В дистрибутиве по умолчанию включён планировщик задач BORE, оптимизированный для снижения задержек на рабочем столе и повышения приоритета интерактивных процессов. Ядро и пакеты собраны с включением LTO-оптимизаций (Link-Time Optimization) и задействованием инструкций, доступных в процессорах на базе микроархитектур x86-64-v3, x86-64-v4 и Zen4. При сборке базовых пакетов дополнительно включены оптимизации PGO (Profile-Guided Optimization) или BOLT (Binary Optimization and Layout Tool). В дистрибутиве поставляется web-браузер Cachy-Browser, основанный на Firefox с патчами для усиления безопасности и повышения производительности, а также изменениями от проекта Librewolf. В качестве файловых систем могут использоваться btrfs, zfs, ext4, xfs и f2fs.

Основные изменения:

• Задействован загрузчик Limine, поддерживающий темы оформления загрузочного меню и способный работать на системах с BIOS и UEFI.
• По аналогии с grub-btrfs для Limine реализована возможность загрузки различных состояний системы, автоматически сохраняемых при помощи механизма снапшотов в ФС Btrfs. Например, в случае сбоя при установке пакетов можно загрузиться с состояния до начала установки. Создание снапшотов включено по умолчанию на всех установках, использующих Btrfs.
• Добавлен пакет "cachyos-samba-settings" с конфигуратором, упрощающим настройку сетевых разделов Samba.
• Для проприетарного драйвера NVIDIA возвращены GSP-прошивки, которые ранее были отключены из-за проблем, решённых в недавних обновлениях прошивок.
• Добавлен драйвер ASUS Armoury, позволяющий управлять энергопотреблением и кулерами на ноутбуках ASUS и игровых консолях Rog Ally.
• В udev для файловой системы NTFS прекращена загрузка по умолчанию драйвера ядра ntfs3 из-за проблем, возникающих у некоторых пользователей.
• Улучшен скрипт sbctl-batch-sign, предназначенный для заверения файлов цифровой подписью файлов для верифицированной загрузки в режиме UEFI Secure Boot.
• В пакетах с Wine и Wine-Staging по умолчанию включена поддержка режима Wow64 (64-bit Windows-on-Windows) для выполнения 32-разрядных Windows-приложений в 64-разрядных Unix-системах. Вместо winesync задействован драйвер NTSync, позволяющий существенно поднять производительность Windows-игр, запускаемых при помощи Wine.
• В отдельное приложение вынесен интерфейс настройки планировщика задач.
• Добавлены драйверы для AMD RDNA4, NVIDIA GeForce RTX 5070 Ti и NVIDIA GeForce 5070.
• Добавлена поддержка скрипта DLSS Swapper, загружающего и обновляющего библиотеки для поддержки технологии DLSS (Deep Learning Super Sampling).
• Обновлены версии: ядро Linux 6.14.0, NVIDIA 570.133.07, GNOME 48, KDE Plasma 6.3.3, Mesa 25.0.2.

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива CachyOS 241221, включающего ядро с дополнительными оптимизациями
3. OpenNews: Выпуск EasyOS 6.5, самобытного дистрибутива от создателя Puppy Linux
4. OpenNews: Microsoft опубликовал дистрибутив Azure Linux 3.0.20241203
5. OpenNews: Доступен дистрибутив Apertis 2025.0, позволяющий не использовать код под лицензией GPLv3
6. OpenNews: Опубликован AerynOS 2025.03, первый выпуск после переименования Serpent OS

Основное внимание при подготовке новой редакции было уделено повышению производительности и эффективности кодирования. На уровне битового потока (bitstream) Theora 1.2 полностью соответствует стандартизированному в 2004 году формату кодирования видео Theora. API и ABI интерфейсы новой версии также сохраняют полную совместимость с прошлыми выпусками Theora. В состав Theora 1.2 включены 190-страничная спецификация, документация на API, черновик спецификации RTP-расширений для потокового вещания и эталонные реализации кодировщика и декодировщика.

Главным изменением в Theora 1.2 стала новая реализация эталонного кодировщика, предложенного под кодовым именем "Ptalarbvorm". В новой реализации значительно повышена производительность и обеспечен более высокий уровень сжатия. При этом создаваемые новым кодировщиком файлы полностью совместимы с декодировщиками, предлагавшимися в прошлых версиях.

Кроме того, в Theora 1.2 проведена оптимизация эталонного декодировщика, добавлена поддержка платформы RISC OS и значительно улучшена поддержка архитектуры ARM. Добавлены оптимизации для CPU ARM и DSP TI C64x+. Предложено три уровня скорости кодирования (старый уровень 2 переименован в 3, а вместо второго предложен новый промежуточный уровень).

