Организация Godot Foundation анонсировала ужесточение правил приёма изменений в открытый игровой движок Godot. При разработке Godot решено полностью запретить использование автономных AI-агентов или вайб-кодинга, а также генерации значительных фрагментов кода при помощи AI. Весь код должен создаваться человеком, а использование AI допускается лишь для выполнения рутинных операций при разработке, таких как автодополнение кода и поиск/замена. В случае задействования AI при написании кода, требуется раскрытие этой информации в обсуждении pull-запроса.
Не допускается применение AI для рецензировния pull-запросов - все pull-запросы перед принятием обязательно должны проверяться и подтверждаться людьми. Помимо этого запрещено использование AI для генерации текста пояснений к pull-запросам, описаний предложений, сообщений о проблемах и прочих применений, затрагивающих коммуникации между людьми. При этом допускается использование AI для машинного перевода на другой язык, с условием, что переводимый текст написан человеком.
Для отсеивания скрытого применения AI и снижения нагрузки на сопровождающих проект также вводит ограничения для новых разработчиков: участникам, у которых менее 4 принятых pull-запросов, запретят предлагать новую функциональность или проводить крупный рефакторинг кода без предварительного согласования с сопровождающими.
Предполагается, что такое ограничение подтолкнёт новичков тратить больше времени на изучение кодовой базы, исправление ошибок и работу над документацией, чтобы заслужить доверие у сопровождающих перед тем как браться за значительные проекты.
Основной причиной введения запрета на AI стала перегрузка сопровождающих из-за обилия сомнительных изменений, созданных с помощью AI. В настоящее время в репозитории Godot на GitHub накопилось более пяти тысяч открытых pull-запросов, которые не успевают разбирать. Появление AI-инструментов упростило написание кода и привело к лавинообразному росту отправляемых pull-запросов, при том, что число рецензирующих не изменилось. Рецензирующие вынуждены тратить ценное время на разбор изменений, которые часто не имеют смысла, снабжены излишне многословными описаниями и отправляются разработчиками, не понимающими или не тестировавшими собственные патчи.
Компания Meta*представила AI-модель Brain2Qwerty v2, позволяющую на основе анализа электрической активности мозга, записанной при помощи магнитоэнцефалографии (МЭГ), воссоздать текст, набираемый пользователем на клавиатуре. Для загрузки доступен инструментарий для обучения и выполнения модели, фреймворк для обработки данных магнитоэнцефалографии и библиотека для обучения моделей на данных об электрической активности мозга. Для загрузки также доступен набор данных, используемых при обучении модели в первом эксперименте (данные для второго эксперимента будут опубликованы позднее, после принятия статьи в научный журнал). Код библиотек открыт под лицензией MIT, а данные распространяются под лицензией CC BY-NC 4.0.
Точность при анализе сырых (зашумлённых) результатов магнитоэнцефалографии при использовании второй версии модели Brain2Qwerty составила в среднем 61% при воссоздании набора на клавиатуре отдельных слов. При этом наилучший результат, полученный одним из участников эксперимента составил 78%. У первой версии модели Brain2Qwerty, которая была обучена на меньшем в 10 раз объёме данных, эффективность составила 40% в среднем и 48% при наилучшем результате. Для сравнения, эффективность других неинвазивных методов восстановления текста на основе анализа активности мозга оценивается в 8%.
Вторая версия модели Brain2Qwerty была обучена на данных активности мозга, записанных при вводе 22 тысяч предложений, набранных 9 участниками эксперимента. Активность мозга каждого участника записывалась в течение 10 сеансов по 1 часу во время активного набора текста на клавиатуре. Запись активности осуществлялась с использованием системы магнитоэнцефалографии Megin (Elekta Neuromag), собирающей данные при помощи 102 магнитометров и 204 градиометров с частотой 1000 сканирований в секунду.
Участникам в наушниках называлось отдельное предложение, после чего на экране на 1.5 секунды загорался индикатор, после потухания которого необходимо было методом слепой печати набрать услышанную фразу на клавиатуре. Для фиксации взгляда во время набора следовало смотреть на вращающийся чёрный квадрат в центре экрана.
Повышение эффективности по сравнению с первой версией Brain2Qwerty достигается благодаря десятикратному увеличению объёма задействованных при обучении данных и переходу от работы на уровне отдельных символов к многокомпонентной системе, воссоздающей целые слова и предложения.
Для воссоздания текста из записи активности мозга задействована система из трёх компонентов: Conformer для выделения и классификации отдельных букв из сигналов магнитоэнцефалографии, Aligner для объединения букв в слова и LoRA LLM для реконструкции предложения из зашумлённого сигнала c учётом возможного смысла полученного семантического контекста.
Хизер Ванкура (Heather VanCura), вицепрезидент компании Oracle, отвечающая за взаимодействие с сообществом, представила второй этап инициативы по сближению с сообществом и форсированию разработки MySQL. Если на первом этапе внимание было уделено повышению прозрачности процессов и привлечению сообщества к определению пути развития MySQL, то второй этап будет сосредоточен на вовлечение представителей из сообщества в разработку. Среди целей упоминается ускорение инноваций, предоставление понятных путей для передачи изменений и расширение экосистемы MySQL.
Для реализации данного намерения учреждён руководящий комитет (Steering Committee), который будет включать представителей из сообщества, определять стратегию развития MySQL и служить связующим звеном с экосистемой MySQL. В первый состав комитета помимо сотрудников Oracle войдут представители Amazon Web Services (AWS) и Google Cloud.
Комитет будет заниматься вопросами, связанными с расстановкой приоритетов развития в долгосрочной перспективе, расширением экосистемы, модернизацией управления проектом, вовлечением сообщества в разработку и получением обратной связи от сообщества. При этом комитет не служит заменой технического руководства и не будет вмешиваться повседневные процессы разработки.
