Детали о сути уязвимости планируют опубликовать через 30 дней. Указано, что проблема была выявлена в начале мая, присутствовала в коде два года и в настоящее время устранена. В публично доступном коде платформы Savane, на которой построен хостинг GNU Savannah, последние изменение внесено в феврале.

GNU Savannah продолжает использоваться для разработки инструментов GNU, а также является единственным хостингом, которому Фонд СПО присвоил рейтинг "A", указывающий на соответствие наивысшим требованиям по обеспечению приватности, свободы и копилефта. С другой стороны Savannah остаётся самым консервативным хостингом СПО (например, не использует JavaScript) и существенно проигрывает современным платформам совместной разработки, таким как GitHub и GitLab, с точки зрения удобства работы с кодом.

1. OpenNews: GitLab запустил зеркало GNU Savannah
2. OpenNews: Подробности об улучшениях безопасности инфраструктуры Savannah
3. OpenNews: Взлом Savannah затронул и www.gnu.org. Хронология событий
4. OpenNews: Хостинг Savannah.gnu.org взломан неизвестными злоумышленниками
5. OpenNews: Причины недоступности и утери данных на хостинге Savannah.gnu.org

Изменения в ветке KDE Plasma 6.8:

• В многомониторных конфигурациях в дополнение к названию монитора обеспечен вывод порядковых номеров устройств, выделенных разным цветом. Показ меток с номерами мониторов при навигации по экранам и в диалоге настройки приоритета позволяет более наглядно разделять подключённые мониторы и избежать путаницы при использовании нескольких мониторов от одного производителя (например, при подключении к виртуальной машине нескольких виртуальных мониторов).
• В приложениях на базе QML задействован интерфейс выбора цвета от KDE вместо использования реализации из состава Qt, не соответствующей цветовым схемам KDE.
• Добавлена возможность размещения окон поверх других окон при их перетаскивании мышью, удерживая клавишу Meta.
• Реализован вывод предупреждения при попытке удалении файлов с рабочего стола без наличия необходимых прав доступа (ранее файлы, принадлежащие пользователю root, просто оставались на месте без объяснения почему их удаление не было выполнено).
• В виртуальной клавиатуре расширен перечень символов, которые можно вводить удерживая нажатие.
• В диалоге соединения через VPN реализована более заметная кнопка для подключения (ранее на кнопке присутствовал только непонятный значок с изображением разъёма, а теперь добавлено слово "Connect").
  
  

Кроме того, после релиза KDE Plasma 6.7 началась подготовка корректирующего выпуска KDE Plasma 6.7.1, в котором устранено аварийное завершение KWin при входе в систему, если какое-либо приложения запрашивает не поддерживаемый цветовой формат (например, "RG16"). Отключён по умолчанию плагин ввода для игровых контроллеров из-за возникновения состояния гонки при подключении устройств. Добавлен эффект для плавного переключения между глобальными темами оформления, похожий на эффект, применяемый при изменении цветовых схем.

1. OpenNews: Релиз среды рабочего стола KDE Plasma 6.7
2. OpenNews: В KDE улучшена поддержка приложений на базе GTK 2 с тёмной темой оформления
3. OpenNews: Размер кодовой базы KDE достиг 8 млн строк кода
4. OpenNews: Фонд Sovereign выделил почти 1.3 миллиона евро на развитие KDE
5. OpenNews: Опубликован KDE Gear 26.04, набор приложений от проекта KDE

Ключевые изменения:

• Осуществлён переход на ядро Linux 6.18 (ранее использовалась версия 6.12).
• Композитный сервер labwc обновлён до версии 0.9.7.
• В панели lxpanel разрешено использование пиктограмм увеличенного размера.
• Задействованы новые пиктограммы в интерфейсе для установки дополнительного ПО (Recommended Software), а также в панелях инструментов в приложениях LibreOffice, geany, xarchiver и eom.
• Добавлена защита от одновременного запуска нескольких экземпляров приложений pishutdown, rpcc, agnostics, bookshelf, gui-runcmd, rp-prefapps и piclone.
• Из поставки исключён пакет python3-flask.