1. Главная ссылка к новости
2. OpenNews: Разработчики Chrome и Firefox рассматривают возможность прекращения поддержки видеокодека Theora
3. OpenNews: Финальный релиз видеокодека Theora 1.1
4. OpenNews: Сообщество Xiph.Org представило видеокодек Daala с технологиями, опережающими VP9 и H.265/HEVC
5. OpenNews: Доступен аудиокодек Opus 1.5
6. OpenNews: Опубликован свободный звуковой кодек FLAC 1.5

Среди изменений в новом выпуске:

• В инструмент для вставки субтитров (Subtitles > Generate Text on Timeline) добавлены преднастройки стиля текста.
• Добавлены кнопки для копирования текущего фильтра и всех фильтров.
• В заголовке окна отражён выбранный видеорежим.
• В фильтр "Рассинхронизация" (No Sync) добавлены параметры для вертикального и горизонтального выравнивания.
• Добавлены фильтры "360: Cap Top & Bottom" и "360: Equirectangular Wrap" для удаления частей и коррекции видео, снятого в режиме 360-градусов.
• Список воспроизведения добавлен раздел "Not In a Bin", в который помещаются клипы, не попавшие в другие разделы.
• В поле поиска фильтров добавлена поддержка тегов "#rgba", "#yuv", "#gpu" и "#10bit".
• На шкале времени обеспечена пометка клипов, имеющих фильтры.

Кроме того, состоялся релиз многотрекового редактора видео Flowblade 2.20, предназначенного для компоновки видеороликов из отдельных видео, звуковых файлов и изображений. Редактор предоставляет средства для обрезки клипов с точностью до отдельных кадров, использования фильтров, определения своего порядка применения инструментов, корректировки поведения шкалы времени, композитинга изображений (например, можно поворачивать, постепенно замещать и создавать переходные эффекты). Код проекта написан на языке Python (MLT, FFmpeg, PyGTK) и распространяется под лицензией GPLv3. Сборки подготовлены в формате Flatpak.

Среди изменений в новом выпуске:

• Расширены возможности синхронизации клипов. Добавлены новые операции для синхронизации видеодорожек: "Синхронизировать все клипы" (Sync All Clips) и "Обновить синхронизацию с клипами" (Update Sync to Clips). Добавлена поддержка автоматической синхронизации звука при добавлении клипов на дорожки, созданные пользователем. Операции разделения звука и видео теперь применяются ко всем отзеркалированным трекам, а не только к первому треку.
• Добавлена операция для сохранения контейнерного клипа из видеоряда.
• В фильтрах для управления позицией и масштабом ("Position Scale" и "Position Scale Rotate") появилась возможность добавления часто используемых анимационных эффектов, таких как приближение/отдаление и перемещение, в одно действие.
• Добавлена поддержка готовых стабилизированных медиа-элементов, не требующих дополнительной обработки.
• Добавлена возможность создания копии видеоряда.
• Добавлена поддержка шаблонов для создания генераторов на основе предварительно определённых типовых настроек.

1. Главная ссылка к новости
2. OpenNews: Релиз программы для редактирования видео LosslessCut 3.65.0
3. OpenNews: Выпуск видеоредактора Shotcut 25.01
4. OpenNews: Доступен видеоредактор Flowblade 2.18
5. OpenNews: Выпуск свободного видеоредактора OpenShot 3.2.0
6. OpenNews: Выпуск видеоредактора Pitivi 2022.06

В новой версии реализована поддержка драйверов Intel XE и Broadcom V3D (Raspberry Pi). Добавлена поддержка AI-ускорителя Google TPU (Tensor Processing Unit). Добавлены опции "-P" и -s" для скрытия области со списком процессов и для сохранения состояния в формате JSON.

Одновременно состоялся выпуск утилиты Atop 2.11.1, предназначенной для интерактивного мониторинга параметров работы системы и отображения активности процессов. От утилиты top программа atop отличается большей детализацией (CPU, GPU, память, диски, сеть, потоки, контейнеры) и возможностью периодического сброса отчётов в файл для последующего анализа. Код написан на языке Си и распространяется под лицензией GPLv2.

В новой версии устранена уязвимость (CVE-2025-31160), позволяющая локальному пользователю вызвать переполнение буфера при запуске утилиты atop другим пользователем. Например, непривилегированный пользователь может организовать атаку на администратора, запускающего утилиту atop. Проблема вызвана тем, что в atop опционально поддерживается сбор статистики о работе GPU, который вынесен в отдельный процесс atopgpud. Взаимодействие с этим процессом осуществляется через TCP-порт. Во время запуска atop пытается соединиться с данным TCP-портом и периодически загружает через него статистику, не обеспечивая при этом должной проверки размера передаваемых данных.

Метод атаки сводится к тому, что любой пользователь в системе может запустить на сетевом порту atopgpud свой обработчик, который выдаст данные заведомо большего размера, что приведёт к переполнению буфера в atop при попытке разбора статистики. Возможность создания рабочего эксплоита для выполнения кода пока не продемонстрирована. В новой версии atop по умолчанию отключён сбор статистики через TCP-порт и добавлена опция "-k" для активации поддержки atopgpud. Также внесены дополнительные проверки в код разбора статистики для предотвращения переполнений.