Для привлечения к работе представителей из сообщества предложена новая модель управления, в которой определены следующие роли:
Участники (contributor), пишут код, тестируют, рецензируют, документируют и участвуют в технических дискуссиях. Участником может стать представитель сообщества, а не только сотрудник Oracle.
Коммитеры (committer), рецензируют изменения и следят за качеством кода. Первое время команда коммитеров будет сформирована из сотрудников Oracle, но в будущем право коммитера может быть дано зарекомендовавшим себя участникам из сообщества.
Лидеры проектов (project lead), отвечают за принятие технических решений и планирование разработки в отдельных областях, таких как инструментарий, оптимизатор, runtime, InnoDB и т.п.
Главный лидер (Core Project lead), отвечает за продукт MySQL Community Edition.
Группа по уязвимостям (Vulnerability Group), отвечает за разбор сообщений об уязвимостях, координацию исправления уязвимостей и раскрытие информации о проблемах с безопасностью.
Модель управления разработана по результатам обсуждения на конференции MySQL Contributor Summit, в котором приняли участие такие организации, как Amazon Web Services (AWS), Google Cloud, Percona, ProxySQL, Readyset, VillageSQL и MariaDB Foundation.
Представлен релиз распределенной системы управления исходными текстами Git 2.55. Среди ключевых изменений: включение по умолчанию сборки с Rust, реализация для Linux процесса fsmonitor, новая стратегия переупаковки инкрементального MIDX-индекса, команда "git history fixup" для исправления коммита, оптимизация генерации битовых карт доступности объектов, поддержка параллельного выполнения hook-ов, команда "git format-rev". Код Git распространяется под лицензией GPLv2+.
По сравнению с прошлым выпуском в новую версию принято 505 изменений, подготовленных при участии 100 разработчиков, 33 из которых впервые приняли участие в разработке Git. Основные новшества (1, 2, 3):
По умолчанию включена поддержка компонентов на языке Rust. Компилятор rustc
добавлен в число сборочных зависимостей. Для сборки без Rust можно использовать флаг "NO_RUST=1" при запуске утилиты make или "-Drust=disabled" при выполнении "meson configure". Возможность отключения сборки с Rust будет поддерживаться до ветки Git 3.0, в которой Rust будет включён в число обязательных зависимостей. На языке Rust реализована прослойка для переносимости между конфигурациями с хэшами SHA-1 и SHA-256, а также некоторые внутренние функции, такие как кодирование и декодирование целочисленных значений переменной длины. В будущем ожидается переработка на Rust более значительных внутренних компонентов Git.
В экспериментальную команду "git history", предоставляющую возможности для перезаписи истории изменений, добавлена операция "git history fixup" для исправления коммита. Операция "fixup" позволяет перенести изменения, добавленные через "git add", в более ранний коммит и автоматически переписать все последующие коммиты по аналогии с выполнением команды "git commit --fixup=<commit>" и запуска "git rebase --autosquash <commit>~".
Для платформы Linux реализован фоновый процесс fsmonitor, отслеживающий изменения в файловой системе при помощи механизма inotify и позволяющий обойтись без перебора всего рабочего каталога при выполнении таких команд, как "git status" Включение осуществляется через настройку "core.fsmonitor".
В команду "git repack" добавлен режим "--write-midx=incremental", реализующий новую стратегию обновления метаданных в инкрементальном MIDX-индексе (multi-pack index), позволяющую обойтись без переупаковки всего индекса. В инкрементальном многопакетном индексе вместо одного большого индекса, содержащего информацию о распределении объектов по pack-файлам, применяется разделение на слои - каждый слой охватывает определённое число pack-файлов и хранится в отдельном bitmap-файле. Подобная структура позволяет добавлять в индекс данные об объектах в новых pack-файлах, прикрепляя к индексу новые слои без перестроения уже имеющихся слоёв.
Команда "git repack --write-midx=incremental" позволяет добавить в инкрементальный MIDX-индекс новый слой, охватывающий недавно созданные pack-файлы. В сочетании с режимом упаковки репозиториев "--geometric" новая команда даёт возможность объединить новые объекты из нескольких pack-файлов в один более крупный pack-файл и при необходимости осуществить упаковку и слияние нескольких соседних слоёв инкрементального MIDX-индекса. Подобная стратегия позволяет при выполнении "git repack" переписывать только верхние слои, оставляя старые большие слои нетронутыми, а также исключить неконтролируемое разрастание цепочки слоёв, поддерживая общее число слоёв на уровне, пропорциональном логарифму от общего числа объектов.
Значительно оптимизирована генерация битовых карт доступности объектов за счёт нового алгоритма обхода дерева объектов, исключающего лишнюю рекурсию, кэширования позиций объектов, сортировки битовых карт до их объединения операцией XOR и переработки кода для создания битовых карт псевдослияния (pseudo-merge). В тестовом репозитории оптимизации позволили сократить время генерации битовых карт с 612 до 294 секунд.
Реализована возможность параллельного выполнения независимых hook-ов в файлах конфигурации. Параллельно не могут запускаться hook-и, влияющие на совместное состояние или учитывающие его, например, меняющие примечания к коммитам или инспектирующие индексы и рабочее дерево. При этом можно параллельно запускать hook-и для проверки линтером и выполнения unit-тестирования. Допускающие параллельное выполнение hook-и настраиваются через параметр "hook.имя_хука.parallel = true". Число одновременно запускаемых работ определяется через настройку hook.jobs, hook.<event>.jobs или опцию командной строки "-j".
