Для формирования сборок используются пакетные базы Debian и Ubuntu, но все компоненты полностью пересобирается при помощи собственной сборочной системы с включением оптимизаций для уменьшения размера, увеличения производительности и применения дополнительных механизмов защиты. Например, раздел /var/log монтируется с использованием zram и хранится в ОЗУ в сжатом виде со сбросом данных на накопитель раз в день или при завершении работы. Раздел /tmp монтируется при помощи tmpfs.

Проектом поддерживается более 30 вариантов сборок ядра Linux для разных платформ ARM и ARM64. Предоставляется SDK для упрощения создания своих системных образов, пакетов и редакций дистрибутива. Для подкачки используется ZSWAP. При входе по SSH предоставляется опция для использования двухфакторной аутентификации. В состав входит эмулятор box64, позволяющий запускать программы, собранные для процессоров на базе архитектуры x86. Предлагаются готовые пакеты для запуска пользовательских окружений на базе KDE, GNOME, Budgie, Cinnamon, i3wm, Mate, Xfce и Xmonad.

Основные изменения в Armbian 26.5:

• Добавлена поддержка плат Arduino UNO Q (QRB2210), Mekotronics R58S2, NanoPC-T6 LTS Plus, Ariaboard Photonicat 2, EByte ECB41-PGE, NORCO EMB-3531, Cainiao CNIoT-CORE, SpacemiT MUSE Book, EasePi A2/R2, TQ-Systems TQMa8MPxS/TQMa93xxLA, Seeed reComputer и Qidi X.
• Для платформ sunxi, meson64, rockchip64, rpi4b и uefi edge ядро Linux обновлено до версии 7.0, а для платформ rockchip64 и meson64 - до 7.1-rc.
• Загрузчик U-Boot обновлён до версии 2026.04 в сборках для плат на базе чипов Rockchip (NanoPC-T6, NanoPi M5/R76S, Rock 5 ITX, Rock 5B Plus, Helios4/64, odroidhc4/n2, xt-q8l-v10).
• Конфигурации со средой рабочего стола перестроены с использованием настроек в формате YAML и многоуровневой архитектуры в armbian-config. На новую систему конфигурации переведена поддержка пользовательских окружений KDE Plasma, KDE Neon, MATE и i3wm. Расширена поддержка Xfce, MATE, i3, Xmonad, Enlightenment и Cinnamon для архитектур armhf и riscv64. В набор компонентов на среднем уровне добавлены Vulkan и Panthor GPU runtime, а на минимальном - libcamera/v4l и alsa-ucm-conf.
• Добавлены новые модули с конфигурационными скриптами (Armbian Config Next Generation) для code-server, Dozzle, Wallos, управления ZFS pool, редактирования device tree и управления памятью.

1. OpenNews: Выпуск Armbian 26.2 и DietPi 10.1, дистрибутивов для одноплатных компьютеров

Syncspirit представляет собой независимую реализацию протокола синхронизации BEP, предложенного проектом Syncthing. Синхронизированные данные не загружаются в сторонние облачные хранилища, а напрямую реплицируются между системами пользователя при их одновременном появлении в online. Syncspirit бесшовно интегрируется с Syncthing-узлами на уровне протокола и использует инфраструктуру Syncthing для определения участников сети (эту возможность можно отключать).

В отличие от проекта Syncthing, который написан на языке Go и использует клиент-серверную архитектуру и REST-API (в качестве клиента выступает веб-браузер), syncspirit предоставляет как реализацию в виде фонового процесса syncspirit-daemon, так и отдельное приложение с графическим интерфейсом, позволяющее более экономно расходовать оперативную память.

Ключевые новшества относительно предыдущего анонса версии 0.4.1:

• Реализован автоматический мониторинг изменений в файловой системе и их дальнейшая синхронизация с кластером (используются доступные системные механизмы inotify, ReadDirectoryChangesW и kqueue).
• Появилась возможность дополнительного сканирования произвольной вложенной директории.
• Обеспечено автоматическое отбрасывание файлов с непредставимыми в UTF8 именами.
• Появилась возможность перегенерации сертификатов.
• Снижен расход памяти (приблизительно на 30-40%) и уменьшена нагрузка на CPU.
• Появилась возможность ручного задания корневых сертификатов (актуально для систем c истекшими системными сертификатами)
• Улучшена совместимость с Syncthing 2.0.
• Выполнен переход на систему автоматических сборок (CI/CD) SourceCraft.

1. OpenNews: Выпуск Phosh 0.55.0, GNOME-окружения для смартфонов
2. OpenNews: Выпуск открытой P2P-системы синхронизации файлов Syncthing 2.0
3. OpenNews: Выпуск P2P-системы синхронизации файлов syncspirit 0.4.1, совместимой с Syncthing
4. OpenNews: Проект SteamFork развивает вариант SteamOS для устройств, отличных от Steam Deck
5. OpenNews: Началось публичное тестирование технологии синхронизации компьютеров BitTorrent Sync

Помимо этого, в кодовую базу ReactOS добавлен новый ATA-драйвер хранилища, работа над которым велась с начала 2024 года. Стек хранилища поддерживает технологию PnP (plug-and-play) и работает с устройствами SATA, PATA, ATAPI, AHCI и даже SCSI, потенциально расширяя спектр оборудования, на котором ReactOS может успешно загружаться.