1. OpenNews: Обновление Raspberry Pi OS и выпуск Raspberry Pi Imager 2.0
2. OpenNews: Выпуск Raspberry Pi OS, переведённый на пакетную базу Debian 13
3. OpenNews: Новая версия Raspberry Pi OS
4. OpenNews: Представлен компьютер-клавиатура Raspberry Pi 500+
5. OpenNews: Для плат Raspberry Pi опубликован генератор системных образов rpi-image-gen

Свободно использовать загруженную версию могут только физические лица, в том числе – индивидуальные предприниматели. Коммерческие и государственные организации могут скачивать и тестировать дистрибутив, но для постоянной работы в корпоративной инфраструктуре юридическим лицам необходимо приобретать лицензии или заключать лицензионные договоры в письменной форме.

Основные изменения:

• Пользовательское окружение обновлено до выпуска KDE Plasma 6.6, в котором появилась поддержка распознавания текста на скриншотах, предложена новая экранная клавиатура, добавлена возможность цветокоррекции для людей с нарушением восприятия цветов и реализована автоматическая настройка яркости экрана на устройствах с датчиком освещённости. Обновлены набор приложений KDE Gear 26.04, KDE Frameworks 6.26 и Qt 6.10.
• Предложена новая схема упаковки драйверов NVIDIA, которые теперь поставляются единым набором со всеми необходимыми компонентами, библиотеками и утилитами.
• После обновления системы обеспечена корректная работа видеокарты NVIDIA на текущем ядре, без необходимости обновлять модуль ядра NVIDIA.
• Из поставки исключена утилита userpasswd (пароль можно изменить в конфигураторе "Система" - "Параметры системы" - "Пользователи").
• Stapler выделен в отдельный компонент инсталлятора.
• Сеанс "Веб-терминал" переведён на использование Wayland и Systemd, добавлена поддержка звука.
• Архиватор p7zip заменён на 7-Zip.

1. OpenNews: Выпуск дистрибутива Альт Рабочая станция К 11.3
2. OpenNews: Мобильная платформа ALT Mobile 11.0, построенная на технологиях GNOME
3. OpenNews: Выпуск дистрибутива Simply Linux 11.1
4. OpenNews: Выпуск дистрибутива Альт Сервер 11.0
5. OpenNews: Опубликована одиннадцатая платформа ALT

1. OpenNews: При переводе Firefox на zlib-rs разработчики натолкнулись на ошибку в CPU Intel
2. OpenNews: Mozilla представила план развития Firefox
3. OpenNews: Выпуск Firefox 152 с обновлённым конфигуратором и поддержкой JPEG XL

Уязвимость устранена в выпуске JCE 2.9.99.5, следом за которым опубликовано обновление 2.9.99.6 с усилением защиты. Уязвимость затрагивает все версии JCE (от Joomla 3 до Joomla 6). После установки обновления следует удостовериться, что система не была скомпрометирована и в ней не остаётся установленный атакующими бэкдор.

Проверить наличие подставного профиля, который как правило имеет бессмысленное автоматически сгенерированное имя, можно в интерфейсе адиминистратора в секции "Компоненты" - "Редактор JCE" - "Профили редактора". Также следует удостовериться в отсутствии разрешения загрузки PHP-файлов в параметре "Разрешённые расширения файлов" и проверить логи на предмет запросов к url импорта профилей (index.php?option=com_jce&task=profiles.import). О компрометации также может свидетельствовать появление на сайте сторонних .htaccess и файлов с именами, типичными для CMS WordPress, а не Joomla, таких как wp-config.php и wp-cron.php.