В команде "git pack-objects --path-walk" реализована возможность указания фильтров, таких как "blob:none", "blob:limit=<n>", "tree:0", "object:type=<type>", "sparse:<oid>" и "combine:". В проведённом тесте отбрасывание блобов при выполнении "--path-walk" позволило на 16% сократить размер сформированного pack-файла.
Добавлена команда "git format-rev" для форматирования ревизий и имён объектов, упоминаемых в списках коммитов или встречающихся в произвольном тексте (например, можно использовать в хукак для обработки примечаний к коммитам).
git last-modified | git format-rev --stdin-mode=text --format=%an
Junio C Hamano builtin/commit.c
Включено по умолчанию экранирование большинства последовательностей управления терминалом в информационных сообщениях и тексте ошибок, передаваемых сервером. При обращении к вредоносному серверу подобные escape-последовательности могли использоваться для скрытия или модификации вывода, например, через escape-последовательности для перемещения курсора и очистки текста. Оставлена поддержка escape-последовательностей для выделения элементов цветом.
Команда "git checkout -m теперь автоматически сохраняет конфликтующие локальные изменения в stash-области без необходимости незамедлительно разрешать конфликт.
В команду "git push" добавлена возможность помещения ветки на несколько внешних Git-серверов одной командой. Например, для передачи ветки main не только на основной сервер, но и на зеркала можно создать группу "publish" из серверов "github", "gitlab" и "mirror":
git config remotes.publish "github gitlab mirror"
git push publish main
В команду "git log --graph" добавлена опция "--graph-lane-limit=<N>" для ограничения числа вертикальных полос при визуализации веток, что позволяет оставить место на экране под данные о коммитах в репозиториях с большим числом веток.
Компания Microsoft объявила о начале тестирования системы для запуска Linux-контейнеров в Windows, реализованной на базе прослойки WSL (Windows Subsystem for Linux). Инструментарий предоставляет типовой интерфейс командной строки wslc и API для создания, развёртывания и запуска контейнеров на базе Linux из окружения Windows, а также для обращения к запущенным контейнерам из Windows. Функциональность для работы с контейнерами включена в состав экспериментального выпуска WSL 2.9.3.
Основные возможности WSLC (WSL Containers):
Операции для управление жизненным циклом контейнеров, такие как создание, запуск, остановка, экспорт, очистка и инспектирование.
Ограничение потребления CPU и памяти отельных контейнеров.
Сборка, загрузка, отправка, импорт, сохранение и проверка системных образов. Команды для просмотра списков доступных образов. Пакетные операции сразу с несколькими образами. Возможность упаковки нескольких образов в один tar-архив.
Создание и управления виртуальными сетями. Присоединение контейнеров к нескольким сетям. Создание собственных типов сетей. Проброс сетевых портов.
Создание, просмотр и удаление разделов. Работа с виртуальными дисками (VHD).
Доступ к GPU из контейнеров и предоставление библиотек для работы непривилегированных пользователей с GPU.
Создание сеансов по мере необходимости, присвоение имён сеансам, настраиваемое местоположение хранилища.
SDK c API для автоматизации работы с контейнерами из программ на C++ и C#/WinRT.
Команда "wslc logs" для просмотра и выборки данных из логов. Вывод статистики о работе контейнера. Подсветка вывода в утилите "wslc".
Интеграция с MSBuild и CMake.
Поддержка управления при помощи групповых политик ADMX.
Поддержка расширения VS Code dev container для запуска и сборки разрабатываемого кода в контейнере.
Помимо поддержки контейнеров в новой версии WSL реализованы следующие возможности:
Предложена и задействована по умолчанию в контейнерах новая файловая система "virtiofs", обеспечивающая двукратное ускорение доступа к Windows-файлам.
Реализован и задействован по умолчанию в контейнерах режим работы сети "consomme", обеспечивающий улучшенную совместимость с различными сетевыми конфигурациями (VPN, прокси и т.п.). В режиме "consomme" Linux-трафик пересылается через Windows, что позволяет использовать для Linux приложений все возможности сетевого окружения Windows, включая политики безопасности и средства для интеграции с корпоративными системами.
Улучшено автоматическое возвращение в основное окружение с Windows памяти, не использованной в виртуальной машине с Linux.
WSL предоставляет виртуальную машину с полноценным ядром Linux (на базе веток 6.6 и 6.18), в которой могут запускаться дистрибутивы Linux. Ядро включает специфичные для WSL изменения, такие как оптимизации для сокращения времени запуска и уменьшения потребления памяти, возможность возвращения Windows освобождённой Linux-процессами памяти и настройки для исключения лишних драйверов и подсистем. Система устанавливается в отдельный дисковый образ (VHD) c файловой системой ext4 и виртуальным сетевым адаптером.
В приложение xsnow, реализующее эффект падающего снега на рабочем столе, осуществлена подстановка скрытого изменения, с вероятностью 2% показывающего украинский флаг. Для пользователей с русской локалью вероятность показа флага увеличивается до 30%. Подобная активность присутствует и в Debian-пакете xsnow, поставляемом в репозитории Debian 13.
В жалобе, отправленной команде Debian Quality Assurance Team, ответственной за поддержание качества в Debian, указано, что подобное нештатное поведение не соответствует требованиям к программному обеспечению, которое может поставляться в Debian, так как может рассматриваться как дискриминация по принадлежности к определённой группе пользователей и дискриминация по области использования. В частности, xsnow изменяет поведение и направляет адресное обращение отдельной категории пользователей и меняет ожидаемую нейтральную функциональность в зависимости от окружения пользователя.