В заключении можно отметить выпуск top-подобной утилиты htop 3.4.0, примечательной такими возможностями, как свободная вертикальная и горизонтальная прокрутка списка процессов, средства оценки эффективности работы SMP и использования каждого процессорного ядра, наличие древовидного режима просмотра, гибкие возможности по настройке интерфейса, поддержка фильтрации процессов и управления ими (завершение работы, настройка приоритета). Код проекта написан на языке Си и распространяется под лицензией GPLv2

В новой версии добавлено отслеживание активности GPU в Linux; улучшена работа на ARM-компьютерах Apple; решены проблемы со сборкой для DragonFlyBSD, Darwin, NetBSD, OpenBSD и Solaris; обеспечен учёт дисковой и сетевой активности в DragonFlyBSD; добавлена информация о потоках и состоянии процессов в macOS; расширена поддержка Unicode; переработан код для работы с датчиками температуры; повышена производительность кода для разбора статистики; добавлена поддержка скрытия данных о кэше и буферах.

1. Главная ссылка к новости
2. OpenNews: Новая версия утилиты atop для отображения и записи информации о процессах
3. OpenNews: ptop для мониторинга работы PostgreSQL. Обзор top-подобных утилит.
4. OpenNews: Выпуск утилиты htop 3.0
5. OpenNews: Выпуск утилиты системного мониторинга TTop 1.2
6. OpenNews: Netflix опубликовал код утилиты bpftop

В новой версии:

• Решена проблема 2038 года - утилита теперь корректно обрабатывает данные о времени файлов, созданных после 2038 года, даже на платформах с 32-разрядным типом time_t.
• Опция "--follow-symlinks" теперь распространяется не только на входные файлы, но и на создаваемые файлы.
• В соответствие с требованиями стандарта POSIX.1-2024 запрещено использование символа перевода строки в именах файлов.
• Запрещено использование нулевых байтов ('\0') в строках с директивами diff.
• Разрешено указание пробелов и табуляций перед и после значений с номерами строк.
• Проведена работа по исключению неопределённого или некорректного поведения в нештатных ситуациях, например, при обработке очень больших размеров полей, ошибках ввода/вывода, нехватке памяти, состояниях гонки и отправке сигналов в неподходящие моменты.
• Удалён старый код "Plan B", созданный для систем с 16-разрядными указателями.
• Повышены требования к компилятору, который теперь должен поддерживать стандарт C99 (ранее требовался C89).
• Добавлена поддержка новых версий GCC, Autoconf и Gnulib.

1. Главная ссылка к новости
2. OpenNews: Опасные уязвимости в утилитах beep и patch
3. OpenNews: Уязвимость в утилите BSD patch и TCP-стеке FreeBSD
4. OpenNews: Разработка новых вариантов diff и grep для обработки сложных структур данных
5. OpenNews: Новая версия утилиты GNU patch 2.7
6. OpenNews: Выпуск GNU Diffutils 3.4 с поддержкой цветного вывода

Спектральные изображения содержат не только информацию об интенсивности света в трех основных цветовых каналах (RGB), но охватывают часть ультрафиолетового и инфракрасного диапазонов. Подобные изображения используются в таких областях, как высококачественный рендеринг, анализ материалов и визуализация научных данных. Например, спектральные изображения могут использоваться для точного моделирования реальных оптических эффектов при рендеринге, для оценки того, как выглядит краска при различном освещении, и для идентификации материалов по их световым сигнатурам.

Съёмка с захватом диапазонов вне видимого спектра даёт возможность более точно моделировать взаимодействие света с материалами, но приводит к значительному увеличению информации, хранимой для каждого пикселя. Спектральные изображения могут включать десятки каналов, охватывающих различные диапазоны длин волн, и использовать для каждого канала 16- или 32-разрядные числа с плавающей запятой, что позволяет охватить более широкий диапазон значений яркости, чем на обычных фотографиях. Ценой подобной возможности становится существенное увеличение размера по сравнению с традиционными изображениями. В качестве примера упомянуто изображение с 81 дополнительным спектральным каналом, занимающее в формате OpenEXR 300 МБ. При помощи Spectral JPEG XL данное изображение удалось сжать до 3.9 МБ без потери спектральных характеристик.

Для сокращения размера Spectral JPEG XL использует разделение данных о яркости и форме спектра, и применяет дискретное косинусное преобразование, позволяющее сохранить основные спектральные характеристики, но отбросить несущественные высокочастотные спектральные детали. Суть метода в преобразовании плавного изменения волновых характеристик в набор волновых коэффициентов (коэффициентов частоты), при совмещении воссоздающих исходную спектральную информацию.

Более высокочастотные спектральные коэффициенты затем нормируются по отношению к общей яркости, что позволяет агрессивнее сжимать менее значимые данные. Идея в том, что с точки зрения восприятия наиболее важна средняя яркость и она сохраняется с наиболее высоким качеством, а коэффициенты высоких частот не столь важны и к ним применяется более высокий уровень сжатия и опционально более низкие разрешения. После этого информацию обрабатывает кодек, реализованный на базе существующего движка сжатия, разработанного для формата JPEG XL.

1. Главная ссылка к новости
2. OpenNews: Уязвимости в реализации JPEG XL из состава FFmpeg
3. OpenNews: Samsung обеспечил поддержку формата изображений JPEG XL
4. OpenNews: В Safari 17 и WebKit включена поддержка формата изображений JPEG XL
5. OpenNews: Google упраздняет поддержку JPEG XL в Chrome
6. OpenNews: Представлен формат сжатия изображений QOI

Особый интерес вызвал исполняемый файл /usr/bin/entry/entry_point, который занимал 579 МБ. Для извлечения данного файла исследователи создали скрипт, который последовательно небольшими порциями выводил на экран содержимое в формате Base64. На своей стороне они автоматизировали склейку данных отрывков при помощи инструментария Caido и получили копию файла на своей системе.