В ReactOS также появилась экспериментальная поддержка архитектуры ARM64. Проект, десятилетиями ориентированный на архитектуры i586 и AMD64, теперь способен загружаться и на 64-разрядных ARM-системах - например, на Raspberry Pi 5 или в QEMU с процессором Apple ARM64.

Все отмеченные возможности, а также недавние улучшения поддержки графических драйверов, доступны для тестирования в последних ночных тестовых сборках ReactOS 0.4.17.

1. OpenNews: В ReactOS обеспечена совместимость с проприетарными видеодрайверами
2. OpenNews: Loss32 - Windows-подобная система, похожая на ReactOS, но на ядре Linux
3. OpenNews: Выпуск операционной системы ReactOS 0.4.15
4. OpenNews: Новая версия сборочного окружения RosBE (ReactOS Build Environment)
5. OpenNews: Для ReactOS реализована начальная поддержка SMP

Rust Coreutils задействован по умолчанию в выпуске Ubuntu 25.10 и частично в Ubuntu 26.04. Rust Coreutils также применяется в дистрибутивах AerynOS (Serpent OS) и Apertis (развивается компанией Collabora). В отличие от GNU Coreutils реализация на Rust распространяется под пермиссивной лицензией MIT, вместо копилефт-лицензии GPL. Дополнительно той же командой разработчиков развиваются написанные на Rust аналоги наборов утилит util-linux, diffutils, findutils, procps и acl, а также программ sed и login.

В новой версии Rust Coreutils:

• Уровень совместимости с эталонным набором тестов GNU Coreutils составил 90.58% (было 94.74%). Успешно выполнено 625 тестов, что на 5 меньше, чем в прошлой версии (630). 56 тестов завершилось неудачей (было 21), один тест привёл к ошибке, а 8 тестов было пропущено (было 14). Снижение уровня совместимости объясняется обновлением набора тестов до состояния выпуска GNU Coreutils 9.11, в котором добавлено 25 новых тестов.
• Устранены 44 уязвимости, выявленных в ходе аудита, проведённого компанией Zellic. Большинство уязвимостей вызвано расхождением поведения с GNU coreutils или состоянием гонки, позволяющим изменить данные в момент после проверки корректности информации, но до выполнения операции с ними, например, подменить файл на символическую ссылку в момент между завершением проверки и началом выполнения операции. В контексте использования утилит cp, chmod и mv в системных скриптах, запускаемых с правами root, подобные уязвимости позволяют скопировать или перезаписать произвольные файлы. Для защиты от уязвимостей, вызванных состоянием гонки в проекте задействован модуль uucore::safe_copy. Информация об уязвимостях опубликована в отдельной новости.
• Продолжен перевод утилит на crate-пакет rustix вместо crate-пакета nix. На rustix переведены утилиты id, tr, timeout, sort, wc, tail, cp, who и factor. Проведена чистка кода от unsafe-операций в различных утилитах.
• В утилитах cat, wc, head, tail, yes, cp, tee и unexpand задействованы обработчики ввода/вывода на базе системных вызовов splice(), tee() и pipe(), позволившие ускорить работу за счёт исключения лишнего копирования данных между буферами.
• Улучшена совместимость с GNU Coreutils утилит numfmt, date, tr, cksum, factor, head, stat и sort.
• В утилиты ln, dd, mktemp и tty добавлена поддержка сборки в формате WebAssembly и использования интерфейса WASI (WebAssembly System Interface).
• Расширены возможности, устранены проблемы и добавлены недостающие опции для утилит cat, chroot, cksum, cp, date, dd, df, dirname, du, echo, env, expr, factor, fmt, head, id, install, join, ln, logname, ls, md5sum, mkdir, mknod, mktemp, more, mv, nl, nohup, nproc, numfmt, od, paste, pinky, pr, realpath, rm, rmdir, shred, sort, split, stat, stdbuf, stty, sum, sync, tail, tee, timeout, touch, tr, tty, unexpand, uniq, uptime, wc, who, yes.
1. OpenNews: В Rust Coreutils выявлено 113 уязвимостей. В Ubuntu 26.04 возвращены cp, mv и rm из GNU Coreutils
2. OpenNews: Выпуск GNU Coreutils 9.11
3. OpenNews: Выпуск uutils 0.8, варианта GNU Coreutils на языке Rust
4. OpenNews: Выпуск дистрибутива Apertis 2026, позволяющего не использовать код под лицензией GPLv3
5. OpenNews: В Ubuntu 26.10 намерены добавить ntpd-rs и прекратить поддержку Btrfs, XFS, ZFS, LVM и LUKS в /boot

Проблема проявляется начиная с версии Exim 4.88 (2017 год) в системах, использующих настройку hosts_proxy и сборки Exim, скомпилированные с опцией SUPPORT_PROXY (по умолчанию в Debian, Ubuntu, RHEL EPEL и Fedora). Уязвимость вызвана отсутствием должной проверки размера кадров при обработке запросов с использованием протокола PROXYv2.