При этом упомянутые в жалобе пункты правил Debian определяют недопустимость дискриминации лишь в лицензиях на код, а не в поведении программы. Правила Debian не регламентируют действия в случае попыток продвижения в ПО политических заявлений и поведения, расходящегося с заявленной функциональностью. Формально подобная активность в Debian оказалась не запрещена.
В качестве варианта дальнейших действий рассматривается возможность трактовки выполняемых программой протестных действий как ошибки или недокументированного поведения, требующего применения патча для восстановления нейтральной и ожидаемой функциональности. Но ситуацию усложняет тот факт, что сопровождающий пакет xsnow в Debian является автором данной программы, добавившим рассматриваемое недокументированное поведение.
Спустя почти три года с момента прошлого значительного выпуска опубликован релиз Linux-дистрибутива Mageia 10, в рамках которого независимым сообществом энтузиастов развивается форк проекта Mandriva. Для загрузкидоступны 32- и 64-разрядные установочные сборки (5.6 ГБ) и набор Live-сборок (4.5-5.1 ГБ) на базе GNOME, KDE и Xfce.
Повышены требования к 32-разрядным системам, для работы на которых теперь необходимо наличием CPU с поддержкой инструкций SSE2. Имя архитектуры для 32-разрядных iso-образов изменено с i586 на i686.
Для обоев рабочего стола вместо JPG задействован формат JXL. Разрешение увеличено до 3840×2160, но благодаря более эффективному сжатию потребление дискового пространство осталось на том же уровне.
В инсталляторе реализован запрос часового пояса при начале установки, добавлена поддержка беспроводных соединений и улучшен режим восстановления ранее установленной системы.
В Live-сборках c GNOME и KDE Plasma по умолчанию предложены сеансы на базе Wayland. Реализованы опции для отката на X11 и использования несвободных драйверов. Добавлена предварительная поддержка DisplayLink, требующая установки пакета displaylink-native-evdi. Расширены возможности интерфейса draklive2, в котором упрощена настройка локализации, часовых поясов, сервисов и межсетевого экрана, добавлена сводная страница с общей информацией.
Через репозитории RPM-MD (RPM MetaData) обеспечено предоставление метаданных AppStream, используемых в менеджерах приложений GNOME Software и Plasma Discover для поиска и управления приложениями.
В Mageia Control Center в конфигураторе звука draksound упрощено переключение между звуковыми серверами PulseAudio и PipeWire (по умолчанию продолжает использоваться PulseAudio). Убрана функциональность родительского контроля (drakguard), требующая переработки.
На базе python-manatools переработаны графические интерфейсы утилит для записи ISO-образов (isodumper), управления пакетами (dnfdragora) и настройки межсетевого экрана (manafirewall). Python-manatools предоставляет обвязку, позволяющую создавать универсальные интерфейсы, которые могут отрисовываться в графическом режиме через Qt6 и GTK4, а в текстовом режиме при помощи ncurses.
Добавлен пакет remove-old-kernels с инструментарием для удаления старых ядер из системы и оставления только трёх последних обновлений пакетов с ядром. Чистка запускается автоматически раз в неделю или может быть вызвана через меню "Tools" -> "System tools".
DHCP-клиент dhcp-client заменён на dhcpcd, а инструментарий для тестирования памяти PCMemTest заменён на Memtest86+.
Приложение для ведения заметок Knotes заменено на Marknote. Пакет для голосового ввода и распознавания голосовых команд NoComprendo переведён на библиотеки и модели от проекта Vosk.
В состав включены браузеры для протокола Gemini: Lagrange (SDL), Kristall (Qt), Offpunk (CLI).
Прекращена поставка пакета Chromium из-за больших трудозатрат на сопровождение. Предлагается использовать пакет в формате flatpak или официальный RPM-пакет Chrome от Google.
Доступ к утилите dmesg теперь разрешён только администратору.
Обновлены версии пакетов, включая ядро Linux 6.18, RPM 4.20.1, DNF 5.4 (в качестве альтернативы urpmi), Docker 29.1.3, GRUB 2.12, Glibc 2.42, GCC 15.2, GDB 16.3, LLVM 20.1, Firebird 5.0.3
QEMU 10.2.2, Xen 4.20.2, VirtualBox 7.2.8, Python 3.13, Perl 5.42,
Ruby 3.4.7, Rust 1.95.0, PHP 8.5.
Обновлены версии рабочих столов KDE Plasma 6.5.5 (по умолчанию с Wayland) + KDE Gear 25.12.1, GNOME 49. Xfce 4.20, LXQt 2.3, MATE 1.28, Cinnamon 6.6, Enlightenment E27.1.
Майк Полл (Mike Pall), создатель JIT-компилятора LuaJIT, отошедший от активной разработки проекта в 2015 году и ограничивавшийся с тех пор редким сопровождением ветки 2.1, вернулся к активной работе над проектом и опубликовал план синтаксических расширений будущей ветки LuaJIT 3.0.
Среди предлагаемых для LuaJIT 3.0 расширений:
Битовые операторы в виде встроенного синтаксиса вместо вызовов функций "bit.*": "~a" (NOT), "a & b" (AND), "a | b" (OR), "a ~ b" (XOR), "a << b`, "a >> b" (логический сдвиг) и "a ~>> b" (арифметический сдвиг). XOR обозначен как "~", поскольку символ "^" в Lua занят возведением в степень.
Альтернативные ("привычные") операторы в стиле C/JavaScript: "!" (not), "&&" (and), "||" (or) и "!=" (~=).
Оператор целочисленного деления "//" с округлением в сторону минус бесконечности и метаметодом "__idiv" (как в Lua 5.3+).
Тернарный оператор "a ? b : c" с поддержкой сокращённого вычисления.
Оператор безопасной навигации "?." ("a?.field", "a?.[key]", "f?.(...)", "obj?.:method(...)"), возвращающий "nil", если левый операнд равен "nil".