Для анализа полученного исполняемого файла была применена утилита binwalk, предназначенная для извлечения файлов, встроенных в прошивки. Среди извлечённых данных оказался каталог google3, в котором, судя по названиям файлов, находился Python-код с различными компонентами для обеспечения работы сервиса, например, RPC для взаимодействия AI-модели Gemini с внешними сервисами Google, такими как YouTube, Google Flights и Google Maps.

Изучение содержимого файлов показало, что это не конфиденциальный код и он был одобрен для публичного доступа службой безопасности Google. При этом дальнейший анализ дампа выявил наличие в нём proto-файлов (Protocol Buffer) со спецификациями внутренних структур данных, позволяющих понять тонкости обмена данными между различными сервисами Google. Польза от получения выявленных proto-файлов сомнительна, так как семь лет назад подобные proto-файлы уже были извлечены другими исследователями из Google App Engine.

1. Главная ссылка к новости
2. OpenNews: Из-за опечатки в настройках атакующие могли подменить DNS-сервер MasterCard
3. OpenNews: Google проанализировал уязвимости, задействованные для совершения атак в 2023 году
4. OpenNews: Атака на провайдера, выведшая из строя 659 тысяч домашних маршрутизаторов
5. OpenNews: Компания Google открыла код gRPC, RPC-фреймворка на основе HTTP/2
6. OpenNews: Инициатива по выплате вознаграждений за выявления уязвимостей в открытых проектах Google

Распараллеливание доступно начиная с выпусков libzypp 17.36.4 и zypper 1.14.87, пока размещённых только в репозиториях Tumbleweed и Slowroll. По умолчанию упомянутые возможности пока отключены и преподносятся как экспериментальные. Для включения параллельной загрузки и нового бэкенда можно использовать переменные окружения "ZYPP_PCK_PRELOAD=1" и "ZYPP_CURL2=1", а настройка числа одновременных соединений регулируется при помощи параметра "download.max_concurrent_connections" в файле конфигурации zypp.conf.

1. Главная ссылка к новости
2. OpenNews: openSUSE тестирует поддержку повторяемых сборок
3. OpenNews: SUSE и openSUSE рассматривают прекращение поддержки загрузки на системах с BIOS
4. OpenNews: Дистрибутив openSUSE Tumbleweed перешёл на использование SELinux по умолчанию
5. OpenNews: Дистрибутив openSUSE опубликовал альтернативный инсталлятор Agama 11
6. OpenNews: openSUSE развивает новый графический интерфейс установки пакетов YQPkg

• Добавлена поддержка Wayland-протокола fifo, позволяющего использовать FIFO-механизм (первым пришёл - первым ушёл) обработки очереди обновления содержимого отображаемой поверхности. При помощи указанного протокола при выводе можно обойтись ожиданием завершения вертикальной развёртки (vblank) вместо использования callback-вызовов при каждой готовности отобразить новый кадр, что решает проблему с высокой нагрузкой на GPU при использовании VSync.
• В конфигураторе улучшен интерфейс страницы настройки дисплея. В системах с одним экраном обеспечено скрытие области выбора раскладки экранов. В многомониторных конфигураций улучшено выделение текущего экрана и представление подсоединённых, но не активированных экранов.
• Добавлена поддержка xdg-портала Clipboard, предоставляющего доступ к буферу обмена для приложений, запускаемых в изолированных окружениях, например, поставляемых в формате Flatpak.
• Значительно повышена производительность записи скринкастов с использованием видео в формате VP9 (применяется по умолчанию).
• Обеспечено сохранение интерактивных кнопок в уведомлениях, показываемых во всплывающем окне с историей уведомлений.
• В многомониторных конфигурациях часы и интерактивные элементы интерфейса на экранах блокировки и входа в систему теперь показываются только на одном активном экране и скрываются на остальных экранах, не имеющих фокуса ввода.
• Решены проблемы в KWin, приводившие к перемещению окон в неадекватные позиции при перегруппировке экранов или изменении их числа.
• Улучшен внешний вид виджета Comics, в ситуации отсутствия доступных для просмотра комиксов (вместо сообщения об ошибке теперь предлагается выбрать комиксы).
• Реализована возможность переключения между окнами через сочетания клавиш Meta+Tab и Meta+Shift+Tab.
• В KWin добавлена возможность настройки продолжительности действия эффекта затухания рабочего стола ("Fade Desktop").
• Для уведомлений реализована поддержка выбора типа звукового оповещения (например, при получении письма может воспроизводиться отдельный звук, характерный для прихода сообщения).
• Набор тёмных курсоров переименован в "Breeze Dark".
• В ветке 6.3.4 решены проблемы с крахом Plasma после отключения экрана и крахом KWin после выхода из спящего режима.

