtime, а для разработки распространяется стандартная библиотека функций, предоставляющая доступ к базовым интерфейсам операционной системы, а также предлагающая функции для работы с типовыми алгоритмами, протоколами и форматами, включая средства для использования регулярных выражений и шифрования. Для разработки графических приложений развивается инструментарий hare-wayland, а также привязки для доступа к возможностям GTK, Vulkan, OpenGL, SDL2 и libui.

В новой версии:

• Расширены возможности буферизированного ввода/вывода. В модуль "memio::" добавлен режим потоков "nonblocking". Предложены опции для настройки поведения при обработке конца файла в bufio::scanner и режимы управления потоками bufio::stream. Добавлены функции os::open_buffered и os::create_buffered.
• В утилите "haredoc" реализована возможность извлечения из README-файлов краткого описания модулей и его отображения при выводе списка модулей.
• Реализована поддержка Unix/POSIX API: io::fsync, io::fdatasync, unix::getrlimit, unix::setrlimit и fcntl (через os::getflags и os::setflags). Для ОС NetBSD портирована поддержка разделяемой памяти.
• В утилиту hare добавлена поддержка встраивания внешних обработчиков, вызываемых при помощи подкоманды "hare tool". Например, при помощи подобного обработчика обеспечена интеграция с инструментом "hare-update".
• В разряд обязательных переведена обработка ошибок в ситуациях нехватки памяти. Добавлен новый примитивный тип "nomem", возвращаемый функциями выделения памяти при невозможности выделить требуемый объём памяти.
• Улучшен API для работы с датами и временем. Расширены возможности работы с часовыми поясами и добавлена поддержка правил PETZ (POSIX Extending TZ). Многие функции перенесены из модуля time::chrono в time::date.
• Добавлена поддержка семантических аннотаций кода, позволяющий прикрепить к коду дополнительные метаданные, которые игнорируются компилятором, но могут учитываться лексическим анализатором в стандартной библиотеке.

  
     #[json::gen]
     export type player = struct {
  	name: str,
  	#[json::field(name = "X", omit_null=true)]
  	x: *f64,
  	#[json::field(name = "Y", omit_null=true)]
  	y: *f64,
     };
  

• Добавлена утилита hare-update для упрощения миграции кода на новые версии инструментария Hare, содержащие изменения, нарушающие обратную совместимость. Например, утилита может использоваться для адаптации существующего кода к применению обязательной обработки ошибок выделения памяти, появившейся в текущем выпуске.

1. Главная ссылка к новости
2. OpenNews: Выпуск языка программирования Hare 0.24.2
3. OpenNews: Первый тестовый выпуск языка программирования Hare
4. OpenNews: В языке системного программирования Hare реализована поддержка OpenBSD
5. OpenNews: Автор оболочки Sway и языка Hare развивает новое микроядро Helios и OC Ares
6. OpenNews: Дрю ДеВолт представил язык системного программирования Hare

Время прекращения поддержки сеанса X11 зависит от того, как быстро разработчики смогут решить проблемы, специфичные для сеанса на базе Wayland, такие как ограничения в сохранении и восстановлении позиции окон Wayland-приложений, недоработки в поддержке графических планшетов, невозможность использования глобального меню в приложениях, не на базе Qt. Предполагается, что ко времени прекращения поддержки сеанса X11, сеанс Walyand будет содержать все ранее доступные возможности и даже самые требовательные пользователи X11 не должны заметить потери функциональности.

В настоящее время сеанс X11 продолжает сопровождаться. Сопровождение подразумевает тестирование компиляции компонентов KDE с поддержкой X11 и исправление специфичных для X11 важных ошибок и регрессий. Устранение некритичных ошибок и реализация новой функциональности, связанной с X11, будет производиться только если появится спонсор, готовый оплатить эту работу. При этом ситуация не так плоха, как может показаться - большинство исправляемых проблем и развиваемых новых функций не привязаны к какой-то платформе - лишь 0.76% открытых отчётов об ошибках связаны с X11.

Среди причин грядущего прекращения поддержки X11 упоминается общая стагнация разработки X-сервера и желание не распылять ограниченные ресурсы разработчиков на параллельную поддержку двух дисплейных систем и типов сеансов. X11 устарел и Wayland лучше подходит для современного оборудования. В частности, в текущем виде X11 не может удовлетворить современные потребности, касающиеся многомониторных конфигураций, экранов с высокой плотностью пикселей, HDR, VRR (адаптивное изменение частоты обновления монитора), одновременной работы с несколькими GPU, устойчивости к сбоям, обработки ввода и обеспечения безопасности.

По имеющейся статистике 73% пользователей KDE Plasma 6 и 60% всех пользователей KDE (включая KDE 5), активировавших отправку телеметрии, применяют сеанс на базе Walyand. Интересно, что по статистике, полученной месяц назад, 82% пользователей KDE Plasma 6 применяли Walyand, т.е. доля пользователей Wayland за месяц уменьшилась до 73%. Подобный спад объясняется выходом платформы SteamOS 3.7, в которой осуществлён переход на KDE Plasma 6 с сеансом X11 по умолчанию. Wayland-сеанс на базе KDE по умолчанию предлагают дистрибутивы Arch, Fedora, Manjaro, KDE neon и Kubuntu.