Оператор объединения с nil "a ?? b", возвращающий "b", только если "a" равно "nil".
Составные операторы присваивания: "+=", "-=", "*=", "/=", "//=", "%=", "&=", "|=", "~=", "<<=`, ">>=", "~>>=", "..=" и "??=". Индексное выражение в левой части вычисляется однократно.
Оператор "continue" для перехода к следующей итерации цикла, оформленный как "мягкое" ключевое слово (можно продолжать использовать как имя переменной).
Объявление "const" - блочная неизменяемая привязка локальной переменной; запрещены переприсваивание и повторное объявление в той же или вложенной области видимости (также "мягкое" ключевое слово).
В обсуждении дополнительно затрагиваются ещё не вошедшие в спецификацию идеи: выражение сопоставления с образцом через ключевое слово "in", индексируемый тип для vararg ("...varg", "varg[i]"), краткий синтаксис лямбд ("|x| -> expr"), оператор отложенного выполнения "defer" в стиле Go/Zig и присваивание в условии ("if local x = ... then").
Появление расширений вызвало и критику: часть участников отметила, что нововведения окончательно превращают LuaJIT в отдельный язык, несовместимый с эталонным Lua 5.1. На это Полл ответил, что "этот корабль уплыл уже очень давно".
Документацию по языку планируется консолидировать в отдельное самостоятельное описание, в котором каждое расширение будет помечено версией, в которой оно появилось.
Анонимный исследователь безопасности опубликовал в открытом доступе прототипы 23 эксплоитов, в которых задействованы ещё не исправленные (0-day) уязвимости в таких проектах, как FFmpeg, VLC, Firefox, Docker, PHP, OpenVPN, nmap, libssh2, nghttp2, 7zip, Ghidra, Gitea, c-ares, Floci, Flowise, ImageMagick, Lunar Client, MyBB, objdump и RustDesk. Уязвимости были выявлены в результате fuzzing-тестирования проектов с привлечением AI-модели GPT-5.5-3-Codex-Spark. Утверждается, что эксплоиты, за исключением эксплоита к RustDesk, были написаны вручную, но вся сопроводительная документация к ним сгенерирована через AI.
Среди опубликованного материала встречаются как сомнительные проблемы (ghidra), так и серьёзные уязвимости (Floci, libssh2, FFmpeg, c-ares). По словам исследователя, на момент публикации эксплоитов информация о проблемах не была сообщена разработчикам уязвимых проектов. CVE-идентификаторы не назначены. Среди раскрытых уязвимостей:
Переполнение буфера в мультимедийном пакете FFmpeg, которое может привести к запуску кода атакующего при декодировании специально оформленных видеопотоков в формате RASC (дубликат CVE-2026-12706?).
Двеуязвимости в библиотеке libssh2, вызванные целочисленными переполнениями в парсере открытых ключей. Уязвимости приводят к записи данных за пределы выделенного буфера, что может использоваться для выполнения кода атакующего при обращении клиента к вредоносному SSH-серверу, в том числе на стадии до прохождения аутентификации.
Уязвимость в эмуляторе облачных окружений Floci, позволяющая обойти IAM-ограничения и добиться удалённого выполнения кода через отправку HTTP-запроса к REST API при использовании сервиса API Gateway и наличии непривилегированного доступа к API.
Уязвимость (use-after-free) в DNS-библиотеке c-ares, приводящая к запуску кода злоумышленника при обращении к подконтрольному атакующему DNS-серверу при вызове функции ares_getaddrinfo().
Состояние гонки в Docker, которое можно использовать для записи файла в область вне целевого каталога при копировании администратором данных из контейнера в хост-окружение командой "docker cp <container>:/tmp/src <host-destination>.
Уязвимость в сетевом сканере nmap, приводящая к целочисленному переполнению из-за некорректной обработки размера в коде для парсинга заголовков пакетов IPv6.
Уязвимость в реализации AI-режима "Smart Window" в Firefox, приводящая к утечке конфиденциальных данных и истории посещений через подстановку инструкций для AI-агента в открываемый контент.
Уязвимость в 7-Zip, которую можно использовать в Windows для подмены других файлов при распаковке специально оформленных RAR-архивов.
Уязвимость в act_runner в платформе совместной разработки Gitea, позволяющая выйти из контейнера и получить root-доступ к хост-системе при наличии возможности выполнения своих обработчиков через Gitea Actions.
Переполнение буфера в мультимедийном проигрывателе VLC, эксплуатируемое при декодировании специально оформленного видео в формате VP9.
Уязвимость в PHP, вызванная неправильной обработкой типов (Type Confusion) и позволяющая добиться выполнения своего кода при обработке HTTP-ответа от вредоносного SOAP-сервера.
Уязвимость в OpenVPN Connect для Windows, позволяющая добиться выполнения кода на стороне клиента при подключении к вредоносному VPN-серверу, после того как пользователь импортирует ovpn-профиль с настройками для подключения к этому серверу.
Уязвимость класса HTTP Request Smuggling в библиотеке nghttp2 в реализации прокси-сервера nghttpx, позволяющая вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом (например, для подстановки вредоносного JavaScript-кода в сеанс другого пользователя с сайтом).
Уязвимость в панели управления MyBB Admin CP, позволяющая модератору, имеющему право управления пользователями в форуме, создать учётную запись с правами главного администратора.
Уязвимость в платформе удаленного управления RustDesk, позволяющая совершить MITM-атаку для отключения шифрования и подстановки нажатий клавиш в сеанс пользователя.
Уязвимость в утилите objdump, позволяющая добиться выполнения кода при анализе утилитой специально оформленных объектных файлов в формате ELF/DLX.