1. Главная ссылка к новости
2. OpenNews: Для KDE разрабатывают новый менеджер входа для замены SDDM
3. OpenNews: В KDE улучшена поддержка графических планшетов и устройств домашней автоматизации
4. OpenNews: Разделение кода kwin_x11 и kwin_wayland. Прекращение поддержки X11 в KDE 7
5. OpenNews: Релиз среды рабочего стола KDE Plasma 6.3
6. OpenNews: Сеанс KDE на базе X11 остался почти без тестирования. Начало разработки KDE 6.4

CMake примечателен предоставлением простого языка сценариев, средствами расширения функциональности через модули, поддержкой кэширования, наличием инструментов для кросс-компиляции, поддержкой генерации файлов сборки для широкого спектра систем сборки и компиляторов, наличием утилит ctest и cpack для определения сценариев тестирования и сборки пакетов, утилитой cmake-gui для интерактивной настройки параметров сборки.

Основные изменения:

• Прекращена совместимость с версиями CMake до выпуска 3.5. При привязке к неподдерживаемым версиям в функциях cmake_minimum_required() и cmake_policy() теперь будет выводиться ошибка.
• Добавлена переменная окружения "CMAKE_POLICY_VERSION_MINIMUM" для переопределения минимальной версии CMake, функциональность которой необходима для сборки проекта. Добавленная переменная позволяет обойтись без изменения вызовов cmake_minimum_required(VERSION) и cmake_policy(VERSION) в самом проекте, например, для настройки политики версий в проектах, не предусматривающих такую возможность.
• В выражение генератора "$<PATH>" добавлена операция "NATIVE_PATH" для преобразования файлового пути из представления CMake (для разделения каталогов всегда используется "/"), в системный путь (в Unix-подобных системах используется "/", а в Windows - "\").
• На платформе macOS при использовании генераторов сборочных сценариев на базе инструментария Ninja и генераторов Makefile, если в каталоге "/usr/bin" присутствует компилятор, то он отныне оставляется как есть, без привязки к компилятору в Xcode. При сборке для платформы macOS по умолчанию прекращён выбор SDK и передача компилятору флага "-isysroot" (SDK теперь выбирает сам компилятор, а не CMake).
• Добавлено свойство LINK_WARNING_AS_ERROR, при котором предупреждения компоновщика будут трактоваться как ошибки. Для отключения действия данного свойства добавлена опция командной строки "--link-no-warning-as-error".
• В утилиту cmake добавлена опция "--project-file" для задания альтернативного имени файла CMakeLists.txt.
• В генератор CPack добавлена возможность создания несжатых tar-архивов.
• В команду target_link_libraries() и переменные CMAKE_EXE_LINKER_FLAGS*, CMAKE_SHARED_LINKER_FLAGS*, CMAKE_MODULE_LINKER_FLAGS* добавлена поддержка префикса "LINKER:".
• Добавлены новые переменные:
  • CMAKE_EXECUTE_PROCESS_COMMAND_ERROR_IS_FATAL,
  • CMAKE_<LANG>_LINK_MODE,
  • CMAKE_<LANG>_DEVICE_LINK_MODE,
  • CMAKE_LINK_WARNING_AS_ERROR,
  • CMAKE_MSVC_RUNTIME_CHECKS,
  • CMAKE_DEBUGGER_WORKING_DIRECTORY,
  • CMAKE_XCODE_SCHEME_LLDB_INIT_FILE,
  • CMAKE_XCODE_SCHEME_TEST_CONFIGURATION.
• Добавлены новые свойства: DEBUGGER_WORKING_DIRECTORY и VS_SOLUTION_ITEMS (для прикрепления файлов к .sln для Visual Studio).
• Обеспечено формирование готовых сборок CMake для SunOS для архитектур sparc64 и x86_64.

1. Главная ссылка к новости
2. OpenNews: Релиз системы сборки CMake 3.28
3. OpenNews: Facebook опубликовал систему сборки Buck2
4. OpenNews: Проект Сicada развивает систему автоматизации сборок, похожую на GitHub Actions
5. OpenNews: Выпуск сборочной системы Meson 1.7.0
6. OpenNews: Компания Apple открыла код сборочной системы Swift Build

Rescuezilla поддерживает резервное копирование и восстановление случайно удалённых файлов в разделах Linux, macOS и Windows. Выполняется автоматический поиск и подключение сетевых разделов, которые можно использовать для размещения резервных копий. Графический интерфейс основан на оболочке LXDE. Формат создаваемых резервных копий полностью совместим с дистрибутивом Clonezilla. При восстановлении поддерживается работа с образами Clonezilla, Redo Rescue, Foxclone и FSArchiver, а также с образами виртуальных машин в форматах VirtualBox VDI, VMWare VMDK, QEMU QCOW2, Hyper-V VHDx и .dd/.img.

В новой версии:

• Обновлён пакет shim 1.58. Налажена загрузка на системах с включённым UEFI Secure Boot.
• Сборки на базе Ubuntu 23.10 и Ubuntu 22.10 заменены сборкой на базе Ubuntu 24.10.
• Обновлён инструментарий partclone 0.3.33.
• Обновлён пакет для тестирования памяти memtest86+ 7.00.
• Сборочное окружение переведено на использование Ubuntu 24.04.