1. Главная ссылка к новости
2. OpenNews: Разделение кода kwin_x11 и kwin_wayland. Прекращение поддержки X11 в KDE 7
3. OpenNews: Сеанс KDE на базе X11 остался почти без тестирования. Начало разработки KDE 6.4
4. OpenNews: В Fedora 40 утверждено прекращение поддержки сеанса KDE на базе X11
5. OpenNews: В GDM по умолчанию отключён сеанс X11. В Fedora 43 в GNOME будет поддерживаться только Wayland
6. OpenNews: Ubuntu прекращает поддержку сеанса X11 в GNOME

Форк создал Энрико Вайгельт (Enrico Weigelt), занимающий первое место по числу подготовленных для X-сервера изменений - до создания форка от Энрико в X.Org Server было принято около 1600 изменений и ещё более 1200 изменений включено в кодовую базу форка. Энрико также является мэйнтейнером драйверов AMD FCH GPIO и VIRTIO GPIO в ядре Linux, и мэйнтейнером Xnest. Энрико приглашает присоединиться к работе над XLibre всех желающих, готовых внести свой вклад в разработку и заинтересованных в продвижении X11, независимо от страны, расы, пола, возраста, политических убеждений и личных особенностей. С момента основания форка к разработке уже подключилось более 10 участников, предоставивших несколько десятков изменений.

Причиной создания форка стало несогласие с политикой сопровождающих X.Org, ведущей к стагнации разработки, в то время как Энрико выступал за активное продолжение развития и проведения большой чистки X-сервера. Недовольство сопровождающих в отношении Энрико, которое привело к прекращению приёма от него изменений, вызвано тем, что некоторые связанные с проведением чистки изменения приводили к проблемам, регрессиям, нарушению ABI и сбоям при сборке. Кроме того, Энрико был склонен к теориям заговора и заявлял, что компания Red Hat намеренно тормозит развитие X-сервера.

В первом выпуске XLibre, помимо значительной чистки кода и избавления проекта от технического долга (более тысячи патчей), предложены следующие новшества:

• Поддержка X11-расширения Xnamespace, обеспечивающего изоляцию клиентов через разделение на уровне пространств имён X11.
• Перевод Xnest на XCB и исключение Xlib из зависимостей.
• Возможность одновременной установки разных версий ABI (для каждого варианта API свой каталог с драйверами) для бесшовного обновления в дистрибутивах.
• Улучшение поддержки платформ, отличных от Linux.
• Устранение накопившихся уязвимостей.

1. Главная ссылка к новости
2. OpenNews: Проект X11Libre создал форк X.Org Server, избавленный от влияния корпораций
3. OpenNews: Разработчики САПР KiCad раскритиковали Wayland и рекомендовали использовать X11
4. OpenNews: Доступен X.Org Server 21.1
5. OpenNews: Обновление X.Org Server 21.1.18 с устранением 6 уязвимостей

В описание проекта libxml2 добавлено примечание, указывающее на то, что библиотека написана энтузиастами, сопровождается одним добровольцем, плохо протестирована, написана на языке небезопасно работающем с памятью, содержит множество уязвимостей и не рекомендована для обработки не заслуживающих доверия данных. Сообщения о проблемах с безопасностью предписано отправлять через штатную публичную систему отслеживания ошибок и они будут обрабатываться как любые другие ошибки. За закрытыми дверями уязвимости больше устраняться не будут и все имеющиеся сведения о проблемах с безопасностью сразу будут публиковаться в открытом доступе, независимо от требований по неразглашению до заданной даты и без откладывания раскрытия информации до релиза.

Предполагается, что переход к обработке уязвимостей как обычных ошибок даст возможность Нику сосредоточиться на основной работе над libxml2, не прерываясь на внеплановые задачи. В текущем виде Нику приходится тратить несколько часов в неделю на обработку сообщений об уязвимостях и подготовку патчей, что создаёт достаточно большую нагрузку с учётом того, что сопровождение осуществляется на голом энтузиазме.

Отмечается, что скрытие сведений об уязвимостях до публикации обновлений и метрики типа OpenSSF Scorecard лишь попытка крупных компаний вызвать у сопровождающих чувство вины и заставить работать бесплатно. Предъявление дополнительных требований к сопровождающим-волонтёрам, работающим без компенсации, названо пагубной практикой.

По словам Ника, библиотека libxml2 не обладает уровнем качества, пригодным для использования в браузерах и операционных системах. Тем не менее, крупные компании, такие как Apple, Google и Microsoft, стали использовать libxml2 в своих операционных системах и продуктах. Подобные действия названы безответственными, а проводимая работа - попытками избавиться от симптомов, а не устранить причину проблем. По мнению Ника для проекта было бы лучше, если упомянутые компании прекратили использование libxml2.

1. Главная ссылка к новости
2. OpenNews: Уязвимости в библиотеке libxml2, потенциально приводящие к выполнению кода
3. OpenNews: Критическая уязвимость в библиотеке Libxml2
4. OpenNews: Линус Торвальдс столкнулся с дилеммой: устранение уязвимости или сохранение совместимости
5. OpenNews: Линус Торвальдс раскритиковал ограничительные меры по усилению защиты ядра Linux
6. OpenNews: Кейс Кук из Google призвал модернизировать процесс работы над ошибками в ядре Linux

WSL предоставляет виртуальную машину с полноценным ядром Linux (на базе ветки 6.6), в которой могут запускаться дистрибутивы Linux. Ядро включает специфичные для WSL изменения, такие как оптимизации для сокращения времени запуска и уменьшения потребления памяти, возможность возвращения Windows освобождённой Linux-процессами памяти и настройки для исключения лишних драйверов и подсистем. Система устанавливается в отдельный дисковый образ (VHD) c файловой системой ext4 и виртуальным сетевым адаптером.

