• В дополнениях для гостевых систем с Linux реализована начальная поддержка ядра 6.13. Добавлены дополнительные патчи для ядер 6.4 и 6.12, решающие проблемы с графикой в драйвере vboxvideo.
• В дополнения для хостов и гостевых систем с Linux добавлена поддержка пакета с ядром, поставляемым в дистрибутиве RHEL 9.6. Добавлены дополнительные исправления, устраняющие предупреждения UBSAN (Undefined Behavior Sanitizer).
• Добавлен новый тип гостевых систем для запуска Windows Server 2025.
• В менеджере виртуальных машин решены проблемы, приводящие к появлению "синего экрана смерти" при запуске Windows 11 24H2 в гостевой системе.
• В графическом интерфейсе пользователя улучшено диалоговое окно с расширенными настройками. Повышена наглядность показа отключённых настроек при использовании некоторых тем оформления в Linux. В конфигураторе возвращена возможность изменения мостового адаптера (bridged) при запуске виртуальной машины. Решены проблемы с недоступностью переключателя 3D-ускорения для некоторых гостевых систем и графических адаптеров.
• В VirtioNet устранены проблемы с повторным применением настроек после сброса.
• Решена проблема с мерцанием экрана гостевых систем с Linux при использовании графического адаптера VMSVGA.
• В VBoxManage добавлена поддержка импорта и экспорта виртуальных машин, использующих контроллер NVMe.
• Для хостов и гостевых систем с Windows переделана установка драйверов.
• Из пакета для хостов с Solaris удалены библиотеки libqgtk2styleVBox.so и libqgtk2VBox.so, зависящие от GTK2, поддержка которого прекращена.

1. OpenNews: Обновление VirtualBox 7.1.4
2. OpenNews: Обновление Java SE, MySQL, VirtualBox, Solaris и других продуктов Oracle с устранением уязвимостей
3. OpenNews: Релиз системы виртуализации VirtualBox 7.1
4. OpenNews: На соревновании Pwn2Own 2024 продемонстрированы взломы Ubuntu, Firefox, Chrome, Docker и VirtualBox
5. OpenNews: VirtualBox адаптирован для работы поверх гипервизора KVM

Некоторые проблемы:

• 2 проблемы с безопасностью в Java SE. Одна уязвимость в Java SE может быть эксплуатирована удалённо без проведения аутентификации и затрагивает окружения, допускающие выполнение не заслуживающего доверия кода. Наиболее опасная проблема в Java SE имеет уровень опасности 7.3 (уязвимость в Hotspot) и затрагивает инсталлятор (Sparkle). Удалённо эксплуатируемая уязвимость имеет уровень опасности 4.8 и затрагивает виртуальную машину Hotspot. Уязвимости устранены в выпусках Java SE 23.0.2, 17.0.14, 11.0.26 и 8u441.
• 32 уязвимости в сервере MySQL, из которых 3 могут быть эксплуатированы удалённо. Две наиболее серьёзные проблемы имеют уровень опасности 9.1 и связаны с уязвимостями в компонентах Kerberos и Curl. Менее опасные уязвимости затрагивают InnoDB, Thread Pooling, DDL, оптимизатор, парсер и систему аутентификации. Проблемы устранены в выпусках MySQL Community Server 9.2.0, 8.4.4 и 8.0.41.
• 2 уязвимости в VirtualBox, одна из которых помечена как опасная (7.3 из 10). Уязвимости, которые позволяют локальным пользователям повысить свои привилегии, устранены в обновлениях VirtualBox 7.1.6 и 7.0.24.
• 1 уязвимость в Solaris, которая затрагивает файловую систему (уровень опасности 6 из 10). Уязвимость устранена в обновлении Solaris 11.4 SRU77. В новой версии Solaris также обновлены версии пакетов Django 4.2.17, Firefox 128.5.0esr MySQL 8.0.40, PHP 8.3.14, Thunderbird 128.5.0esr, Wireshark 4.4.2, ansible-core 2.18.0, python 3.9.20, virtualenv 20.27.1, wget 1.25.0, kernel/privilege и utility/net-snmp, в которых также были устранены уязвимости.