Опубликован релиз композитного сервера Nourish 1.0.0, использующего для размещения окон безразмерное рабочее пространтво, не ограниченное границами экрана, по которому можно произвольно перемещаться, панорамировать, приближать/отдалять окна без потери читаемости содержимого. Для отрисовки используется графический API Vulkan с возможностью отката на OpenGL. В композитном сервере задействован протокол Wayland и расширение fractional-scale для избежания размытия содержимого при масштабировании окон. Возможна работа на системах с видеокартами NVIDIA, Intel и AMD, поддерживаемых в Mesa Код проекта написан на языке Rust и распространяется под лицензиями MIT и Apache 2.0. Готовые пакеты созданы для Fedora 44.
Допускается объединение окон в именованные группы, которые можно сворачивать, раскрывать на весь экран и индивидуально настраивать. Раскладка и выбранные позиции окон сохраняются после перезапуска, аварийного завершения приложений или перезагрузки системы.
Поддерживается создание отдельных рабочих пространств для определённых задач и переключения между ними через комбинации клавиш или наглядную 3D-навигацию, реализованную в форме мозаичной карты-глобуса. Возможно создание скриншотов и записи скринкастов, как для выбранных окон, так для выделенной области рабочего пространства, с охватом при записи изменения масштаба и перемещения по виртуальному экрану.
Опубликован выпуск проекта CoreBoot 26.06, разрабатывающего свободную альтернативу проприетарным прошивкам и BIOS. Код проекта распространяется под лицензией GPLv2. В состав новой версии включено 1163 изменения, подготовленных при участии 101 разработчика, из которых 22 впервые приняли участие в разработке.
ASUS H81M-K, P8H61-I R2.0, P8H61-M LX2, PRIME H610M-K D4, Z87-K
ASUS Maximus VI EXTREME
ASUS Maximus VI FORMULA, VI HERO, VII IMPACT, VI IMPACT, VII RANGER
Framework Laptop 13 (Intel Core Ultra Series 1)
Framework Laptop 13 Pro (Intel Core Ultra Series 3)
Lenovo ThinkPad X61 / X61s
Star Labs Byte Mk I (Ryzen 7 5800U), StarBook Mk VI (Ryzen 7 5800U)
System76 bonw15-b, gaze20
8 плат, применяемых в различных устройствах с Chrome OS или на серверах Google.
Прекращена поддержка материнских плат AMD Crater Renoir (заменена на AMD Crater для SoC V2000A) и Google Myst.
Добавлена начальная поддержка SoC Intel Nova Lake (NVL). Реализованы bootblock, romstage, ramstage, FSP-M и FSP-S (Firmware Support Package), добавлены определения выводов GPIO и таблицы ACPI, обеспечена поддержка PCIe и Flash. Обновлены утилиты ifdtool и spd_tools. Из ограничений - пока не поддерживается DDR5.
Добавлена начальная поддержка SoC Intel Panther Lake (PTL) с возможностью inline-шифрования UFS.
Добавлена начальная поддержка SoC AMD Strix Halo c демонстрацией загрузки на материнской плате AMD Maple.
Добавлена начальная поддержка SoC Qualcomm Calypso и основанных на данном SoC материнских плат Google Calypso, Mensa и C1nv. Имеется поддержка ARM Trusted Firmware, PCIe, инициализации таймера QUPv3, драйвера SPMI, загрузки прошивок CPUCP и PDP.
Для чипов AMD добавлена поддержка механизма ROM Armor, реализующего защиту от неавторизированной модификации системного SPI Flash.
Для чипов AMD реализована поддержка механизма A/B Recovery, обеспечивающего сохранение резервной копии при обновлении прошивки для загрузки старой прошивки в случае невозможности загрузиться с новой версии или при проблемах с верификацией целостности прошивки. Добавлена возможность загрузки со второго Flash-чипа и сохранения флага восстановления между перезагрузками.. В утилитах amdfwtool и amdfwread обеспечена поддержка разделения директорий и парсинга A/B-разделов.
Для плат на чипах Qualcomm, таких как Google Bluey и Calypso, реализованы расширенные возможности управления зарядом и аккумулятором. Реализованы: плавный переход от медленной к быстрой зарядке, мониторинг температуры, режим загрузки без аккумулятора, оптимизированная подача питания на NVMe.
Расширена поддержка устройств на базе чипов Intel Haswell и Broadwell. Унифицирован код поддержки платформ Haswell и Broadwell, и реализована общая инициализация графики. Добавлена начальная поддержка вариантов чипов Broadwell для ПК. Добавлен драйвер для искусственного снижения напряжения (undervolt) и переопределены лимиты мощности PL1/PL2. Добавлена поддержка материнских плат ASUS на чипах Haswell, таких как Maximus VI/VII, Z87-K и H81M-K.
В драйвер Intel FSP 2.0 добавлена поддержка алгоритма сжатия Zstd.
Предоставлена возможность включения нескольких изображений логотипов c разным разрешением для их отображения в зависимости от разрешения экрана.
Продолжена работа по адаптации кода для поддержки стандарта C23.
Обновлены версии GCC 15.2.0, NASM 3.01, binutils 2.45.1 и ACPICA 20251212.
Организация Python Software Foundation раскрыла информацию о критической уязвимости в API для управления релизами, которую можно было использовать для атаки на инфраструктуру проекта Python. Уязвимость позволяла обойти систему аутентификации и подключиться к API управления релизами с правами администратора через отправку запроса с любым ключом и указанием одного из администраторов в поле с именем пользователя.