1. OpenNews: Уязвимость в Exim, приводящая к удалённому выполнению кода на сервере
2. OpenNews: Обновление почтового сервера Exim 4.99.2 с устранением 4 уязвимостей
3. OpenNews: Опубликован почтовый сервер Postfix 3.11.0
4. OpenNews: SMTP Smuggling - новая техника спуфинга почтовых сообщений
5. OpenNews: Три критические уязвимости в Exim, позволяющие удалённо выполнить код на сервере

Как и в классическом CentOS внесённые в пакеты Rocky Linux главным образом изменения сводятся к избавлению от привязки к бренду Red Hat и удалению специфичных для RHEL пакетов, таких как redhat-*, insights-client и subscription-manager-migration*. С обзором списка изменений в Rocky Linux 10.2 можно познакомиться в анонсе RHEL 10.2.

Среди специфичных для Rocky Linux изменений можно отметить официальную поддержку архитектуры RISC-V, реализованную для плат StarFive VisionFive 2 (VF2) и SiFive HiFive Premier P550, а также запуска в эмуляторе QEMU. Кроме того, проектом развивается несколько собственных репозиториев с дополнительными пакетами:

• security - внеплановые публикации срочных обновлений пакетов с устранением критических уязвимостей, для которых в RHEL ещё не успели сформировать обновления с исправлениями.
• plus - доступны пакеты 7zip 25.01, iftop 1.0, nmon 16q и Valkey 8.0.7 (форк Redis).
• NFV - пакеты для виртуализации компонентов сетей, развиваемый SIG-группой NFV (Network Functions Virtualization).
• CRB (Code Ready Builder) - дополнительные пакеты для разработчиков.
• RT - пакеты для работы в режиме реального времени.
• HighAvailability - пакеты для создания высоконадёжных систем.
• SAP и SAPHANA - пакеты для SAP и SAP HANA, такие как resource-agents, sap-hana-ha, sap-cluster-connector и vhostmd.

1. OpenNews: Выпуск дистрибутива Rocky Linux 9.8
2. OpenNews: Выпуск дистрибутива Rocky Linux 10.1
3. OpenNews: Выпуск дистрибутива Oracle Linux 10.1
4. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 10.2
5. OpenNews: Релиз AlmaLinux 9.8 и 10.2

Возможности, реализованные в QStickyNotes:

• Создание заметки через иконку в трее или по кнопке "плюс" на другой заметке.
• Удаление заметки по "крестику" с подтверждением.
• Блокировка-разблокировка ввода по кнопке с изображением замка.
• Поддержка привязки настроек по умолчанию для новых заметок.
• Похожий на indicator-stickynotes внешний вид, возможность перетаскивать за заголовок и менять размер за нижний правый угол.

Среди отличий от indicator-stickynotes: возможность задавать цвет и шрифт каждой заметке индивидуально; хранение заметок не в одном JSON-файле, а в отдельном для каждой заметки файле.

Пока не реализовано: скрытие-показ заметок, экспорт-импорт и коллекции.

1. OpenNews: Первый выпуск программы для ведения заметок KleverNotes
2. OpenNews: Открыт код платформы для ведения заметок Notesnook, конкурирующей с Evernote
3. OpenNews: Открыты исходные тексты персональной wiki Luminotes

Наиболее важные изменения:

• Встроенный пакет Vkd3d с реализацией Direct3D 12 обновлён до версии 2.0.
• Предложена переработанная поддержка языка XPath, реализованная без использования библиотеки libxml2.
• Улучшена совместимость с VBScript.
• В ntdll добавлены заглушки для API ALPC (Advanced Local Procedure Call): NtAlpcCreatePort(), NtAlpcConnectPort(), NtAlpcAcceptConnectPort(), NtAlpcSendWaitReceivePort(), NtAlpcDisconnectPort() и NtAlpcImpersonateClientOfPort().
• Улучшена поддержка Bluetooth, добавлены методы BluetoothLEDeviceStatics::FromBluetoothAddressAsync, IBluetoothLEDevice::get_DeviceId, IBluetoothLEDevice::get_GattServices, IGattDeviceService::get_Uuid и IGattDeviceService::get_AttributeHandle.
• В реализации d3dx10 и d3dx11 добавлена возможность загрузки DDS-файлов с массивами текстур. В функцию D3DX10LoadTextureFromTexture() добавлена поддержка 3D-текстур, текстур с поддержкой уровней детализации и генерации MIP-уровней (MipMap).
• В DLL win32u реализованы функции NtUserGetMessagePos() и NtUserSetMessageExtraInfo().
• Закрыты отчёты об ошибках, связанные с работой приложений: IrfanView, Kodak EasyShare, Git for Windows, Family Tree Maker 2017, Foxit PhantomPDF Business 10.0, Vocaloid 6, Photolemur 3, TrackChecker.
• Закрыты отчёты об ошибках, связанные с работой игр: Star Wars Racer, Star Wars: Knights of the Old Republic, Age of Empires III: The Asian Dynasties.

Проект Wine также опубликовал выпуск пакета vkd3d 2.0 с реализацией Direct3D 12, работающей через трансляцию вызовов в графический API Vulkan. В состав пакета входят библиотеки libvkd3d с реализаций Direct3D 12, libvkd3d-shader c транслятором моделей шейдеров и libvkd3d-utils с функциями для упрощения портирования приложений Direct3D 12, а также набор демонстрационных примеров, включая порт glxgears на Direct3D 12. Код проекта распространяется под лицензией LGPLv2.1.