1. OpenNews: Обновление Java SE, MySQL, VirtualBox, Solaris и других продуктов Oracle с устранением уязвимостей
2. OpenNews: Выпуск операционной системы Solaris 11.4 SRU72
3. OpenNews: Уязвимость в VirtualBox, эксплуатируемая через протокол RDP
4. OpenNews: Возможность генерации фиктивных подписей ECDSA в Java SE. Уязвимости в MySQL, VirtualBox и Solaris

Среди изменений в новой версии:

• На системах x86 для ускорения работы алгоритма PBKDF2-HMAC-SHA256 задействованы специализированные инструкции CPU для вычисления хэшей SHA-256.
• Для платформ ARM64 добавлена поддержка расширенных инструкций для аппаратного ускорения шифрования AES.
• Упрощена логика определения сеансов, созданных с использованием утилиты sudo.
• Решены проблемы при сборке с библиотекой wxWidgets, поставляемой в Ubuntu.
• Добавлена проверка существования разделов перед монтированием.
• В сборках для macOS по умолчанию отключён захват экрана (для включения добавлена опция "--allow-screencapture").
• Прекращена поддержка 32-разрядных систем Windows. В качестве минимально поддерживаемого заявлен выпуск Windows 10 update 1809 (октябрь 2018 года). На системах с Windows задействован генератор псевдослучайных чисел BCryptGenRandom (вместо устаревшего CryptGenRandom) и современный API для накопления энтропии.
• Устранена уязвимость CVE-2024-54187, вызванная использованием относительных путей при запуске системных исполняемых файлов. Для защиты от подмены запускаемых файлов, путём их размещение в доступных пользователю каталогах, при запуске теперь используются только абсолютные пути.
• Устранена уязвимость CVE-2025-23021, позволявшая монтировать разделы в системные каталоги, например, в каталоги, упомянутые в переменной окружения PATH.

1. OpenNews: Выпуск системы шифрования дисковых разделов VeraCrypt 1.26.14
2. OpenNews: Доступен Cryptsetup 2.7 с поддержкой аппаратного дискового шифрования OPAL
3. OpenNews: Опубликован Shufflecake, инструментарий для создания скрытых шифрованных разделов на диске
4. OpenNews: Аудит VeraCrypt выявил 8 критических уязвимостей
5. OpenNews: В Ubuntu появится поддержка полнодискового шифрования, использующего TPM

Среди новшеств Toybox 0.8.12:

• В tar добавлена поддержка алгоритма сжатия zstd и реализована возможность работы с устаревшими форматами архивов.
• В getconf реализована обработка переменных окружения NPROCESSORS_CONF и NPROCESSORS_ONLN.
• В netcat добавлены опции "-o" и "-O".
• В devmem реализованы опции "--no-mmap", "-f FILE" и "--no-sync".
• В test добавлены опции "-ef", "-ot" и "-nt".
• В dmesg добавлена опция "-W".
• В mount добавлена поддержка "LABEL=".
• В lsusb и lspci учтено содержимое /usr/share/hwdata.
• Устранены ошибки и улучшены реализации утилит grep, host, find, chmod, tar, ps, test, file, patch, cp, lsusb, top, blkid, ionice, microcom.
• Добавлена поддержка сборки для платформ riscv32 и riscv64.

1. OpenNews: Выпуск минималистичного набора системных утилит Toybox 0.8.9
2. OpenNews: Оценка пригодности ядра Linux для систем с несколькими мегабайтами ОЗУ
3. OpenNews: В BusyBox прекращена поддержка systemd
4. OpenNews: Противоречивая ситуация вокруг создания альтернативы Busybox
5. OpenNews: Релиз минималистичного набора системных утилит BusyBox 1.37

Основная идея Plan 9 связана со стиранием различий между локальными и удалёнными ресурсами. Система представляет собой распределённую среду, базирующуюся на трёх базовых принципах: все ресурсы можно рассматривать как иерархический набор файлов; нет различия в доступе к локальным и внешним ресурсам; каждый процесс имеет собственное изменчивое пространство имён. Для создания единой распределённой иерархии файлов-ресурсов используется протокол 9P.