1. Главная ссылка к новости
2. OpenNews: Опубликованы дистрибутивы Rescuezilla 2.5 и SystemRescue 11.01
3. OpenNews: Выпуск дистрибутива Clonezilla Live 3.1.3
4. OpenNews: Выпуск Redo Rescue 4.0.0, дистрибутива для резервного копирования и восстановления
5. OpenNews: Выпуск утилиты для восстановления данных dd_rescue 1.99.17
6. OpenNews: Выпуск дистрибутива SystemRescue 12.0

1. Главная ссылка к новости
2. OpenNews: Компрометация GitHub Actions-обработчика changed-files, применяемого в 23 тысячах репозиториев
3. OpenNews: Доступ к данным из удалённых и приватных репозиториев на GitHub, имеющих форки
4. OpenNews: Python сместил JavaScript с 1 места в рейтинге GitHub. Статистика GitHub за 2024 год
5. OpenNews: Инициатива GitHub по финансированию повышения безопасности открытых проектов
6. OpenNews: Ошибка в обработчике GitHub Actions привела к публикации вредоносных релизов Ultralytics

Пространства имён (namespace) в ядре Linux позволяют привязать к разным процессам разные представления ресурсов, например, процесс может быть помещён в окружение со своими точками монтирования, IPC, PID и сетевым стеком, которые не пересекаются с окружением других процессов. При помощи "user namespace" непривилегированный процесс в контексте изолированного контейнера может обращаться к подсистемам ядра, в обычных условиях требующих повышенных привилегий, но оставаться при этом непривилегированным вне контейнера.

Проблема в том, что изначально многие подсистемы ядра были написаны с расчётом на то, что работать с ними может только пользователь root, и проблемы в подобных подсистемах не рассматривались как уязвимость, так как непривилегированные пользователи не могли к ним обращаться. После того, как появился "user namespace" ошибки в подобных подсистемах стали иметь иное значение - эксплуатация уязвимости в ядре из изолированного окружения приводила к выполнению кода на уровне ядра и позволяла получить привилегированный доступ ко всей системе.

В Ubuntu в качестве дополнительного уровня защиты была реализована гибридная схема, выборочно оставляющая некоторым программам возможность создавать "user namespace" при наличии профиля AppArmor с правилом "allow userns create" или прав CAP_SYS_ADMIN. Подобная защита позволяла уменьшить риск эксплуатации уязвимостей в подсистемах ядра (сократить поверхность атаки), но при этом сохранить возможность полноценной sandbox-изоляции в избранных приложениях.

Создание "user namespace" с привилегированным доступом внутри контейнера представляет угрозу только если в системе не установлены все доступные обновления и в ядре присутствует известная неисправленная уязвимость. Выявлено три способа обхода механизма ограничения доступа к "user namespace", позволяющих непривилегированному локальному пользователю создать "user namespace" c привилегиями администратора внутри, достаточными для выполнения эксплоитов, требующих прав CAP_SYS_ADMIN или CAP_NET_ADMIN:

• Атакующий может использовать утилиту aa-exec, входящую в базовую поставку, для применения к себе имеющихся в системе профилей AppArmor, среди прочего и тех, что разрешают доступ к "user namespace". Например, можно применить к своему процессу профили от chrome, flatpak и trinity.

  
     $ aa-exec -p trinity -- unshare -U -r -m /bin/sh
  

• Атакующий может запустить командную оболочку из пакета busybox, поставляемого по умолчанию и снабжённого профилем AppArmor, допускающим создание "user namespace".

  
     $ busybox sh
     ~$ /usr/bin/unshare -U -r -m /bin/sh
  

• Атакущий может использовать переменную окружения LD_PRELOAD для загрузки своей библиотеки в контексте любой программы, имеющей AppArmor-профиль для доступа к "user namespace". Например, подобные права имеет файловый менеджер nautilus в Ubuntu Desktop.

  
     LD_PRELOAD=./shell.so /usr/bin/nautilus
  

Для блокирования найденных лазеек разработчики Ubuntu рекомендуют отключить возможность изменения профилей AppArmor утилитой aa-exec, выставив настройку "sysctl kernel.apparmor_restrict_unprivileged_unconfined=1". Также рекомендовано деактивировать профили AppArmor у приложений, имеющих доступ к "user namespace". В поставке по умолчанию подобные профили присутствуют у busybox и nautilus, а для проверки наличия отдельно установленных программ с подобными правами можно использовать команду "sudo aa-status --filter.mode=unconfined". Для отключения AppArmor-профилей busybox и nautilus (если не требуется использование утилит busybox с "user namespace" и можно обойтись без генерации миниатюр в nautilus) следует использовать команды:

   sudo ln -s /etc/apparmor.d/busybox /etc/apparmor.d/disable
   sudo apparmor_parser -R /etc/apparmor.d/busybox
   sudo ln -s /etc/apparmor.d/nautilus /etc/apparmor.d/disable
   sudo apparmor_parser -R /etc/apparmor.d/nautilus

Дополнительно можно отметить раскрытие сведений об уязвимости (CVE-2025-0927) в драйвере HFS+, позволяющей получить root-привилегии в системе. Проблема вызвана переполнением буфера, возникающем при обработке специально сформированных образов ФС. Для эксплуатации уязвимости требуется доступ к созданию "user namespace" или монтированию дисковых образов (например, пользователям Ubuntu с активным локальным сеансом polkit предоставляет право создания loop-устройств и монтирования блочных устройств, применяемые для автоподключения USB Flash). Проблема проявляется только в ядрах Linux до версии 6.12. Опубликован рабочий эксплоит, использование которого продемонстрировано в Ubuntu 22.04 с ядром 6.5.0-18-generic.