Библиотека libvkd3d поддерживает большую часть возможностей Direct3D 12, включая средства для графики и вычислений, очереди и списки команд, дескрипторы и дескрипторы кучи, корневые сигнатуры, неупорядоченный доступ, Sampler-ы, сигнатуры команд, корневые константы, непрямую (indirect) отрисовку, методы Clear*() и Copy*(). В libvkd3d-shader реализована трансляция байт-кода моделей шейдеров в промежуточное представление SPIR-V. Поддерживаются вершинные, пиксельные, тесселяционные, вычислительные и простые геометрические шейдеры, сериализация и десериализация корневой сигнатуры. Из шейдерных инструкций реализованы арифметические, атомарные и битовые операции, операторы сравнения и управления потоком передачи данных, инструкции sample, gather и load, операции неупорядоченного доступа (UAV, Unordered Access View).

В новой версии vkd3d:

• В реализацию языка шейдеров HLSL добавлена начальная поддержка циклов для 2-3 моделей шейдеров, появилась возможность записи в структурированную разделяемую память группы потоков, реализованы встроенные функции tex3Dbias(), tex3Dlod() и texCUBElod(), обеспечена поддержка семантик SV_ClipDistance, SV_CullDistance и SV_StencilRef для обработки ввода и вывода от шейдеров.
• В компиляторе шейдеров HLSL реализовано автоматическое удаление дублирующихся вычислений, обеспечено вычисление на этапе компиляции выражений вида x % y с заранее известными значениями, улучшено распределение временных регистров. В соответствии с требованиями спецификации HLSL расширена область видимости переменных в циклах "for" (переменная остаётся доступна после завершения цикла). При парсинге дробных чисел прекращён учёт локали (как разделитель теперь всегда используется точка).
• Улучшена поддержка старого бинарного формата шейдеров Direct3D. Реализованы инструкции m4x4, m3x4, m4x3, m3x3, m3x2, phase, texdepth, texreg2ar, texreg2gb, texreg2rgb. Добавлена поддержка модификаторов "_dz", "_db", "_dw" и "_da", которые можно использовать с инструкциями texcrd и texld. Добавлена поддержка регистров "vFace" и "vPos" для работы с пиксельными шейдерами.
• В DXIL (Direct3D Intermediate Language) в коде, в операциях загрузки, сохранения, атомарного изменения и сравнения реализована возможность использования указателей на данные, объявленные позже.
• В ассемблер шейдеров Direct3D добавлена поддержка 16-разрядных встроенных констант, а также флагов ‘64UAVs’, ‘ROVs’, ‘UAVLoadAdditionalFormats’, ‘UAVsAtEveryStage’, ‘allResourcesBound’, ‘enable11_1ShaderExtensions’, ‘int64Ops’, ‘nativeLowPrecision’, ‘stencilRef’, ‘viewportAndRTArrayIndex’ и ‘waveOps’.
• Реализованы опции компиляции шейдеров: VKD3D_SHADER_COMPILE_OPTION_DENORMAL_MODE_F16, VKD3D_SHADER_COMPILE_OPTION_DENORMAL_MODE_F32, VKD3D_SHADER_COMPILE_OPTION_DENORMAL_MODE_F64 и VKD3D_SHADER_COMPILE_OPTION_CONST_GLOBAL_UNIFORM.

1. OpenNews: Новые версии Wine 11.9 и Wine-staging 11.9
2. OpenNews: Релиз Proton 10.0-4, пакета для запуска Windows-игр в Linux
3. OpenNews: Бета-версия Proton 11.0
4. OpenNews: Новые версии Wine 11.3, Wine-staging 11.3, Wine Mono 11.0 и Vkd3d 1.19
5. OpenNews: Предварительный выпуск дистрибутива для игровых консолей SteamOS 3.8.0

По сравнению с использованием обычных архивов или формата AppImage в Installer-SH проведена оптимизация алгоритмов сжатия, позволившая снизить объём трафика при передаче по сети и сократить место, занимаемое на локальных дисках. Пакет по умолчанию работает в домашнем каталоге и не требует root-прав для установки и удаления ПО. Однако пользователь может выбрать режим установки "для всех пользователей", который задействует системные каталоги и требует root-прав. По умолчанию Installer-SH выносит файлы конфигурации и кэш в отдельную директорию рядом с программой, чтобы избежать конфликтов файлов конфигурации при установке разных версий одной и той же программы. Тем не менее, пользователь может вернуться к классической схеме работы, когда для хранения конфигурации, кэша и прочих файлов используется основной домашний каталог.

Упаковщик может отключить лишние этапы настройки перед установкой, так как не все приложения используют домашний каталог и не любые программы могут корректно работать при установке в системном режиме с root-правами. Разработчик может обновлять однажды созданный и настроенный пакет, заменяя файлы ПО, обновляя базовую информацию и запуская заново процесс упаковки и очистки от мусора. Большинство рутинных задач автоматизировано и сводится к вызову инсталлятора с нужными аргументами (краткая справка доступна при запуске с аргументами -h, -help или --help).