Форк 9front примечателен реализаций дополнительных механизмов защиты, расширением поддержки оборудования, улучшением работы в беспроводных сетях, добавлением новых файловых систем, реализацией звуковой подсистемы и кодировщиков/декодировщиков звуковых форматов, поддержкой USB, созданием web-браузера Mothra, заменой загрузчика и системы инициализации, применением шифрования данных на диске, поддержкой Unicode, наличием эмулятора режима реальных адресов, поддержкой архитектуры AMD64 и 64-разрядного адресного пространства.

Значительные изменения:

• В инсталляторе включена новая файловая система gefs, созданная специально для Plan 9, поддерживающая снапшоты и оптимизированная для быстрого перебора файлов в очень больших каталогах. ФС спроектирована для сохранения целостности в случае сбоев, таких как экстренное отключение питания, и имеет средства для самодиагностики, не допускающие скрытого повреждения данных и возвращения некорректных данных. При этом gefs полностью совместима с традиционной файловой системой 9p, возможности которой воссозданы с использование режима copy-on-write и структуры Bε-tree.
• В утилиты ip и ipconfig добавлена поддержка динамического выделения IP-адресов через DHCPv6 и обработки истечения времени действия префиксов для IPv6.
• Устранена уязвимость CVE-2024-8158, вызванная ошибкой в механизме аутентификации, реализованном в библиотеке lib9p. Уязвимость позволяет пользователю, имеющему учётную запись в системе, выдать себя за любого другого пользователя при работе с файловой системой. Причиной уязвимости является отсутствие должного сопоставления имени пользователя, передаваемого в 9p-сообщениях Tauth и Tattach, с UID-идентификатором клиента, выдаваемом после прохождением пользователем аутентификации. Проблема проявляется во всех версиях 9front (ошибка допущена в коде Plan 9 ещё до создания форка), но затрагивает только конфигурации с файловой системой hjfs (в системах с ФС cwfs и gefs уязвимость не проявляется).

1. OpenNews: Релиз операционной системы Inferno 0.6 для Raspberry Pi
2. OpenNews: Компания Nokia перелицензировала ОС Plan9 под лицензией MIT
3. OpenNews: Представлена распределённая ОС Node9, сочетающая технологии Inferno и язык Lua
4. OpenNews: Представлена ОС Clive, основанная на идеях Plan 9 и Nix
5. OpenNews: Glendix - новая ОС на основе Plan9 с ядром Linux

Для очистки ядра от несвободных частей проектом Linux-libre создан универсальный shell-скрипт, который содержит тысячи шаблонов для определения наличия бинарных вставок и исключения ложных срабатываний. Также доступны для загрузки готовые патчи, созданные на основе использования вышеупомянутого скрипта. Ядро Linux-libre рекомендовано для использования в дистрибутивах, соответствующих критериям Фонда СПО по построению полностью свободных дистрибутивов GNU/Linux. Например, Linux-libre используется в таких дистрибутивах, как GNU Guix System, Dragora Linux, Trisquel, Dyne:Bolic, gNewSense, Parabola, Musix и Kongoni.

В выпуске Linux-libre 6.13-gnu добавлен код для чистки блобов в новых драйверах rtw8812a, rtw8821a, bmi270, aw88081, ntp8835, ntp8918. Произведена чистка имён блобов в dts-файлах (devicetree) для архитектуры Aarch64. Обновлён код удаления блобов в драйверах wilc1000, rt1320, sh4-siu, ivpu, btnxpuart, adreno и r8169, а также в коде, связанном с поддержкой сенсорных экранов на системах с архитектурой x86. Прекращена чистка драйверов rtl8192e, rtl8712, vt6656 и ti-st, которые были удалены из состава ядра.