Получаемые в случае успешной эксплуатации уязвимости права давали атакующему возможность внести изменения в ссылки на релизы Python и метаданные для проверки корректности загружаемых файлов, размещённые на странице python.org/downloads. При этом уязвимость не позволяла изменить содержимое имевшихся файлов с релизами.
Аудит базы данных и логов не выявил следов эксплуатации уязвимости. Также предполагается, что подмена ссылок на релизы не могла остаться незамеченной, так как многие поставщики при загрузке дополнительно используют систему криптографической верификации кода Sigstore и проверку с использованием PGP-ключей.
Уязвимость присутствовала в коде с 2014 года и была вызвана смешиванием в одном коде обработчиков для гостевых входов и аутентификации по ключам для API. В случае сбоя аутентификации по ключу доступа к API, в коде выполнялся откат на использование гостевого доступа.
Уязвимость была выявлена 23 февраля и устранена на следующий день, после чего было проведено несколько проверок целостности инфраструктуры: 25 февраля были проанализированы логи и резервные копии БД, все доступные для загрузки ресурсы были проверены с использованием цифровых подписей из лога Sigstore и PGP-ключей, собственными силами был проведён аудит кодовой базы используемых сервисов. 23 апреля кодовая база дополнительно была проверена при помощи AI-инструментов, а 1 июня для внешнего аудита инфраструктуры python.org и процессов формирования релизов Python была привлечена компания Trail of Bits.
Раскрыта информация о двух новых уязвимостях в ядре Linux, позволяющих непривилегированному пользователю получить права root, перезаписав данные в страничном кэше. Для обеих уязвимостей подготовлены рабочие эксплоиты.
PEdit-CoW (CVE-2026-46331, эксплоит 1, эксплоит 2) - ошибка при применении механизма copy-on-write в коде изменения заголовков пакетов (act_pedit), используемом в планировщике сетевых пакетов (net/sched), позволяет записать данные за пределы выделенного буфера, что может использоваться для перезаписи данных в страничном кэше по выбранному смещению. Ошибка вызвана тем, что проверка допустимой области для записи данных производилась без учёта того, что смещение на редактируемые поля может измениться во время выполнения операции.
Проблема проявляется начиная с ядра Linux 5.18 и устранена в выпусках 7.1, 7.0.13, 6.18.36 и 6.12.94. Заявлена возможность эксплуатации проблемы в RHEL 8/9/10, Debian 11/12, openSUSE Leap 15.6, SUSE Linux 15-SP7/16.0 и Ubuntu 18.04-25.10 (в версии Ubuntu 26.4 по умолчанию заблокировано создание user namespace). В качестве обходного пути защиты рекомендуется заблокировать загрузку модуля ядра act_pedit (перестанут работать правила ограничения трафика и перезапись заголовков через "tc pedit")"
DirtyClone (CVE-2026-43503, эксплоит) - обходной путь эксплуатации уязвимости Dirty Frag в модуле xfrm-ESP, применяемом для ускорения операций шифрования в IPsec с использованием протокола ESP (Encapsulating Security Payload). Для клонирования структуры skb в новом эксплоите используется манипуляция с TEE-расширением к netfilter (модуль xt_TEE), выполняющим операцию клонирования сетевых пакетов.
Уязвимость устранена в выпусках ядра Linux 7.1, 7.0.10, 5.10.257, 5.15.208, 6.1.174, 6.6.141, 6.12.91 и 6.18.33. Проблема проявляется в Debian, Ubuntu, Fedora,
RHEL и SUSE. В качестве обходного пути блокирования уязвимости можно запретить загрузку модулей ядра esp4 и esp6.
Для эксплуатации обеих уязвимостей требуются права доступа CAP_NET_ADMIN, которые непривилегированный пользователь может получить через создание пространств имён идентификаторов пользователей (user namespace). В Ubuntu подобная операция по умолчанию запрещена, но может быть разрешена через sysctl "kernel.apparmor_restrict_unprivileged_userns=0" или профили AppArmor. В остальных дистрибутивах доступность "user namespace" непривилегированным пользователям зависит от выставления sysctl "kernel.unprivileged_userns_clone" (если 0, то запрещено).
Эксплуатация уязвимостей сводится к чтению файла программы /bin/su с флагом suid root, для его оседания в страничном кэше, и замене в страничном кэше части кода программы кодом для запуска /bin/sh. Последующий запуск программы приведёт к тому, что в память будет загружен не оригинальный исполняемый файл с накопителя, а изменённая копия из страничного кэша.
Дополнительно можно отметить создание эксплоита для уязвимости CVE-2026-23111 в подсистеме nf_tables, устранённой в февральских обновлениях ядра Linux. Уязвимость вызвана обращением к памяти после её освобождения (use-after-free) и позволяет непривилегированному пользователю получить права root в системе. Для атаки и у пользователя должна быть возможность создания пространств имён идентификаторов пользователей (user namespace). Работа эксплоита продемонстрирована в
Debian 12/13 и Ubuntu 22.04/24.04.
Анонсирован проект Akrites для координации исправления уязвимостей и раскрытия информации об уязвимостях в критически важном открытом ПО. Проект создан под крылом Linux Foundation при участии компаний Amazon Web Services, Anthropic, Cisco, Ericsson, Google, IBM, Microsoft/GitHub, NVIDIA, OpenAI, RapidFort, Red Hat, Sonatype и Vodafone, а также некоммерческой организации Rust Foundation.
Участники проекта предоставят финансирование, инженерные ресурсы и экспертизу в области компьютерной безопасности для создания совместной команды реагирования на инциденты (SIRT, Security Incident Response Team). Созданная команда будет заниматься выявлением новых уязвимостей, разбором и проверкой отчётов об уязвимостях, подтверждением уровня опасности, разработкой исправлений совместно с сопровождающими открытых проектов и координацией процесса раскрытия информации об уязвимостях. Раскрытие сведений об уязвимостях будет синхронизировано с выпуском исправлений в основных проектах, дистрибутивах и зависимых продуктах.