Благодаря возможностям изоляции формата можно создавать распространяемые пакеты даже для приложений, требующих наличия специфических файлов в домашнем каталоге. В таком случае следует разместить все необходимые для работы файлы в выделенном каталоге "userdata" рядом с программой и отключить соответствующий этап настройки, чтобы пользователь случайно ничего не сломал. Удаление ненужных программ происходит с помощью встроенного в каждую программу деинсталлятора.

Формат Installer-SH действует согласно спецификациям XDG Desktop и PortSoft и не зависит от конкретного рабочего окружения ОС, соответствующего спецификациям XDG Desktop. Спецификации PortSoft изначально разрабатывались для дистрибутива Chimbalix и предназначены для структурированной установки ПО в выделенный каталог, чтобы предотвратить неразбериху среди установленных приложений разных архитектур и версий.

Так как в отличие от XDG Desktop спецификации PortSoft весьма новая разработка, формат Installer-SH самодостаточно несёт в себе всё необходимое для развёртывания спецификаций PortSoft и подготовки выделенного раздела в меню приложений. Выделенный раздел в меню приложений необходим для того, чтобы структурировать установленные приложения и предоставить доступ для запуска и обслуживания каждой программы в отдельности.

Хотя формат ориентирован на desktop-сегмент, возможно производить установку ПО в дистрибутивах, у которых отсутствует графическая оболочка. Но такой сценарий использования не тестировался в реальных условиях.

Пользователь может сделать резервную копию любой правильно собранной программы, и она сохранит работоспособность после копирования на другой компьютер (ярлыки таким образом скопировать не выйдет, потому что они раскладываются согласно спецификациям XDG по трём разным местам в файловой системе). Каждый распространяемый установочный пакет с ПО является полноценным носителем формата Installer-SH. На основе уже существующих установочных пакетов можно восстановить формат и создавать новые установочные пакеты с другими приложениями.

Первый многоплатформенный установочный пакет с игрой "2048" в формате Installer-SH 2.8 поддерживает архитектуры x86, x86_64, amd64 и платформы Linux и FreeBSD. Размер установочного файла составляет 2.1 мегабайта. Данный пакет успешно прошёл тестирование в дистрибутивах Debian 7 (GNOME, x86_64), Fedora 20 (Xfce, x86_64), Gentoo (i686), Manjaro 20 (x86_64), openSUSE 13.1 (KDE, i686), Slackware 15 (x86_64), FuryBSD 12.1 (amd64) и NomadBSD 14.1 (i386). Помимо этого доступно ещё несколько десятков пакетов.

После того как на данное поведение обратили внимание пользователи, автор jqwik добавил в примечание к выпуску 1.10 пояснение, что проект не предназначен для использования AI-агентами. Чтобы препятствовать использованию инструментария jqwik в процессе работы AI-агентов при каждом запуске реализован вывод упомянутой строки. Скрытие в терминале осуществлено, чтобы не мешать работе людей.

1. OpenNews: Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектов
2. OpenNews: Microsoft по ошибке удалил дополнения к VSCode, насчитывающие 9 млн установок
3. OpenNews: Давление французских силовых ведомств на GrapheneOS из-за отказа интегрировать бэкдор
4. OpenNews: Проект CoreJS столкнулся с проблемами сопровождения из-за лишения свободы автора
5. OpenNews: В NPM-пакет node-ipc внесено вредоносное изменение, удаляющее файлы на системах в России и Беларуси

Как и в классическом CentOS внесённые в пакеты Rocky Linux изменения сводятся к избавлению от привязки к бренду Red Hat и удалению специфичных для RHEL пакетов, таких как redhat-*, insights-client и subscription-manager-migration*. Реализован репозиторий "security" для внеплановой публикации срочных обновлений пакетов с устранением критических уязвимостей, для которых в RHEL ещё не успели сформировать обновления с исправлениями. В остальном изменения в Rocky Linux 9.8 соответствуют изменениям в RHEL 9.8.

Среди специфичных для Rocky Linux возможностей можно отметить поставку в отдельном репозитории plus пакетов openldap 2.6.8, 7zip 25.01iftop 1.0 и nmon 16q, а в репозитории NFV пакетов для виртуализации компонентов сетей, развиваемый SIG-группой NFV (Network Functions Virtualization). В Rocky Linux также поддерживаются репозитории CRB (Code Ready Builder с дополнительными пакетами для разработчиков, пришёл на смену PowerTools), RT (пакеты для работы в режиме реального времени), HighAvailability, ResilientStorage, SAP и SAPHANA (пакеты для SAP HANA). Отдельно поставляется экспериментальный пакет с ядром Linux - kernel-uki, предоставляющий унифицированный образ UKI (Unified Kernel Image), заверенный отдельным ключом для SecureBoot.