1. OpenNews: Доступно ядро Linux-libre 6.12. Решение лицензионных проблем с драйверами Tuxedo
2. OpenNews: Предложение по блокировке драйверов-прослоек, предоставляющих доступ к GPL-вызовам ядра Linux
3. OpenNews: Технология DMA-BUF не может быть использована в проприетарных видеодрайверах без перелицензирования
4. OpenNews: Из Debian удалены сборки пакетов с драйверами NVIDIA из-за подозрений в несовместимости с GPL
5. OpenNews: Релиз ядра Linux 6.13

Заявлено, что производительность amdgpu_virtio выше, чем при использовании драйверов virgl и venus, ранее разработанных для доступа к Vulkan и OpenGL из гостевых систем. При проведении тестов Unigine Heaven и Superposition производительность в гостевых системах составила примерно 99% по сравнению с производительностью при запуске тестов на стороне хоста. Из достоинств нового метода также упоминается упрощение сопровождения, так как в гостевой системе используются те же драйверы, что и при работе без виртуализации, за исключением того, что вместо прямого обращения к libdrm (amdgpu) используется дополнительная прослойка на основе VirtIO.

1. OpenNews: Опубликован эмулятор QEMU 9.2.0 с поддержкой Rust и Vulkan
2. OpenNews: NVIDIA опубликовала код с реализацией vGPU на базе драйвера Nouveau
3. OpenNews: Venus - виртуальный GPU для QEMU и KVM, реализованный на базе API Vulkan
4. OpenNews: В Mesa-драйвере RADV сертифицирована поддержка Vulkan 1.3 для старых GPU AMD
5. OpenNews: Релиз Mesa 24.3, свободной реализации OpenGL и Vulkan

Как пример, подобный накопитель был реализован на основе платы Rock5B, использующей SoC Rockchip RK3588 с контроллером PCI Gen3x4, умеющем работать в режиме endpoint. При использовании блочного устройства null_blk и в конфигурации с 4 очередями ввода/вывода накопитель показал пропускную способность в 2.8 GB/sec при последовательном чтении блоков 512KB и производительность в 131 тысяч операций ввода/вывода в секунду при случайных операциях чтения блоками 4K.

1. OpenNews: Удалённо эксплуатируемая уязвимость в драйвере NVMe-oF/TCP из состава ядра Linux
2. OpenNews: Выпуск UDisks 2.10.0 с поддержкой NVMe
3. OpenNews: WD разрабатывает NVMe-драйвер на языке Rust. Эксперименты с Rust во FreeBSD
4. OpenNews: Доступен набор утилит для управления SSD-накопителями - nvme-cli 2.0

В новой версии:

• Через подключение библиотеки nanosvg реализована поддержка векторных изображений в формате SVG и возможность отрисовки математических формул.
• Добавлена возможность сборки с библиотекой libwebp для поддержки изображений в формате WebP. Для выбора обрабатываемых форматов изображений может использоваться параметр "ignore_image_formats".
• Добавлен режим постраничной прокрутки содержимого, упрощающий навигацию по многостраничным документам. Режим включается через параметр "scrollbar_page_mode" и позволяет прокручивать содержимое на страницу вниз или вверх при щелчке левой или правой кнопкой мыши на вертикальной полосе прокрутки. Степень перекрытия прокручиваемой области можно настроить через параметр scroll_page_overlap.
• Добавлен параметр "scrollbar_on_left" для перемещения полосы прокрутки в левую сторону.
• Добавлен параметр "link_action allows" для привязки собственных обработчиков ссылок (например, можно добавить кнопки для открытия ссылок в другом браузере или в мультимедийном проигрывателе).
• Реализованы клавиатурные комбинации "Ctrl +" и "Ctrl -" для изменения уровня масштабирования текста на странице. Комбинация "Ctrl 0" сбрасывает масштаб с исходное состояние. Для задания масштаба по умолчанию добавлен параметр "zoom_factor option".
• Предоставлена возможность перезагрузки текущей страницы через отправку процессу сигнала SIGUSR1, что может оказаться полезным, например, для организации работы экранов, отображающих обновляемые данные с системы мониторинга.