1. Главная ссылка к новости
2. OpenNews: Опубликованы официальные сборки Fedora, AlmaLinux и Arch Linux для WSL
3. OpenNews: Microsoft представил обновление WSL, прослойки для запуска Linux в Windows
4. OpenNews: Microsoft развивает GUI для настройки WSL, прослойки для запуска Linux-приложений в Windows
5. OpenNews: Microsoft опубликовал WSL 2.0.0, прослойку для запуска Linux-приложений в Windows
6. OpenNews: Microsoft открыл код Windows Subsystem for Linux и текстового редактора Edit

Поддержка телефонии в Plasma Mobile базируется на телефонном стеке ModemManager и коммуникационном фреймворке Telepathy. Для вывода графики используется композитный сервер kwin_wayland, а для обработки звука применяется PulseAudio. Мобильные версии приложений развиваются в основном составе KDE Gear. Для построения интерфейса приложений задействован набор компонентов Mauikit и фреймворк Kirigami из состава KDE Frameworks, позволяющий создавать универсальные интерфейсы, пригодные для смартфонов, планшетов и ПК.

В состав входят такие приложения, как KDE Connect для сопряжения телефона с рабочим столом, просмотрщик документов Okular, музыкальный проигрыватель VVave, просмотрщики изображений Koko и Pix, система ведения заметок buho, календарь-планировщик calindori, файловый менеджер Index, менеджер приложений Discover, программа для отправки SMS Spacebar, адресная книга plasma-phonebook, интерфейс для осуществления телефонных вызовов plasma-dialer, браузер plasma-angelfish и мессенджер Spectral.

Среди наиболее заметных изменений:

• В предлагаемом по умолчанию домашнем экране Folio реализована панель поиска по списку приложений; добавлена поддержка управления через тачпад; появилась опция для блокировки редактирования раскладки элементов на экране; реализована кнопка для открытия окна со всеми настройками обоев; добавлен диалог подтверждения удаления папок; обеспечен тактильный отклик для различных действий.
• В выпадающей панели с кнопками быстрого вызова и уведомлениями (Action Drawer) реализована анимация при попытке прокрутки за конец списка ("overscroll"). Обеспечена возможность вывода панели во время работы в полноэкранных приложениях. Добавлена отдельная область для кнопок быстрого вызова действий. Предоставлена возможность настройки порядка вывода кнопок. Обеспечено автоматическое скрытие неприменимых кнопок (например, кнопка активации мобильной передачи данных теперь не показывается при отсутствии модема). Реализовано скрытие панели при изменении состояния ползунка изменении яркости экрана. Добавлены кнопки для открытия всех приложений в полноэкранном режиме и записи скринкаста. Добавлена поддержка раскрытия виджета управления воспроизведением музыки при нажатии на нём.
• Интерфейс переключения задач переведён на API управления жестами, предоставляемый композитным менеджером KWin. Добавлены новые управляющие жесты, такие как сдвиг снизу-вверх для минимизации приложения и перехода на домашний экран, сдвиг снизу-вверх с удержанием касания для показа списка задач, сдвиг влево или вправо в нижней части экрана для прокручивания списка запущенных приложений. Добавлена поддержка тактильной индикации жестов. Улучшена анимация при переключении задач. Реализована сортировка задач по времени их последней активности. Добавлена поддержка быстрого переключения между двумя недавними задачами двойным касанием к кнопке переключения задач.
• В экране блокировки системы переработано оформление панели для ввода цифрового PIN-кода, которую стало удобнее использовать при работе с устройством одной рукой. Улучшено оформление виджета с часами, который стал крупнее и лучше сочетается с фоновым изображением. Добавлены кнопки для быстрого выполнения действий при заблокированном экране, таких как включение фонарика.
• Реализованы полноценные всплывающие уведомления. Добавлена поддержка группировки нескольких уведомлений в стеки. Решены многие проблемы в виджете для показа уведомлений.
• Предоставлена возможность изменения в настройках высоты строки состояния. В полноэкранных приложениях для показа строки состояния теперь можно использовать жест сдвига содержимого вниз. Добавлены настройки для показа процента заряда аккумулятора и отображения даты в дополнение ко времени.
• Переделана всплывающая панель изменения громкости, которая при активации теперь не перехватывает у приложения события ввода вне своей области.
• В панель навигации добавлена кнопка для ручного поворота экрана (поворачивает экран в зависимости от текущей ориентации устройства, когда автоматический поворот отключён в настройках). При скрытии панели навигации кнопка показывается поверх содержимого.
• Переделана анимированная индикация запуска приложений ("startup feedback"), которая теперь показывается и в интерфейсе переключения задач. При длительном запуске приложения обеспечен показ спинера.
• Настройки в конфигураторе разделены на отдельные категории. Добавлен переключатель для показа всех доступных настроек, даже предоставляемых не для мобильных устройств. В настройках Wi-Fi реализован мониторинг трафика текущего соединения. В секцию с информации о системе добавлены сведения о производителе.
• В web-браузере Angelfish значительно переделаны список вкладок и панель поиска. Для показа и скрытия списка вкладок стало можно использовать жест сдвига панели поиска вверх. Сам список вкладок теперь показывается в форме полноэкранной сетки. При прокрутке списка найденных элементов обеспечен предпросмотр URL.
• В интерфейсе набора номера и приёма звонков (Dialer) решены проблемы с выводом при блокировке экрана и принятии звонка на устройствах с несколькими SIM-картами.
• В программе для работы с SMS-сообщениями (Spacebar) решены проблемы с приёмом и отправкой сообщений, а также выводом уведомлений при поступлении сообщений. Переработано оформление страницы создания нового чата.
• В менеджер установки приложений (Discover) интегрирован бэкенд для формата пакетов apk, используемых в дистрибутивах Alpine и postmarketOS.
• В эмуляторе терминала QMLKonsole разрешено вручную включать или скрывать панель для симуляции нажатия клавиш-модификаторов. Решены проблемы с показом экранной клавиатуры при попытке ввода в терминале.
• Модернизировано приложение для работы с часами, будильником и таймером. Реализован постоянный показ уведомления при активном таймере. Добавлена возможность изменения значения таймера без его повторного создания, а также приостановки и сброса таймера из KRunner. Добавлен вариант интерфейса с аналоговыми часами.