В качестве источника исходных пакетов при формировании Rocky Linux 9.8 задействован репозиторий OpenELA, поддерживаемый совместно с Oracle и SUSE. Изменение процессов разработки обусловлено прекращением размещения компанией Red Hat исходных текстов rpm-пакетов RHEL в публичном репозитории git.centos.org. Исходные пакеты предоставляются клиентам компании только через закрытый раздел сайта, на котором действует пользовательское соглашение (EULA), запрещающее редистрибуцию данных, что не позволяет использовать эти пакеты для создания производных дистрибутивов. Исходные тексты остаются доступны в репозитории CentOS Stream, но он полностью не синхронизирован с RHEL и в нём не всегда самые свежие версии пакетов совпадают с пакетами из RHEL.

Дистрибутив Rocky Linux развивается под покровительством организации Rocky Enterprise Software Foundation (RESF), которая зарегистрирована как общественно-полезная корпорация (Public Benefits Corporation), не нацеленная на получение прибыли. Владельцем организации является Грегори Курцер (Gregory Kurtzer), основатель CentOS, но функции управления в соответствии с принятым уставом делегированы совету директоров, в который сообществом избираются участники, вовлечённые в работу над проектом. Параллельно для развития расширенных продуктов на базе Rocky Linux и поддержки сообщества разработчиков данного дистрибутива создана коммерческая компания Ctrl IQ, которая получила 26 млн долларов инвестиций. К разработке и финансированию проекта присоединились такие компании, как Google, Amazon Web Services, GitLab, MontaVista, 45Drives, OpenDrives и NAVER Cloud.

1. OpenNews: Выпуск дистрибутива Rocky Linux 9.7
2. OpenNews: Rocky Linux ввёл в строй репозиторий для оперативного устранения уязвимостей
3. OpenNews: Выпуск дистрибутива Rocky Linux 10.1
4. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 10.2
5. OpenNews: Релиз AlmaLinux 9.8 и 10.2

Главное отличие от аналогов - ai-cli не является AI-агентом и никогда не выполняет команды автоматически: утилита печатает команды в терминале, эмулируя ввод с клавиатуры, после чего пользователь может отредактировать их и нажать Enter для запуска. Вся конфигурация, история операций, буфер, настройки провайдеров сохраняется в обычных текстовых YAML-файлах. Действия с ответом AI определяется конфигурацией пользователя, утилита не требует установки какого либо специфического эмулятора терминала.