1. Главная ссылка к новости
2. OpenNews: Уязвимости в утилите needrestart, позволяющие получить root-доступ в Ubuntu Server
3. OpenNews: Уязвимость в OpenSSH, позволяющая удалённо выполнить код с правами root на серверах с Glibc
4. OpenNews: Уязвимость в glibc, позволяющая получить root-доступ в системе
5. OpenNews: Уязвимость в Glibc ld.so, позволяющая получить права root в большинстве дистрибутивов Linux
6. OpenNews: Локальная уязвимость в ядре Linux, эксплуатируемая через nftables

Проект Organic Maps является форком приложения MAPS.ME, созданным его изначальными авторами после продажи MAPS.ME компанией mail.ru компании Daegu Limited, которая перевела проект на проприетарную модель разработки. Код проекта Organic Maps распространяется под лицензией Apache 2.0. В ходе миграции на новую платформу перенесены: репозиторий с 54 тысячами коммитов, 9.5 тысяч сообщений (issues), 100 тысяч комментариев и 4.3 тысячи pull-запросов.

Платформа Forgejo является форком проекта Gitea, который в свою очередь ответвился от платформы Gogs. Ключевыми особенностями Forgejo является низкое потребление ресурсов (может использоваться в дешёвых VPS) и простой процесс установки. Предоставляются типовые возможности работы с проектами, такие как управление задачами, отслеживание проблем (issues), pull-запросы, wiki, средства для координации групп разработчиков, подготовка релизов, автоматизация размещения пакетов в репозиториях, управление правами доступа, сопряжение с платформами непрерывной интеграции, поиск кода, аутентификация через LDAP и OAuth, доступ к репозиторию по протоколам SSH и HTTP/HTTPS, подключение web-хуков для интеграции со Slack, Discord и другими сервисами, поддержка Git-хуков и Git LFS, инструменты для миграции и зеркалирования репозиториев.

1. Главная ссылка к новости
2. OpenNews: GitHub принудительно перевёл репозитории проекта Organic Maps в архивный режим
3. OpenNews: Компания Mail.ru открыла исходные тексты картографических приложений MAPS.ME
4. OpenNews: Платформа совместной разработки Forgejo переходит с лицензии MIT на GPLv3
5. OpenNews: Доступна платформа совместной разработки Forgejo 9.0, перешедшая на лицензию GPLv3
6. OpenNews: Fedora на пути к переводу Git-сервисов совместной разработки на платформу Forgejo

Основные изменения:

• Рабочий стол обновлён до выпуска GNOME 48, в котором реализована поддержка HDR, тройной буферизации, стековой компоновки уведомлений, глобальных сочетаний клавиш. Расширен конфигуратор. Добавлены оптимизации потребления памяти и производительности.
• В Ubuntu Desktop вместо Evince для просмотра PDF задействована программа Papers (форк Evince, переведённый на GTK4 и частично переписанный на языке Rust).
• По умолчанию задействована обвязка xdg-terminal-exec, упрощающая замену эмулятора терминала, вызываемого комбинацией клавиш Ctrl+Alt+T.
• После сворачивания проекта Mozilla Location Service, сервисы определения местоположения переведены на базу BeaconDB с информацией о размещении известных точек беспроводного доступа.
• Отключено по умолчанию звуковое сопровождение запуска системы.
• В инсталлятор в Ubuntu Desktop добавлен режим для замены существующих установок Ubuntu. При установке в режиме двойной загрузки, если в системе уже используются другие операционные системы, разрешена установка на шифрованные разделы и предоставлены расширенные настройки для дисковых разделов. Добавлена возможность установки Ubuntu на одном накопителе с Windows-системами, использующими шифрованные разделы на базе BitLocker.
• Вместо публикации отдельных сборок, специфичных для каждого ARM64-устройства, дистрибутив перешёл к предоставлению одного общего ISO-образа Ubuntu Desktop для устройств на базе архитектуры ARM64. Образ можно использовать для установки на рабочих станциях с процессорами Ampere, ноутбуках с чипами Snapdragon и в виртуальных машинах на Mac-системах Apple Silicon.
• Улучшены возможности для использования устройств на базе архитектуры ARM64 в качестве рабочих станций с графическим окружением. Добавлена поддержка новых устройств, например, на базе Qualcomm Snapdragon X Elite 13. Добавлены пакеты ubuntu-x1e-settings и qcom-firmware-extract.
• В дополнение к initramfs-tools добавлена опциональная поддержка инструментария Dracut для формирования образов начального RAM-диска (initrd). В Ubuntu осеннем выпуске 25.10 инструментарий Dracut намерены задействовать по умолчанию. Из проблем с initramfs-tools, которые будут решены после перехода на Dracut, упомянуты: невозможность использования systemd в initrd, отсутствие поддержки NVMe over Fabric (NVM-oF), сложность сопровождения из-за раздельной работы с initrd и корневой ФС, стагнация разработки initramfs-tools и обилие кода на shell в initrd.
• В репозиторий добавлен инструментарий crypto-config, предназначенный для работы с общим для всей системы профилем настроек, связанных с криптографией. В настоящее время доступны профили default, legacy и future.
• Обновлены системные пакеты: ядро Linux 6.14, glibc 2.41, systemd 257.4, binutils 2.44, OpenSSL 3.4.1, GnuTLS 3.8.9, BlueZ 5.79, NetworkManager 1.52, Pipewire 1.2.7, Poppler 25.03, xdg-desktop-portal 1.20.
• Обновлены средства для разработчиков: GCC 14.2, LLVM 20, Python 3.13.2, Go 1.24, Rust 1.84, .NET 9.0, PHP 8.4, Ruby 3.3, OpenJDK 24, PostgreSQL 17, Valkey (форк Redis) 8.0.2, MySQL 8.4.4, Qt 6.8.3.
• Обновлены пользовательские приложения: GIMP 3.0, LibreOffice 25.2, Firefox 136, Thunderbird 128.
• Обновлены серверные пакеты: Nginx 1.26.3, Apache httpd 2.4.63, OpenSSH 9.9, cloud-init 24.3.1, runc 1.2.5, Docker 27.5.1, Containerd 2.0.2, HAProxy 3.0.7, libvirt 10.10.0, ClamAV 1.4.2, OpenLDAP 2.6, QEMU 9.2.0, Squid 6.13, SSSD 2.10.1, Samba 4.21.
• В Chrony для синхронизации времени по умолчанию задействованы серверы точного времени от проекта Ubuntu, использующие протокол NTS.
• Командная оболочка Fish обновлена до ветки 4.0, переписанной на Rust.
• На ноутбуках с GPU NVIDIA по умолчанию включён сервис nvidia-powerd, обеспечивающий поддержку механизма Dynamic Boost, позволяющего балансировать энергопотребление между CPU и GPU для повышения производительности.
• Прекращено создание файла /run/utmp с данными о пользователях, в данный момент работающих в системе. Формат utmp, в котором задействовано 32-разрядное значение time_t, признан устаревшим из-за подверженности проблеме 2038 года. В следующем выпуске будет прекращена поддержка cgroup v1 и сервисов, запускаемых через скрипты в стиле System V init.
• Инструментарий для настройки параметров сети обновлён до выпуска Netplan 1.1.2, в котором появилась возможность использования метода аутентификации "wpa-psk-sha256" в беспроводных сетях и добавлена поддержка параметра "routing-policy" в NetworkManager.
• В сборки для плат Raspberry Pi добавлен стек для работы с камерами, основанный на libcamera 0.4 и libpisp. Для начальной настройки системы задействован пакет gnome-initial-setup, выполняемый при первом запуске. Утилиты libraspberry-bin заменены на raspi-utils. Обеспечена возможность загрузки по сети при помощи nbd-client.
• Продолжена работа над атомарно обновляемым вариантом Ubuntu Core Desktop, использующим технологии Ubuntu Core и включающим только приложения, оформленные с использованием пакетов в формате Snap.
• В Xubuntu задействован выпуск среды рабочего стола Xfce 4.20.
• В Ubuntu Cinnamon предложена версия рабочего стола Cinnamon 6.4.8. Проведена чистка пакетов, в которых нет необходимости, позволившая немного сократить размер сборки. Улучшена тема оформления Yaru-Cinnamon. Добавлены тёмный и светлый варианты применяемых по умолчанию обоев рабочего стола.
• В Ubuntu Mate продолжает поставляться рабочий стол MATE 1.26.
• В Lubuntu включён выпуск среды рабочего стола LXQt 2.1.0. Осуществлён переход с ветки Qt 6.6 на Qt 6.8. Значительно ускорена работа инсталлятора, основанного на фреймворке Calamares.
• В Ubuntu Studio по умолчанию использован рабочий стол KDE Plasma 6.3 и тёмный набор пиктограмм на панели. Обновлены версии программ, например, доступны Darktable 5.0.0, Ardour 8.12.0, Qtractor 1.5.3, Audacity 3.7.3, digiKam 8.5.0, Kdenlive 24.12.3, Krita 5.2.9 и GIMP 3.0.0.
• В Kubuntu задействованы выпуски KDE Plasma 6.3, Qt 6.8, KDE Frameworks 6.12.0 и KDE Gear 24.12.3. По умолчанию предложен сеанс на базе Wayland, а поддержка X11 реализована в форме опции.

1. Главная ссылка к новости
2. OpenNews: В Ubuntu 25.10 решено заменить GNU Coreutils на uutils, написанные на Rust
3. OpenNews: В Ubuntu 25.04 появится поддержка Dracut и будут унифицированы сборки для ARM64
4. OpenNews: Выпуск Ubuntu 24.04.2 LTS c обновлением графического стека и ядра Linux
5. OpenNews: Разработчики Ubuntu проанализировали эффективность включения оптимизации PGO
6. OpenNews: Ubuntu переходит на использование самых свежих версий ядра в предстоящих релизах