Отмечается, что если раньше для создания эксплоитов требовались экспертные знания и длительный процесс разработки, то современные возможности AI-инструментов позволяют неквалифицированным злоумышленникам создать рабочий эксплоит за считанные часы, используя информацию о патче с устранением проблемы. В случае, если исправление для уязвимости выпущено без явной огласки о связи с проблемами безопасности, пользователи и разработчики зависимых проектов могут проигнорировать обновление, а злоумышленники при помощи AI-инструментов быстро подготовить эксплоит и начать атаковать необновлённые системы.
В подобных условиях становится важным оперативность устранения проблемы, предотвращение утечек информации во время разработки патчей, одновременное с публикацией исправления раскрытие сведений об уязвимости и доведение до пользователей информации о необходимости установки обновления. Отдельно будет проводиться работа по информированию об уязвимостях операторов критической инфраструктуры, важных сервисов и проектов, так как с точки зрения блокирования потенциальных атак важна не столько публикация патча, сколько его оперативное применение.
Помимо этого проект ставит перед собой цель снятия нагрузки с сопровождающих, беря на себя такую работу, как отсеивание дублирующихся отчётов о проблемах, подтверждение наличия уязвимостей и оказание помощи в разработке и тестировании исправлений.
При выявлении уязвимостей в важных пакетах, оставшихся без активных сопровождающих, проект Akrites будет брать на себя работу по подготовке и интеграции в них исправлений.
Доступен выпуск прослойки DXVK 3.0, предоставляющей реализацию DXGI (DirectX Graphics Infrastructure), Direct3D 8, 9, 10 и 11, работающую через трансляцию вызовов в API Vulkan. Для использования DXVK требуется наличие драйверов с поддержкой API Vulkan 1.4, таких как NVIDIA 575.51.02, Mesa AMD RADV 25.0, NVIDIA 25.1 и Intel ANV 25.1. DXVK может применяться для запуска 3D-приложений и игр в Linux при помощи Wine, выступая в качестве более высокопроизводительной альтернативы встроенных в Wine реализаций Direct3D, работающих поверх OpenGL.
Основные изменения:
Для всех поддерживаемых шейдерных моделей задействован компилятор шейдеров dxbc-spirv. Компиляция шейдеров перенесена из основного потока в отдельные потоки.
Реализовано кэширование на диске промежуточного представления шейдеров (кэш сохраняется в подкаталоге AppData/Local в текущем префиксе Wine).
Использование dxbc-spirv позволило снизить потребление памяти, сократить время запуска, исключить подвисания и избавиться от ряда проблем, проявлявшихся в играх Postal: Brain Damaged, Snowrunner, Overwatch, God of War, Days Gone и Final Fantasy XIV, которые не удавалось устранить в старом коде трансляции шейдеров.
Для D3D9 реализована поддержка шейдерных моделей 1-3.
По умолчанию задействовано Vulkan-расширение VK_EXT_descriptor_heap. По сравнению с ранее применявшимся хранилищем дескрипторов на базе Vulkan-расширения
VK_EXT_descriptor_buffer, новая реализация обеспечивает тот же уровень производительности операций, выполняемых на CPU, но снижает нагрузку на GPU, особенно при использовании видеокарт NVIDIA. Для работы на системах с видеокартами NVIDIA требуется как минимум версия проприетарных драйверов NVIDIA 595.84. Реализация на базе VK_EXT_descriptor_buffer объявлена устаревшей и будет удалена в одном из следующих выпусков.
В реализации Direct3D 9 вместо генерации шейдеров на лету теперь используются uber-шейдеры, оптимизированные версии которых компилируются в фоне, что решило проблемы с подвисанием некоторых старых игр, таких как Unreal Tournament 2004. Обеспечена загрузка буферов по необходимости, как в Windows, вместо заблаговременного размещения в видеопамяти, что устранило аварийные завершения некоторых 32-разрядных D3D9-игр из-за ограниченного адресного пространства.
Обеспечена корректная работа мультисэмплинга (MSAA) в режиме D3DRS_MULTISAMPLEANTIALIAS на системах с поддержкой Vulkan-расширений VK_EXT_sample_locations и VK_EXT_extended_dynamic_state3, что решило проблемы с рендерингом в Anno 1701, Men of War и других играх при включении MSAA.
Обеспечена поддержка работы с общими ресурсами (Shared resources) в штатных версиях Wine без дополнительных патчей от проекта Proton.
Удалена переменная окружения DXVK_FRAME_RATE, применявшаяся для ограничения частоты кадров (Frame rate limiter), вместо которой рекомендуется использовать внешние ограничители, такие как Gamescope и Mangohud. Для активации встроенного ограничителя можно использовать настройку "dxvk.maxFrameRate = n".
Решены проблемы в играх:
Bioshock Infinite
Borderlands 2
Colin McRae Rally 3
Dirt Rally 2
Fallout New Vegas
Insurgency & Counter-Strike
Jump Space
Max Payne
Railroad Tycoon 3
Resident Evil 6
Sang-Froid: Tales of Werewolves
Sea Dogs
Splinter Cell 4
The I of the Dragon
The Sims 3
Total War: Pharaoh
Witch on the Holy Night
World of Final Fantasy
Vietcong
Требования к минимальной версии графического API повышены до Vulkan 1.4.
Для работы теперь требуются как минимум версии драйверов AMD RADV 25.0, NVIDIA 575.51.02, NVIDIA 25.1 и Intel ANV 25.1.