1. Главная ссылка к новости
2. OpenNews: Опубликован postmarketOS 24.12, Linux-дистрибутив для смартфонов и мобильных устройств
3. OpenNews: Представлена мобильная платформа РОСА Мобайл 2.0, основанная на KDE Plasma Mobile
4. OpenNews: Доступна мобильная платформа KDE Plasma Mobile 6
5. OpenNews: Доступна мобильная платформа KDE Plasma Mobile 23.01
6. OpenNews: Релиз дистрибутива Fedora Linux 41 с Plasma Mobile Spin

Среди особенностей MODICIA:

• Включён по умолчанию режим высокой производительности CPU (Turbo Boost).
• Снижена активность использования раздела подкачки (параметр ядра vm.swappiness уменьшен с 60 до 10).
• Задействован Zram для сжатия данных, хранимых в оперативной памяти (RAM-диск со сжатием).
• Доступен для установки вариант ядра, работающий в режиме реального времени.
• Задействован Wine для запуска мультимедийных программ, собранных для Windows.

1. Главная ссылка к новости
2. OpenNews: Вышел ArtistX 1.5, LiveDVD дистрибутив Linux для создания мультимедиа контента
3. OpenNews: Вышел релиз Musix 2.0, полностью свободного дистрибутива для обработки мультимедиа
4. OpenNews: Выпуск среды рабочего стола Cinnamon 6.4
5. OpenNews: Первый публичный релиз дистрибутива для обработки звука - JAD 1.0
6. OpenNews: Опубликован AV Linux MX-23.2, дистрибутив для создания аудио- и видеоконтента

Исходный код движка O3DE был открыт в июле 2021 года компанией Amazon и основан на коде ранее развиваемого проприетарного движка Amazon Lumberyard, построенного на технологиях движка CryEngine, лицензированных у компании Crytek в 2015 году. После открытия кодовой базы развитие движка курирует некоммерческая организация Open 3D Foundation, созданная под эгидой Linux Foundation. Помимо Amazon к совместной работе над проектом подключились такие компании, как Epic Games, Adobe, Huawei, Microsoft, Intel и Niantic.

Движок включает в себя интегрированную среду для разработки игр, многопоточную систему фотореалистичного рендеринга Atom Renderer с поддержкой Vulkan, Metal и DirectX 12, расширяемый редактор 3D-моделей, систему анимирования персонажей (Emotion FX), систему разработки полуфабрикатов (prefab), движок симуляции физических процессов в реальном режиме времени и математические библиотеки, использующие инструкции SIMD. Для определения игровой логики может использоваться среда визуального программирования (Script Canvas), а также языки Lua и Python.

Проект изначально рассчитан на возможность адаптации под свои нужды и имеет модульную архитектуру. Всего предлагается более 30 модулей, поставляемых в виде отдельных библиотек, пригодных для замены, интеграции в сторонние проекты и использования по отдельности. Например, благодаря модульности разработчики могут заменить рендер графики, звуковую систему, поддержку языков, сетевой стек, физический движок и любые другие компоненты.

Среди изменений в новой версии:

• Полностью переделан инструмент Trackview, применяемый для создания интерактивной анимации в играх.
• Проведена работа по повышению производительности движка рендеринга Atom и реализации в нём возможности работы одновременно с несколькими GPU.
• Реализована поддержка нового стандартизированного интерфейса симуляции в модуле ROS2, интегрируемом с инструментарием Robot Operating System (ROS2) и предоставляющем драйверы, реализации алгоритмов, компоненты, ресурсы и утилиты для создания симуляторов роботов.
• Компании Open Robotics, NVIDIA и Robotec.ai совместно модернизировали возможности платформы для построения сложных симуляторов.
• Компания Meta упростила интеграцию инструментария Quest Mobile SDK (Oculus Mobile SDK) с движком O3DE - автоматизированы операции настройки окружения для систем виртуальной реальности и управления пакетами с использованием O3DE.
• Упрощён процесс подготовки и передачи изменений в проект. Для документации к API задействована система модулей Hugo, благодаря которой разработчики теперь могут отправлять изменения к документации в форме небольших pull-запросов.
• Повышено качество работы среды визуального программирования Script Canvas.
• Добавлена поддержка свежих версий Android SDK и Gradle.
• Сокращено время загрузки и повышена производительность приложений для платформы Android.
• Проведена оптимизация производительности компонентов движка для разработки игр для мобильных платформ. В некоторых ситуациях, например, при использовании констант шейдеров, удалось добиться прироста производительности на 40%.
• Стабилизирована возможность задействования нескольких разных GPU для отрисовки одной сцены.
• Зависимости обновлены для поддержки последней версии спецификации OpenXR.