   echo привет | ai --provider=openai | ai --provider=groq > out.txt

• Шесть уязвимостей в утилите для синхронизации файлов rsync. Наиболее опасная проблема (CVE-2026-29518), вызванная состоянием гонки при обработке символических ссылок, позволяет повысить свои привилегии при запуске rsync в режиме фонового процесса без chroot-изоляции. Атака производится через подмену файла на символическую ссылку, указывающую на произвольный файл в системе, в момент после выполнения проверки, но до начала операции записи. Уязвимости устранены в выпуске rsync 3.4.3. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимости (CVE-2026-8631) в HPLIP, наборе открытых драйверов для принтеров и МФУ, позволяющие повысить свои привилегии и выполнить код в системе. Проблемы вызваны возможностью подстановки команд и переполнением буфера. Уязвимости устранены в обновлении HPLIP 3.26.4. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимости в D-Bus-сервисе, используемом в qSnapper, графическом интерфейсе для управления снапшотами Btrfs. Уязвимости могут привести к повышению своих привилегий в системе (CVE-2026-41046), утечке информации об изменениях между снапшотами (CVE-2026-41047) и обходу аутентификации при доступе к Polkit (CVE-2026-41045). Наиболее опасная уязвимость вызвана отсутствием проверки символов "../" в путях, передаваемых в функцию snapper::Snapper() при обращении через D-Bus, что можно использовать для подмены файла конфигурации для libsnapper в обработчике, выполняемом с повышенными привилегиями. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимость (CVE-2026-48095) в архиваторе 7-Zip, приводящая к переполнению буфера при обработке сжатых данных NTFS. Потенциально уязвимость может привести к выполнению кода атакующего при обращении через 7-Zip к специально оформленному образу файловой системы NTFS. Уязвимость устранена в версии 7-Zip 26.01. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• В DNS-сервере Unbound 1.25.1 исправлено 11 уязвмостей. Наиболее опасные уязвимости: CVE-2026-33278 - потенциальное удалённое выполнение кода при валидации DNSSEC, CVE-2026-44608 - обращение к уже освобождённой памяти в коде RPZ и CVE-2026-42944 - переполнение кучи при обработке nsid. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимость (CVE-2026-3593) в DNS-сервере BIND, позволяющая вызвать обращение к памяти после её освобождения и повреждение содержимого памяти через отправку специально оформленного запроса к серверу DNS-over-HTTPS. Проблема устранена в версиях BIND 9.20.23 и 9.21.22. Конфигурации не использующие DNS-over-HTTPS уязвимости не подвержены. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимость (CVE-2026-47243) в Kata Containers, стеке для выполнения контейнеров с использованием изоляции на базе виртуализации, позволяющая при наличии прав root в контейнере создать с правами root символическую ссылку на стороне хост-системы. Через создание символической ссылки в /etc/cron.d можно огранизовать выполнение своего кода с правами root в хост-окружении. Уязвимость вызвана возможностью отправки прямого запроса FUSE_SYMLINK в обработчик virtiofsd, выполняемый на стороне хоста. Проблема проявляется при использовании runtime-rs и устранена в выпуске 3.31.0. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимость (CVE-2026-46529) в просмотрщике документов Atril, приводящая к выполнению кода атакующего при клике на ссылку внутри специально оформленного PDF-файла, совмещающего PDF-документ и библиотеку в формате ELF. Имеется эксплоит. Аналогичная проблема присутствует в PDF-просмотрщиках Evince и Xreader. Проблема вызвана отсутствием экранирования спецсимволов shell quoting в функции ev_spawn(). Уязвимость устранена в Evince 48.2, Atril 1.28.4/ 1.26.3 и Xreader 4.6.4/3.6.7. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимость (CVE не назначен) в просмотрщике справочных руководств Yelp (GNOME Help), позволяющая в обход sandbox-окружения пакетов Flatpak получить доступ к файлам основной системы через открытие специально оформленного help-файла. Уязвимость походит на прошлогоднюю проблему и отличается использованием для подстановки CSS-стиля, встроенного в SVG-файл. Проблема устранена в выпуске Yelp 49.1.
• Уязвимость (CVE-2026-41054) в haveged, фоновом процессе формирования энтропии для генератора псеведослучайных чисел, позволяющая поднять свои привилегии до пользователя root через отправку специально оформленной команды через управляющий Unix-сокет. Проблема устранена в выпуске haveged 1.9.21. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• 11 уязвимостей в СУБД PostgreSQL, наиболее опасная из которых (CVE-2026-6637) может привести к выполнению кода на уровне операционной системы с правами серверного процесса PostgreSQL при выполнении специально оформленных SQL-запросов (атакующий должен иметь непривилегированный доступ к СУБД). Другая опасная уязвимость (CVE-2026-6475) позволяет перезаписать файлы на сервере (например, /var/lib/postgres/.bashrc) через манипуляции с символическими ссылками при выполнении операций с pg_basebackup и pg_rewind. Проблемы устранены в выпусках PostgreSQL 18.4, 17.10, 16.14, 15.18 и 14.23. Также можно отметить публикацию рабочего эксплоита для ранее выявленной уязвимости (CVE-2026-2005) в расширении pgcrypto. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• В системе обнаружения и предотвращения сетевых вторжений Suricata выявлено 16 уязвимостей, из которых четырём присвоен критический уровень опасности. Детали об уязвимостях пока не раскрываются публично, но судя по уровню опасности они позволяют организовать выполнение кода на сервере при инспектировании специально оформленного трафика. Уязвимости устранены в выпусках Suricata 8.0.5 и 7.0.16.
• Уязвимость (CVE-2026-8053) в MongoDB Server, позволяющая пользователю, имеющему доступ к БД на запись, инициировать переполнение буфера и добиться выполнения своего кода на сервере с правами процесса mongod. Уязвимость устранена в выпусках MongoDB 5.0.33, 6.0.28, 7.0.34, 8.0.23, 8.2.9 и 8.3.2. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Десять уязвимостей (CVE не назначены) в системе кэширования данных в оперативной памяти Memcached, наиболее опасные из которых приводят к переполнению буфера при отправке специально оформленных запросов и потенциально могут использоваться для организации выполнения кода на сервере. Уязвимости устранены в версии Memcached 1.6.42.

C весны 2024 года разработка MATE находилась в стагнации, но сейчас к активному сопровождению проекта подключился Виктор Карех (Victor Kareh) из компании Red Hat. Среди изменений в MATE 1.29:

• В настройку MateRROutput добавлено свойство hotplug_mode_update, использующее расширение RandR для поддержки динамического изменения разрешения устройствами вывода. На практике, изменение позволяет адаптировать окружение к изменению размера окна при запуске в системах виртуализации.
• Механизм фоновой генерации миниатюр избавлен от использования специфичных для X11 вызовов при работе в окружениях на базе Wayland. Вместо функции gdk_x11_screen_get_xscreen для получения информации о размере экрана на системах с Wayland задействован вызов gdk_monitor_get_geometry.
• В оконном менеджере marco реализованы настройки alt-tab-minimized-placement и alt-tab-urgent-placement для выбора способа отображения минимизированных окон и предупреждений в интерфейсе Alt+Tab.
• В файловом менеджере Caja реализована опция для прекращения генерации миниатюр в очень больших директориях, разрешено отсоединение вкладок в отдельные окна,
• Устранены утечки памяти и проблемы с выбором цвета через mate-color-select.

1. OpenNews: Основатель и лидер Ubuntu MATE объявил об уходе из проекта
2. OpenNews: Релиз среды рабочего стола MATE 1.28 с экспериментальной поддержкой Wayland
3. OpenNews: Инициатива по портированию приложений MATE для Wayland

Платформа включает свободную реализацию сетевой инфраструктуры (fabric) на базе Kube-OVN, и использует Cilium для организации сервисной сети, MetalLB для анонса сервисов наружу. Хранилище реализовано на LINSTOR, где предлагается использование ZFS в качестве базового слоя для хранилища и DRBD для репликации. Имеется преднастроенный стек мониторинга на базе VictoriaMetrics и Grafana. Для запуска виртуальных машин используется технология KubeVirt, которая позволяет запускать классические виртуальные машины прямо в контейнерах Kubernetes и уже имеет все необходимые интеграции с Cluster API для запуска управляемых Kubernetes-кластеров внутри "железного" Kubernetes-кластера. В рамках платформы можно по клику разворачивать Kafka, FerretDB, PostgreSQL, Cilium, Grafana, Victoria Metrics и другие сервисы.