1. OpenNews: Web-браузеру Dillo исполнилось 25 лет
2. OpenNews: После многолетнего забвения опубликован минималистичный web-браузер Dillo 3.1
3. OpenNews: Представлен Fifth, минималистичный web-браузер с интерфейсом на основе FLTK
4. OpenNews: Выпуск минималистичного web-браузера links 2.26
5. OpenNews: Новая версия браузера NetSurf 3.11

В новой версии uutils:

• Учтены изменения в выпуске GNU Coreutils 9.6.
• Улучшена совместимость с эталонным тестовым набором GNU Coreutils, при прохождении которого успешно выполнено 506 тестов (в прошлой версии 476), 67 (94) тестов завершилось неудачей, а 41 (43) тест был пропущен.
• Обеспечена полная совместимость с GNU Coreutils для утилит df, dircolors, chmod, chroot, comm, seq, split, uniq и more.
• Проведена оптимизация производительности утилит du, echo и seq.
• Расширены возможности, улучшена совместимость и добавлены недостающие опции для утилит basenc, base32, base64, checksum, chmod, chroot, comm, cp, csplit, cut, date, dd, df, dircolors, du, echo, env, fmt, head, install, kill, ls, mkfifo, more, mv, numfmt, printf, rm, seq, sort, split, stat. tail, tr, tsort, uniq, wc и uucore.

1. OpenNews: Выпуск набора утилит GNU Coreutils 9.6
2. OpenNews: Адаптация Debian для использования реализации coreutils на языке Rust
3. OpenNews: Выпуск набора утилит GNU Coreutils 9.5 и его варианта на языке Rust
4. OpenNews: Эксперимент по переводу Gentoo на использование варианта Coreutils на языке Rust
5. OpenNews: Выпуск набора утилит GNU findutils 4.10.0 с возобновлением поддержки Си-библиотеки Musl

Изменения в версии 0.12:

• Для пирингового шифрования задействован алгоритм AES-128-GCM. Из-за изменения алгоритма шифрования новая версия приложения не сможет взаимодействовать с предыдущими версиями. Изменения в приглашениях не требуется.
• Добавлена возможность получения IPv6-адресов с BitTorrent-трекеров.
• Bouncy castle обновлён до версии jdk18on-1.79.
• Частично исправлена проблема с загрузкой 32-битной библиотеки libTunTapWindows.dll.
• Улучшен алгоритм поиска сетевого устройства в Windows.
• Добавлена возможность ручного удаления IP-адресов из списка известных IP-адресов, показываемого при нажатии правой кнопки мыши на записи.
• Переработано внутреннее поведение модуля системного трея для Linux и FreeBSD.
• Добавлен загрузчик OpenJDK, который скачивает архив OpenJDK и устанавливает его в директорию "jdk" рядом с исполняемым файлом программы.
• Календарь теперь использует системный язык при создании приглашения, что влияет на порядок дней недели.
• Обновлены параметры сети по умолчанию, применяемые при неработающем BitTorrent-трекере.

1. OpenNews: Выпуск VPN Lanemu 0.11.7
2. OpenNews: Атака TunnelVision, позволяющая перенаправить VPN-трафик через манипуляции с DHCP
3. OpenNews: Анализ безопасности 100 бесплатных VPN-приложений для платформы Android
4. OpenNews: Атака Port Shadow, позволяющая перенаправлять соединения других пользователей VPN и Wi-Fi
5. OpenNews: Уязвимость в OpenVPN, допускающая подстановку данных в плагины и сторонние обработчики

Ключевые новшества:

• В утилиту cksum добавлена опция "-a crc32b" для расчёта контрольных сумм в соответствии со спецификацией ITU V.42, используемой, например, в gzip. Добавлена оптимизация производительности с использованием инструкции pclmul. Для ускорения работы команды "cksum -a crc" задействованы SIMD-расширения AVX2, AVX512 и ARMv8, в тестах сокращающие время вычислений на 40%, 60% и 80%, соответственно.
• В утилиту ls добавлена опция "--sort=name" для явного выставления сортировки по имени файла.
• В printf добавлена поддержка индексированных аргументов в формате "%<i>$", где '<i>' целочисленный номер аргумента (POSIX:2024).
• В утилиту test добавлена возможность использования операторов '<' и '>' со строками (POSIX:2024).
• В утилиту timeout добавлены опции "-f" и "-p", являющиеся короткими вариантами опций "--foreground" и "--preserve-status" (POSIX:2024).
• В утилите sort ускорены операции над файлами в псевдо-ФС, таких как /proc.
• В утилиты stat и tail добавлена поддержка типов ФС "bcachefs" и "pidfs". Для вывода типа ФС добавлена команда "stat -f -c%T". В команде "tail -f" задействован механизм inotify для ФС "bcachefs" и "pidfs".
• В утилите wc минимальный размер читаемого за раз блока увеличен с 16KiB до 256KiB. При чтении прокэшированных файлов производительность "wc -l" повышена примерно на 10%.