1. Главная ссылка к новости
2. OpenNews: Выпуск игрового движка Open 3D Engine 24.09, открытого компанией Amazon
3. OpenNews: Amazon опубликовал открытый игровой движок Open 3D Engine на базе технологий CryEngine
4. OpenNews: Обновление игрового движка с открытым кодом Dagor Engine
5. OpenNews: Компания VK передаёт игровой движок Nau Engine на попечение сообщества
6. OpenNews: Выпуск открытого игрового движка Godot 4.4

Первая уязвимость (CVE-2025-6170) вызвана переполнением буфера в реализации интерактивной оболочки xmllint, применяемой для разбора XML-файлов. Переполнение возникает при обработке очень длинных аргументов команд из-за отсутствия корректной проверки размера входных данных перед копированием данных функцией strcpy(). Для эксплуатации уязвимости атакующий должен иметь возможность влиять на команды, передаваемые в утилиту xmllint. Патч для устранения уязвимости пока недоступен.

Вторая уязвимость (CVE-2025-6021) присутствует в реализации функции xmlBuildQName() и приводит к записи данных за пределы буфера из-за целочисленного переполнения при вычислении размера буфера на основе префикса и локального имени. Для эксплуатации уязвимости атакующий должен добиться подстановки своих данных в передаваемые в функцию xmlBuildQName() аргументы prefix и ncname. Для устранения уязвимости подготовлен патч. Исправление включено в состав выпуска libxml2 2.14.4. Проверить состояние новой версии пакета или подготовки исправления в дистрибутивах можно на следующих страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo и Arch (1, 2).

Остальные три проблемы приводят к аварийному завершению из-за обращения к уже освобождённой области памяти в функции xmlSchematronGetNode (CVE-2025-49794), разыменования нулевого указателя в функции xmlXPathCompiledEval (CVE-2025-49795) и неправильной обработки типов (Type Confusion) в функции xmlSchematronFormatReport (CVE-2025-49796). Для устранения данных уязвимостей рассматривается возможность удаления из libxml2 поддержки языка разметки Schematron.

Дополнительно отмечается наличие трёх неисправленных уязвимостей в библиотеке libxslt, оставшейся без сопровождающего. Информация по данным проблемам пока не раскрывается и запланирована к публикации 9 июля, 13 июля и 6 августа. Неисправленные и публично не обнародованные уязвимости также отмечаются в связанных с GNOME проектах gvfs, libgxps, gdm, glib, GIMP и libsoup.

Дополнение: Сопровождающий libxml2 объявил, что отныне будет трактовать уязвимости как обычные ошибки, не делая их более приоритетными, исправляя при появлении свободного времени и сразу раскрывая информацию о сути уязвимости без введения эмбарго и предоставления времени на устранение в сторонних продуктах.

1. Главная ссылка к новости
2. OpenNews: Критическая уязвимость в библиотеке Libxml2
3. OpenNews: Уязвимости в библиотеке Expat, приводящие к выполнению кода при обработке XML-данных
4. OpenNews: 11% актуальных образов в репозиториях Docker содержат опасные уязвимости
5. OpenNews: Уязвимость в OpenOffice, позволяющая выполнить код при открытии файла
6. OpenNews: Уязвимость в Musl, эксплуатируемая при перекодировании текста в кодировке EUC-KR

• CVE-2025-20260 - ошибка в коде разбора файлов в формате PDF, приводящая к записи данных за пределы выделенного буфера. Проблема проявляется в конфигурациях, максимальный размер настроек file-size и scan-size в которых равен или превышает 1024 MB и 1025 MB соответственно. Эксплуатация уязвимости возможна начиная с выпуска 1.0.0 и может привести к выполнению кода с правами процесса ClamAV.
• CVE-2025-20234 - ошибка в коде разбора файлов в формате UDF, приводящая к чтению данных из области памяти за пределами выделенного буфера. Проблема может привести к аварийному завершению процесса или утечки данных из памяти во временный файл. Уязвимость проявляется начиная с версии 1.2.0.
• Обращение к памяти после её освобождения в модуле распаковки архивов в формате xz (CVE не назначен). Проблема вызвана ошибкой во встроенной в код ClamAV библиотеке lzma-sdk, которая была устранена в основном проекте в выпуске lzma-sdk 18.03, опубликованном в 2018 году без упоминания устранения уязвимости. Уязвимость проявляется во всех версиях ClamAV, начиная с 0.99.4.
  1. Главная ссылка к новости
  2. OpenNews: Обновление антивирусного пакета ClamAV 1.4.2 и 1.0.8 с устранением уязвимости
  3. OpenNews: Компания Cisco выпустила антивирусный пакет ClamAV 1.4.0
  4. OpenNews: Уязвимости в ClamAV, приводящие к удалённому выполнению кода и утечке системных файлов
  5. OpenNews: В антивирусе McAfee для Linux выявлена удалённая root-уязвимость
  6. OpenNews: Большинство антивирусов оказались подвержены атаке через символические ссылки