1. OpenNews: Уязвимость в библиотеке PharStreamWrapper, затрагивающая Drupal, Joomla и Typo3
2. OpenNews: Уязвимость, позволяющая выполнить SQL-запрос в системе управления контентом Joomla
3. OpenNews: Критическая уязвимость в PHPMailer, применяемом в WordPress, Drupal и Joomla
4. OpenNews: Критические уязвимости в системе управления контентом Joomla
5. OpenNews: Новая критическая уязвимость в Joomla использована для совершения массовой атаки

1. OpenNews: Возрождение разработки Ubuntu MATE после ухода основателя проекта
2. OpenNews: Ubuntu MATE 26.04 и Ubuntu Unity 26.04 решено не присваивать статус LTS
3. OpenNews: Планы развития Ubuntu Desktop 26.10
4. OpenNews: Компания Canonical представила редакцию Ubuntu для смартфонов
5. OpenNews: Официальные редакции Ubuntu прекратят поддержку Flatpak в базовой поставке

• CVE-2026-42530 - обращение к уже освобождённой памяти (use-after-free) в реализации протокола HTTP/3. Проблеме присвоен критический уровень опасности (9.2 из 10), не исключающий удалённое выполнение кода с правами рабочего процесса при обработке специально оформленного сеанса по протоколу QUIC.
• CVE-2026-42055 - переполнение буфера в модулях ngx_http_proxy_v2_module и ngx_http_grpc_module, проявляющееся при проксировании специально оформленных запросов по протоколу HTTP/2 или к бэкенду gRPC. Проблеме присвоен критический уровень опасности (9.2 из 10), допускающий удалённое выполнение кода. Уязвимость проявляется в конфигурациях с настройкой "ignore_invalid_headers off;" и большим значением "large_client_header_buffers".
• CVE-2026-48142 - чтение из области вне выделенного буфера при обработке специально оформленных запросов, приводящих к перекодированию текста в кодировке UTF-8 при помощи модуля ngx_http_charset_module. Уязвимость появляется в конфигурациях с директивой "charset_map" при наличии в блоке location директив "source_charset utf-8" и "charset другая_кодировка". Проблеме присвоен средний уровень опасности (6.3 из 10), допускающий утечку содержимого памяти рабочего процесса.

Помимо исправления уязвимостей в версии nginx 1.31.2 добавлена переменная $ssl_sigalgs, содержащая алгоритмы цифровых подписей, заявленные клиентом в сообщении ClientHello во время согласования TLS-соединения. Для формирования идентификатора, передаваемого через переменную $request_id, задействован алгоритм хэшрования SipHash-2-4.

1. OpenNews: В nginx выявлена вторая за 10 дней удалённо эксплуатируемая уязвимость
2. OpenNews: Обновление nginx 1.31.0 с устранением RCE-уязвимости, эксплуатируемой через HTTP-запрос
3. OpenNews: Выпуск nginx 1.30.0 и форка FreeNginx 1.30.0
4. OpenNews: Релиз http-сервера Apache 2.4.68 с устранением 13 уязвимостей
5. OpenNews: Атаки, меняющие настройки nginx для перенаправления трафика

В качестве причины удаления называется наличие неисправленных ошибок в реализации AppleTalk. Разработчикам поступила серия исправлений, подготовленных при помощи AI-ассистентов, но их некому проверять, так как подсистема осталась без сопровождающих. Для тех кому может потребоваться код удалённых из ядра модулей, реализации AppleTalk, ATM, AX.25, ISDN и hamradio вынесены в отдельный репозиторий на GitHub.

Помимо AppleTalk из кодовой базы ядра 7.2 также удалены компоненты технологии передач данных ATM, не связанные с PPPoATM, а также код для интеграции TLS с sockmap и поддержки диапазонов частот 5/10 MHz в беспроводном стеке cfg80211/mac80211. Из-за наличия нерешаемых проблем с блокировками и отсутствия сопровождающих удалена специфичная реализация ускорения обработки TLS на базе TCP Offload Engine (более распространённая реализация TLS offload сохранена). Отключён и запланирован для удаления код совместимости с 32-разрядными x_tables на 64-разрядных системах.