1. OpenNews: Эксперимент по переводу Gentoo на использование варианта Coreutils на языке Rust
2. OpenNews: Выпуск набора утилит GNU Coreutils 9.5 и его варианта на языке Rust
3. OpenNews: Адаптация Debian для использования реализации coreutils на языке Rust
4. OpenNews: Утверждён стандарт POSIX 1003.1-2024

В качестве базового стека технологий используется Talos Linux и Flux CD. Образы с системой, ядром и необходимыми модулями формируются заранее, и обновляются атомарно, что позволяет обойтись без таких компонентов как dkms и пакетный менеджер, и гарантировать стабильную работу. Предоставляется простой метод установки в пустом дата-центре с помощью PXE и debian-подобного установщика talos-bootstrap.

Платформа включает свободную реализацию сетевой инфраструктуры (fabric) на базе Kube-OVN, и использует Cilium для организации сервисной сети, MetalLB для анонса сервисов наружу. Хранилище реализовано на LINSTOR, где предлагается использование ZFS в качестве базового слоя для хранилища и DRBD для репликации. Имеется преднастроенный стек мониторинга на базе VictoriaMetrics и Grafana. Для запуска виртуальных машин используется технология KubeVirt, которая позволяет запускать классические виртуальные машины прямо в контейнерах Kubernetes и уже имеет все необходимые интеграции с Cluster API для запуска управляемых Kubernetes-кластеров внутри "железного" Kubernetes-кластера.

В новой версии добавлен cozystack-controller и новые сущности: Workload и WorkloadMonitor — которые позволяют следить за состоянием pod-ов, управляемых операторами, и оценивать уровень сервиса по заранее определённым правилам. Приложения в Cozystack управляются разными операторами, поэтому было решено создать единый формат для отображения статуса каждого сервиса.

Как это работает: При развёртывании приложения устанавливается и WorkloadMonitor, который следит за состоянием pod-ов по селектору. Как только под селектор попадает один из pod-ов, для него создаётся новая сущность Workload, которая отображает роль для каждого pod-а и его состояние. В статусе WorkloadMonitor можно увидеть количество существующих реплик и минимальное количество реплик, необходимое для обслуживания сервиса. Как только нагрузка (workload) становится меньше, чем значение minReplicas для WorkloadMonitor, сервис помечается неработающим (non-operational).

Для приложений, которым нельзя задать точное значение minReplicas (например, worker-ы Kubernetes могут масштабироваться автоматически), реализована возможность вообще не указывать это значение в WorkloadMonitor. В этом случае WorkloadMonitor просто будет считать общее количество запущенных экземпляров.

Такой механизм позволяет использовать любые операторы и механизмы управления pod-ами в Kubernetes и легко расширять платформу, предоставляя единый интерфейс для отображения текущего состояния сервиса.

WorkloadMonitor для сбора информации о репликах и их работоспособности добавлен в приложения Kubernetes, Postgres, Monitoring, VirtualMachine, VMInstance, Redis, etcd и SeaweedFS. Dashboard Cozystack теперь отображает количество реплик приложения и уровень сервиса для каждой группы Workload.

Другие изменения:

• Реализованы и опубликованы под лицензией Apache 2.0 клиент и сервер телеметрии. Сбор метрик для телеметрии осуществляется в соответствии с рекомендациями "LF Telemetry Data Collection and Usage Policy" и его можно отключить с помощью опции "telemetry-enabled: false" в конфигурации Cozystack. Сами данные анонимы и полностью обезличены. К следующим релизам платформы планируется собрать публичный Dashboard на основе данных телеметрии.
• Обновлён компонент cluster-autoscaller для Kubernetes, а также его настройки, которые позволяют более эффективно масштабировать кластеры, как вверх так и вниз.
• Обновлён файл MAINTAINERS, в котором перечислены участники, сопровождающие проект, и сферы их ответственности.
• В Cozystack добавлено сервисное приложение builder, позволяющее производить сборку платформы прямо в Kubernetes.
• Для СУБД VictoriaMetrics добавлена возможность указывать собственные параметры и повышены выставляемые по умолчанию ограничения.
• Для Grafana и Alerta реализован сбор метрик из баз данных.
• Добавлены алерты о состоянии виртуальных машин и postgres-кластеров.
• Для KubeVirt настроен сбор метрик и добавлен Grafana dashboard.
• В конфигурацию Cozystack добавлена опция extra-keycloak-redirect-uri-for-dashboard, позволяющая настроить дополнительные перенаправления для Keycloak.
• В VMInstance исправлена ошибка, блокирующая подключение VMdisks к виртуальным машинам.
• Обновлены Flux Operator 0.12.0, Flux Instance chart 0.12.0, Cilium 1.16.5, Kube-OVN 1.13.2, CNPG PostgreSQL Operator 1.25.0, Talos Linux 1.9.1.

1. OpenNews: Выпуск Cozystack 0.21, открытой PaaS-платформы на базе Kubernetes
2. OpenNews: Опубликован код COSI-драйвера для SeaweedFS
3. OpenNews: Проект etcd-await-election для запуска процессов с учётом выбора лидирующего экземпляра
4. OpenNews: Первый альфа-выпуск etcd-оператора для Kubernetes
5. OpenNews: Первый выпуск свободной PaaS-платформы Cozystack на базе Kubernetes

Изначально ABI ILP32 был разработан для упрощения переноса 32-разрядных приложений на 64-разрядные процессоры AArch64, но не получил должного распространения. Поддержка ILP32 так и не была принята в ядро Linux и системную библиотеку Glibc. Отдельно развивались порты Linaro и Debian для ILP32, но они уже более пяти лет находятся в заброшенном состоянии. Из редких систем, поддерживающих ILP32, отмечена операционная система watchOS, применяемая в устройствах Apple Watch, но GCC не поддерживается для данной ОС. В случае получения жалоб от пользователей, применяющих ILP32 в своих проектах, решение может быть пересмотрено.

1. OpenNews: Доступен набор компиляторов LLVM 18
2. OpenNews: Проект гибридного x86_64 Linux ABI с 32-битной адресацией памяти X32
3. OpenNews: В реализации x32 ABI ядра Linux обнаружена серьёзная уязвимость
4. OpenNews: Разработчики ядра Linux обсуждают вопрос удаления субархитектуры x32

Из изменений можно отметить:

• Добавлена блокировка обращений от клиентов, логин и пароль у которых превышает значение USER_PASS_LEN. Уточняется, что изменение не связано с устранением уязвимостей, но может приводить к неверному разбору входящих IV-параметров и выводу некорректных сообщений об ошибках.
• При выставлении настройки "push-peer-info" на платформах, отличных от Windows, реализована отправка клиентом в параметре IV_PLAT_VER информации о релизе операционной системы (выдаваемой функцией uname()), что позволяет на серверах отслеживать сведения о версиях ОС, используемых клиентами.
• На системах с Linux обеспечен запуск процесса systemd-ask-password с параметром "--timeout=0" для отключения применяемого по умолчанию 90-секундного таймаута.
• Устранены утечки памяти, проявляющиеся во FreeBSD.
• При запуске с опцией "--auth-nocache" реализовано удаление из памяти параметров аутентификации для прокси, после их использования.
• В Windows-клиенте задействована функция CryptProtectMemory() для защищённого хранения в памяти прокэшированных паролей и токенов. Задействован новый API для получения версии драйвера dco-win.

1. OpenNews: Уязвимость в OpenVPN, допускающая подстановку данных в плагины и сторонние обработчики
2. OpenNews: Определение сеансов OpenVPN в транзитном трафике
3. OpenNews: Обновление OpenVPN 2.6.9 с изменением лицензии
4. OpenNews: Уязвимости в OpenVPN и SoftEther VPN
5. OpenNews: Доступен OpenVPN 2.6.0