В ONLYOFFICE заявлена полная совместимость с форматами MS Office и OpenDocument. Среди поддерживаемых форматов: DOC, DOCX, ODT, RTF, TXT, PDF, HTML, EPUB, XPS, DjVu, XLS, XLSX, ODS, CSV, PPT, PPTX, ODP. Предусмотрена возможность расширения функциональности редакторов через плагины, например, доступны плагины для создания шаблонов и добавления видео с YouTube. Отдельно развивается открытый продукт ONLYOFFICE DesktopEditors, построенный на единой кодовой базе с online-редакторами и объединяющий в одном наборе клиентские и серверные компоненты, оформленные для самодостаточного использования на локальной системе пользователя и способные работать без обращения к внешнему сервису.

Основные новшества:

• Обновлён интерфейс пользователя в редакторах документов, электронных таблиц, презентаций и PDF-файлов. Добавлены новые темы оформления Modern Light и Modern Dark.
• Добавлен отдельный интерфейс для просмотра диаграмм (Diagram Viewer), позволяющий напрямую открывать файлы с диаграммами без вызова сторонних приложений.
• Расширены возможности встроенного AI-ассистента. Добавлена поддержка оптического распознавания текста на изображениях в PDF-документах, позволяющая копировать текст из PDF-файлов c отсканированными страницами.
• Добавлены AI-инструменты для автоматизации работы с электронными таблицами, позволяющие использовать запросы на естественном языке для выполнения действий с данными, например, можно попросить сформировать формулы для сложного набора данных.
• Предоставлена возможность использования AI для автоматизации повторяющихся действий и создания макросов на основе описания задачи на естественном языке. Добавлен AI-конвертер из VBA в JavaScript.
• В редактор PDF-файлов добавлена поддержка совместного заполнения или создания форм ввода, позволяющая одновременно нескольким участникам работать над одной формой. Предоставлена возможность перегруппировки страниц в режиме Drag & Drop, перетаскивая мышью эскизы страниц в навигационной панели. Реализована поддержка использования комбинаций клавиш Ctrl + C и Ctrl + V для копирования и вставки страниц через буфер обмена.
• В редакторе документов в панели инструментов реализована новая кнопка для быстрой настройки обрамления содержимого.
• Добавлена возможность добавления собственных кнопок управления контентом, функциональность которых обеспечивается плагинами. Улучшена визуализация при отслеживании изменений.
• В редакторе электронных таблиц предоставлена возможность прямой подстановки данных из внешних электронных таблиц.
• Добавлена поддержка асинхронных вычислений с возможностью создания макросов, содержащих функции-обработчики запросов.
• В редакторе презентаций в режиме слайд-шоу реализована возможность показа расширенной анимации в слайдах.
• Улучшена визуализация данных и расширены возможности для настройки диаграмм. Добавлена поддержка графиков роста/спада. Предоставлена возможность использования элементов форматирования TextArt в метках диаграмм.
• Добавлена поддержка чтения данных в форматах md (Markdown), odg (OpenDocument Graphic), vsdx (Visio) и xlsb.
• В интерфейсе проверки правописания реализовано сохранение последнего выбранного языка.

1. Главная ссылка к новости
2. OpenNews: Доступен офисный пакет ONLYOFFICE 8.3
3. OpenNews: Выпуск Nextcloud Hub 10, платформы для организации совместной работы
4. OpenNews: Выпуск Apache OpenOffice 4.1.15
5. OpenNews: Выпуск офисного пакета LibreOffice 25.2
6. OpenNews: Mozilla развивает Thunderbird Pro и сервис Thundermail в стиле Gmail и Office 365

Краткий список улучшений и исправлений:

• Тёмная и светлая темы "2024", добавленные в Qt Creator 15 и обновлённые в Qt Creator 16, теперь используются по умолчанию. Пересмотрены и обновлены иконки Qt Creator для соответствия новому внешнему виду и достижения большей целостности интерфейса.
• Репозиторий плагинов, используемый по умолчанию, перенесён на GitHub. Дополнительные репозитории плагинов теперь могут быть добавлены в "Preferences > Extensions > Browser" (использовать на свой страх и риск). Расширена отображаемая информация для ещё не установленных плагинов. Добавлена установка плагинов с помощью перетаскивания (drag-n-drop) архива на панель плагинов.
• Проекты: Профили запуска сделаны частью сборочных профилей (ранее были полностью независимы). Теперь каждый профиль запуска принадлежит определённому профилю сборки, и переключение текущего профиля сборки также переключает набор доступных профилей запуска, что реализует часто запрашиваемый пользователями сценарий: возможность использования разных параметров запуска, таких как аргументы командной строки или переменные окружения, для разных сборочных профилей, таких как Debug и Release.

  Значения одних профилей запуска теперь можно копировать в другие с помощью кнопки "Copy into This" вне зависимости от принадлежности к конкретному сборочному профилю.