1. OpenNews: В ядро Linux 7.1 добавлена поддержка Realtime-режима для 32-разрядных систем ARM
2. OpenNews: Из ветки ядра Linux 7.1 удалены старые Ethernet-драйверы, busmouse, AX.25, ISDN и CAIF
3. OpenNews: В ядре Linux 7.1 начали удаление поддержки процессоров Baikal
4. OpenNews: Из ядра Linux 7.1 удалены опции сборки для процессоров i486
5. OpenNews: Критические уязвимости в Netatalk, приводящие к удалённому выполнению кода

Некоторые проблемы:

• 1 уязвимость в сервере MySQL, которая может быть эксплуатирована удалённо без прохождения аутентификации. Проблема связана с обработкой соединений и имеет уровень опасности 7.5 из 10. Уязвимость устранена в выпусках MySQL Community Server 9.7.1 и 8.4.10.
• 10 уязвимостей в VirtualBox, три из которых помечены как опасные (7.5 из 10). Детали о характере уязвимостей не раскрываются, упоминается лишь, что они вызваны проблемами в реализации VMM, общих каталогов и устройства VMSVGA. Проблемы устранены в выпуске VirtualBox 7.2.10.
• Три уязвимости в Solaris. Одной из проблем (CVE-2026-46978) присвоен критический уровень опасности (10 из 10). Уязвимость присутствует в Remote Administration Daemon и может использоваться для удалённого получения прав администратора через отправку специально оформленного запроса по HTTPS. Менее опасные уязвимости затрагивают файловую систему (опасность 7.1 из 10) и стандартные библиотеки (4.4 из 10). Уязвимости устранены в обновлении Solaris 11.4 SRU93.
• В Java SE проблем в отчёте не отмечено и корректирующие выпуски Java SE не сформированы.

1. OpenNews: Выпуск VirtualBox 7.2.10
2. OpenNews: Уязвимости в Java SE, MySQL, VirtualBox и других продуктах Oracle
3. OpenNews: Oracle опубликовал бесплатную редакцию Solaris 11.4.90 CBE

Сегодня планируют выпустить финальный релиз GrapheneOS на базе Android 16 QPR2, после чего завтра предложить начальную версию на базе Android 17. В версии GrapheneOS на базе Android 17 обеспечена поддержка всех устройств, для которых формировались сборки на базе ветки Android 16, но протестированы сборки пока только на смартфонах Pixel 6a, 7, 7a, 8, 10a, 10 и 10 Pro Fold.

GrapheneOS развивает ответвление от кодовой базы AOSP (Android Open Source Project), включающее многие экспериментальные технологии, связанные с усилением изоляции приложений, управлением доступом, блокированием проявления уязвимостей и усложнением работы эксплоитов. Среди прочего, в платформе задействована собственная реализация malloc, модифицированный вариант libc с защитой от повреждения памяти и более жёсткое разделение адресного пространства процессов. В ядре Linux включены дополнительные механизмы защиты, такие как канареечные метки в slub для блокирования переполнения буферов. Для усиления изоляции приложений задействованы SELinux и seccomp-bpf. Пользователь может выборочно ограничивать доступ приложений к сетевым операциям, датчикам, адресной книге и периферийным устройствам (USB, камере).

1. OpenNews: Motorola и GrapheneOS объявили о сотрудничестве в области создания защищённых смартфонов
2. OpenNews: Давление французских силовых ведомств на GrapheneOS из-за отказа интегрировать бэкдор
3. OpenNews: Создан форк systemd без хранения возраста. GrapheneOS отказался верифицировать возраст
4. OpenNews: В Android-платформе GrapheneOS появилась возможность создания деструктивного PIN-кода
5. OpenNews: Выпуск мобильной платформы Android 17