Главные нововведения в Cozystack 1.4.0:

• Представлен новый интерфейс управления, основанный на проекте cozystack-ui. Старый стек openapi-ui и BFF заменён фронтедом на React 19 и TypeScript, который работает напрямую с Kubernetes API. Кроме того, в интерфейсе появилась поддержка динамических VNC WebSocket URL для виртуальных машин, runtime-брендинга через ConfigMap, чтения ApplicationDefinition для каталога приложений и перенаправления старых адресов /openapi-ui/*.
• Для worker-узлов тенантных кластеров реализовано постоянное хранилище. Виртуальные машины worker-узлов теперь используют PVC-диски через KubeVirt dataVolumeTemplates вместо emptyDisk. Благодаря этому kubelet-сертификаты, kubeconfig и состояние containerd сохраняются после перезапуска виртуальной машины. Поле ephemeralStorage переименовано в diskSize, добавлена настройка storageClass на уровне NodeGroup. В процессе миграции старые значения автоматически преобразуются.
• Добавлена новая схема пресетов ресурсов по аналогии с типами виртуальны машин у облачных провайдеров. Пресеты описываются в формате <series>.<size>, где серии t1, c1, s1, u1 и m1 задают разные соотношения CPU и памяти, а размеры варьируются от nano до 4xlarge. Всего доступно 40 вариантов. Старые имена пресетов сохранены как устаревающие алиасы и автоматически мигрируются без изменения фактических лимитов CPU и памяти.
• Расширена система декларативного резервного копирования управляемых приложений. Контроллер backupstrategy получил стратегии для PostgreSQL, MariaDB, ClickHouse и FoundationDB. Поддерживаются BackupClass, Plan, BackupJob и RestoreJob, плановые и разовые бэкапы, восстановление на месте и восстановление в копию. Данные выгружаются в S3-совместимое объектное хранилище, а учётные данные передаются через Kubernetes Secret.
• Добавлен необязательный системный пакет hami с HAMi 2.8.1 для совместного обращения к NVIDIA GPU в тенантных кластерах. Пользовательские workload'ы могут запрашивать ресурсы nvidia.com/gpu, nvidia.com/gpumem и nvidia.com/gpucores, что позволяет распределять vGPU между несколькими pod'ами. Включение выполняется через параметр hami.enabled и требует NVIDIA GPU Operator.
• Появилась единая настройка publishing.proxyProtocol для включения протокола PROXY на хостах с ingress-nginx. При её активации автоматически разворачивается Ouroboros, устраняющий проблему hairpin-NAT для обращений из кластера к его публичным именам. Для тенантных кластеров предусмотрено дополнение addons.ouroboros.enabled.
• В cozystack-operator добавлены настройки генерации HelmRelease: interval, retry interval, install timeout, upgrade timeout и max history. Стратегия повторных попыток переведена на RetryOnFailure, а для отдельных приложений можно задавать timeout через аннотацию release.cozystack.io/helm-install-timeout. Это устраняет ряд проблем при холодном запуске тенантных кластеров.
• Для worker-узлов тенантного Kubernetes автоматически рассчитываются резервирование ресурсов kubelet для CPU и памяти. Аннотации cluster-autoscaler теперь отражают выделяемые ресурсы, а не общий объём CPU и памяти.
• Обновлены базовые компоненты платформы: Talos 1.13.0, cert-manager 1.20.2, Cilium 1.19.3, NVIDIA GPU Operator 26.3.1, etcd-operator 0.4.3, KubeVirt 1.8.2, cozy-proxy 0.3.0, linstor-csi 1.10.6. Добавлены новые пакеты HAMi 2.8.1 и Ouroboros 0.7.2.
• Улучшена диагностика: cozyreport теперь собирает сведения о Flux, cert-manager, host-окружении, Application, ApplicationDefinition и Tenant-ресурсах, а также формирует summary.txt с краткой сводкой текущих проблем. Добавлены Grafana-дашборды и правила сбора данных для мониторинга GPU.
• Исправлены ошибки в MongoDB, Kafka, tenant Kubernetes bootstrap, etcd, Velero, Kamaji, LINSTOR, SeaweedFS, Harbor, objectstorage-controller, API и других компонентах. В API устранена IDOR-уязвимость в обработчиках TenantNamespace Get и Watch.

При обновлении следует учитывать, что worker-узлы тенантных кластеров будут один раз последовательно заменены из-за перехода на постоянные PVC-диски. Виртуальные машины KubeVirt, запущенные до обновления платформы, потребуют холодной перезагрузки после перехода на KubeVirt 1.8.2, так как живая миграция старых virt-launcher-процессов может завершаться ошибкой из-за изменения версии QEMU. Кроме того, параметры PostgreSQL теперь типизированы и проверяются по denylist, а cert-manager 1.20 по умолчанию запускает контейнеры с UID/GID 65532.

1. OpenNews: Выпуск Cozystack 1.2, открытой PaaS-платформы на базе Kubernetes