• CMake: Добавлена возможность установки недостающих компонентов Qt с помощью Qt Online Installer (если Qt Creator с ним слинкован) в случае неудавшегося вызова cmake, вызванного недостающими компонентами Qt. Новое поведение полагается на функциональность "Preferences > CMake > General > Package manager auto setup", требующую запуска CMake из Qt Creator.
• Python: Добавлена поддержка открытия проектов pyproject.toml; они же теперь создаются по умолчанию для новых PySide-проектов, созданных с помощью wizard-ов в Qt Creator. Открытие проектов .pyproject всё ещё поддерживается.
• Редактирование C++: Готовые исполняемые файлы теперь собираются с помощью LLVM 20.1.3 для обновлённой поддержки C++. Исправлена поддержка операторов строковых литералов Qt (например, "_ba" и "_L1"). Исправлены некоторые проблемы со встроенными функциями и макросами, используемыми подобно функциям.

  Добавлены изменения, призванные упростить жизнь разработчиков при использовании классов Qt, не используемых ранее в проекте (не найденных Code Model): новый quick fix (жёлтая лампочка в редакторе на строке с новым для проекта классом Qt) позволяет добавить недостающие директивы #include в исходники и недостающие модули Qt в файл проекта. Такой же quick fix на строках с директивами #include позволяет добавить необходимые модули Qt в файл проекта.

• QML: Опции стиля кода в "Preferences > Qt Quick > Code Style" теперь позволяют использовать интегрированный в "QML language server" qmlformat, равно как встроенный форматировщик (formatter) или пользовательский форматировщик, совместимый с qmlformat. Переформатирование документа теперь доступно в контекстном меню и в меню "Tools > QML/JS".

  В панель инструментов редактора кода QML добавлена новая кнопка для открытия файлов .ui.qml в Qt Design Studio.

• Analyzer: Для Axivion добавлена поддержка локальных информационных панелей (dashboard) с новыми кнопками "Local Build" и "Local Dashboard" в интерфейсе Issues в режиме Debug > Axivion. Добавлены различные настройки в "Preferences > Analyze > Axivion".
• Управление версиями: Для git добавлены различные действия "diff", работающие со "staged" изменениями вместо "unstaged". В подсказки для Instant Blame добавлены действия для отката изменений. В диалоге "Add Tag" теперь можно создавать аннотированные теги.

1. Главная ссылка к новости
2. OpenNews: Выпуск среды разработки Qt Creator 16
3. OpenNews: Выпуск интегрированной среды разработки Red Panda C++ 3.2
4. OpenNews: Выпуск интегрированной среды разработки Apache NetBeans 26
5. OpenNews: Релиз фреймворка Qt 6.9

Процесс udisks применяется практически во всех дистрибутивах Linux и предоставляет интерфейс D-Bus для выполнения операций с накопителями, таких как монтирование и форматирование. Для совершения действий с накопителями udisks вызывает функции библиотеки libblockdev. Доступ к udisks по умолчанию открыт только для пользователей, работающих в контексте "allow_active", т.е. имеющих физический доступ к компьютеру и подключившихся через локальную консоль или запустивших графический сеанс. Пользователи, подключающиеся удалённо, например, по ssh, не попадают в этот контекст и напрямую не могут эксплуатировать уязвимость.

Для обхода данного ограничения можно использовать трюк, позволяющий поднять уровень аутентификации до "allow_active" через манипуляции с запуском утилитой systemctl пользовательского сервиса, который polkitd воспримет как признак локального сеанса. Суть метода в том, что polkitd определяет наличие физического доступа и присваивает уровень "allow_active" на основе косвенных признаков, на которые можно повлиять. Ограничения метода в том, что для обмана polkitd требуется, чтобы в системе уже был активен сеанс локального пользователя с физическим доступом.

Вторым методом получения прав "allow_active" является эксплуатация уязвимости (CVE-2025-6018) в PAM (Pluggable Authentication Modules), которую исследователи из Qualys выявили в ходе анализа уязвимости в libblockdev. Уязвимость позволяет любому пользователю, в том числе подключившемуся по SSH, выполнять операции в контексте "allow_active". Проблема специфична для настроек PAM в openSUSE Leap 15 и SUSE Linux Enterprise 15, и проявляется только в этих дистрибутивах.

В модуле pam_env в openSUSE и SUSE по умолчанию включено чтение файла ~/.pam_environment. Через данный файл пользователь может выставить переменные окружения XDG_SEAT=seat0 и XDG_VTNR=1, которые при дальнейшей обработке будут восприняты как признак физического присутствия пользователя, даже если фактически вход осуществлён по SSH. Модуль pam_env также вызывается при подключении по ssh в Debian 12 и Ubuntu 24.04 (в Debian 13 и Ubuntu 24.10+ он отключён), но выставление переменных окружения в данных дистрибутивах не может применяться для повышения уровня доступа до "allow_active", так как pam_env вызывается на финальном этапе после загрузки модуля pam_systemd и выставленные переменные окружения не могут повлиять на параметры сеанса.

Что касается уязвимости в libblockdev, то атакующий может примонтировать образ произвольной файловой системы в loop-режиме, разместив в этом образе исполняемый файл с флагом SUID root или специальное устройство (/dev/mem) для низкоуровневого доступа к дискам или памяти. Для блокирования подобных атак образы ФС монтируются системой с флагами nosuid и nodev, но уязвимость в libblockdev даёт возможность примонтировать образ без флагов nosuid и nodev. Суть уязвимости в том, что udisks позволяет пользователю с уровнем доступа "allow_active" менять размер своих файловых систем и libblockdev в процессе выполнения данной операции временно монтирует ФС без выставления флагов nosuid и nodev.