• В дополнения для гостевых систем и хост-окружений с Linux добавлена начальная поддержка ядра Linux 7.1, включены дополнительные исправления для дистрибутива RHEL 9.8, устранён сбой при при сборке модулей ядра в openSUSE 16.0. Добавлена поддержка сборки исходного кода с использованием ассемблера NASM вместо YASM.
• В дополнениях для хост-окружений с Linux решена проблема, мешавшая запуску виртуальных машин из-за сбоев в ядре.
• В дополнения для гостевых систем с Linux добавлена начальная поддержка протокола Extended Data Control для доступа к буферу обмена в гостевых системах с KDE Plasma, использующих Wayland. Налажена сборка модуля vboxvideo при использовании ядер 7.0 и 7.1.
• Устранён сбой загрузки виртуальных машин с CentOS 10 с сообщением об отсутствии в CPU поддержки субархитектуры x86-64-v3.
• Решены проблемы с загрузкой на системах ARM виртуальных машин, которым назначено менее 1024 MiB ОЗУ.
• Устранена проблема, из-за которой устройство VIRTIO-SCSI не распознавалось в гостевой системе как SSD.
• Решены проблемы в коде эмуляции сетевого адаптера E1000, не позволявшие загрузить OS/2 в гостевой системе.
• В дополнения для гостевых систем с OS/2 исправлены проблемы с автоматическим монтированием совместно используемых каталогов и неработой буфера обмена.

Дополнение: Помимо перечисленных изменений в новой версии устранено 10 уязвимостей (максимальный уровень опасности 7.5 из 10), подробности о которых пока не раскрываются, упоминается лишь, что они вызваны проблемами в реализации VVM, общих каталогов и устройства VMSVGA.

1. OpenNews: Уязвимости в Java SE, MySQL, VirtualBox и других продуктах Oracle
2. OpenNews: Выпуск VirtualBox 7.2.8
3. OpenNews: В VirtualBox добавлена предварительная поддержка работы поверх гипервизора KVM
4. OpenNews: VirtualBox адаптирован для работы поверх гипервизора KVM

В новом выпуске:

• Добавлена поддержка TrueType-шрифтов с использованием библиотеки FreeType.
• Через интеграцию библиотеки stb_image обеспечена поддержка различных форматов изображений.
• Проект стал модульным - по умолчанию в составе движка теперь собираются три библиотеки: LDL, LDL_Image и LDL_Ttf.
• Добавлены новые примеры для работы со шрифтами.
• Началась подготовка полноценной документации.
• Проведён рефакторинг кода для повышения стабильности и производительности.
• Исправлен ошибки и и недоработки в 2D- и 3D-рендерах.

В следующих выпусках планируется завершить работу над документацией, расширить возможности 3D-рендера и предоставить обвязки для языков Python, C# и Object Pascal.

1. OpenNews: Релиз графической библиотеки LDL 0.2, оптимизированной для маломощных систем
2. OpenNews: Релиз мультимедийной библиотеки LDL 0.1, оптимизированной для маломощных систем
3. OpenNews: Проект SDL3Lite развивает версию библиотеки SDL3 с поддержкой старых систем
4. OpenNews: Опубликована мультимедийная библиотека LDL, оптимизированная для маломощных систем

Заявки принимаются до 15 августа 2026 года. Награждение лауреатов состоится 2-4 октября на XXII конференции разработчиков свободных программ. В своё время при поддержке Института Логики зародился IPlabs Linux Team, ставший в дальнейшем основой для ALT Linux.

Сообщения, отправленные через форму на Hackerone и email [email protected] в указанное время сопровождающими рассматриваться не будут. Возможность отправки pull-запросов и сообщений о проблемах через GitHub останется доступна, но разбор накопившихся сообщений об уязвимостях начнётся только после 3 августа.

1. OpenNews: AI-модель Claude Mythos не продемонстрировала особых достижений при поиске уязвимостей в Curl
2. OpenNews: Проект Curl избавился от использования функции strcpy в коде
3. OpenNews: Проблемы из-за подготовленных AI-инструментами отчётов об уязвимостях
4. OpenNews: В CVE опубликованы отчёты о ложных уязвимостях в curl, PostgreSQL и других проектах
5. OpenNews: Anthropic анонсировал AI-модель Claude Mythos, умеющую создавать рабочие эксплоиты