Таким образом атака сводится к созданию loop-устройства на базе образа ФС XFS, в котором размещён suid root файл, инициирования операции изменения размера loop-устройства и отслеживанию момента его монтирования в каталог /tmp/blockdev*:

   victim> killall -KILL gvfs-udisks2-volume-monitor

   victim> udisksctl loop-setup --file ./xfs.image --no-user-interaction
   Mapped file ./xfs.image as /dev/loop0.

   victim> while true; do /tmp/blockdev*/bash -c 'sleep 10; ls -l /tmp/blockdev*/bash' && break; done 2>/dev/null &

   victim> gdbus call --system --dest org.freedesktop.UDisks2 --object-path /org/freedesktop/UDisks2/block_devices/loop0 --method org.freedesktop.UDisks2.Filesystem.Resize 0 '{}'

   Error: GDBus.Error:org.freedesktop.UDisks2.Error.Failed: Error resizing filesystem on /dev/loop0: Failed to unmount '/dev/loop0' after resizing it: target is busy

   -r-sr-xr-x. 1 root root 1406608 Jun 18 09:42 /tmp/blockdev.RSM429/bash

   victim> /tmp/blockdev*/bash -p

   victim# id

   uid=65534(nobody) gid=65534(nobody) euid=0(root) groups=65534(nobody)
                       

Уязвимость в libblockdev пока устранена только в виде патчей. Проверить состояние новой версии пакета или подготовки исправления в дистрибутивах можно на следующих страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo и Arch (1, 2). В качестве обходных путей для блокирования уязвимости можно изменить правило доступа к операции "org.freedesktop.udisks2.modify-device" в polkit, изменив в файле /usr/share/polkit-1/actions/org.freedesktop.UDisks2.policy значение параметра "allow_active" с "yes" на "auth_admin".

Дополнительно можно отметить раскрытую несколько часов назад уязвимость (CVE-2025-6020) в пакете linux-pam, позволяющую локальному пользователю получить права root. Модуль pam_namespace должным образом не проверял файловые пути, подконтрольные пользователю, что позволяло через манипуляции с символическими ссылками и достижением состояния гонки добиться перезаписи привилегированных файлов в системе. Уязвимость устранена в выпуске linux-pam 1.7.1. Проверить состояние новой версии пакета или подготовки исправления в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo и Arch (1, 2).

1. Главная ссылка к новости
2. OpenNews: Уязвимость в pam-u2f, позволяющая обойти аутентификацию на базе аппаратного токена
3. OpenNews: Уязвимость в pam_oath, позволяющая получить права root в системе
4. OpenNews: Локальная root-уязвимость в pam-python
5. OpenNews: Уязвимости в утилите needrestart, позволяющие получить root-доступ в Ubuntu Server
6. OpenNews: Уязвимости в apport и systemd-coredump, позволяющие извлечь хэши паролей пользователей системы

Выявленные уязвимости:

• CVE-2025-49176 - целочисленное переполнение, приводящее к повреждению памяти, в реализации расширения Big Requests, позволяющего отправлять запросы, превышающие 64 килобайт. Уязвимость проявляется с выпуска X11R6.0 (1994 год).
• CVE-2025-49179 - целочисленное переполнение, приводящее к повреждению памяти, в реализации расширения X Record, возникающее при отправке слишком больших значений числа клиентов или диапазонов. Уязвимость проявляется с выпуска X11R6.1 (1996 год).
• CVE-2025-49180 - целочисленное переполнение, приводящее к повреждению памяти, в реализации расширения RandR. Уязвимость проявляется с выпуска 1.13 RC1 (2012 год).
• CVE-2025-49178 - возможность создания ситуации, приводящей к блокированию запросов других клиентов. Уязвимость проявляется с выпуска Xorg 1.10.0
• CVE-2025-49175 - чтение из памяти вне границы буфера в расширении X Rendering, возникающее при выполнении операций с анимированными курсорами. Уязвимость проявляется с выпуска XFree86 4.3.0 (2003 год).
• CVE-2025-49177 - утечка данных в реализации расширения XFIXES, вызванная отсутствием проверки размера запроса клиента в обработчике XFixesSetClientDisconnectMode (клиент может отправить более короткий запрос и прочитать данные предыдущего запроса. Уязвимость проявляется с выпуска Xorg Server 21.1 RC1 (2021 год).

Дополнение: По горячим следам сформированы выпуски X.Org Server 21.1.18 и xwayland 24.1.8, в которые включены дополнительные изменения для исправления уязвимости CVE-2025-49176.

1. Главная ссылка к новости
2. OpenNews: Обновление X.Org Server 21.1.16 с устранением 8 уязвимостей
3. OpenNews: Обновление X.Org Server 21.1.14 с устранением уязвимости
4. OpenNews: Проект X11Libre создал форк X.Org Server, избавленный от влияния корпораций
5. OpenNews: Обновление X.Org Server 21.1.13 с устранением потенциальной уязвимости в исправлении уязвимости
6. OpenNews: Обновление X.Org Server 21.1.12 с устранением 4 уязвимостей