По сравнению с использованием обычных архивов или формата AppImage в Installer-SH проведена оптимизация алгоритмов сжатия, позволившая снизить объём трафика при передаче по сети и сократить место, занимаемое на локальных дисках. Пакет по умолчанию работает в домашнем каталоге и не требует root-прав для установки и удаления ПО. Однако пользователь может выбрать режим установки "для всех пользователей", который задействует системные каталоги и требует root-прав. По умолчанию Installer-SH выносит файлы конфигурации и кэш в отдельную директорию рядом с программой, чтобы избежать конфликтов файлов конфигурации при установке разных версий одной и той же программы. Тем не менее, пользователь может вернуться к классической схеме работы, когда для хранения конфигурации, кэша и прочих файлов используется основной домашний каталог.

Упаковщик может отключить лишние этапы настройки перед установкой, так как не все приложения используют домашний каталог и не любые программы могут корректно работать при установке в системном режиме с root-правами. Разработчик может обновлять однажды созданный и настроенный пакет, заменяя файлы ПО, обновляя базовую информацию и запуская заново процесс упаковки и очистки от мусора. Большинство рутинных задач автоматизировано и сводится к вызову инсталлятора с нужными аргументами (краткая справка доступна при запуске с аргументами -h, -help или --help).

Благодаря возможностям изоляции формата можно создавать распространяемые пакеты даже для приложений, требующих наличия специфических файлов в домашнем каталоге. В таком случае следует разместить все необходимые для работы файлы в выделенном каталоге "userdata" рядом с программой и отключить соответствующий этап настройки, чтобы пользователь случайно ничего не сломал. Удаление ненужных программ происходит с помощью встроенного в каждую программу деинсталлятора.

Формат Installer-SH действует согласно спецификациям XDG Desktop и PortSoft и не зависит от конкретного рабочего окружения ОС, соответствующего спецификациям XDG Desktop. Спецификации PortSoft изначально разрабатывались для дистрибутива Chimbalix и предназначены для структурированной установки ПО в выделенный каталог, чтобы предотвратить неразбериху среди установленных приложений разных архитектур и версий.

Так как в отличие от XDG Desktop спецификации PortSoft весьма новая разработка, формат Installer-SH самодостаточно несёт в себе всё необходимое для развёртывания спецификаций PortSoft и подготовки выделенного раздела в меню приложений. Выделенный раздел в меню приложений необходим для того, чтобы структурировать установленные приложения и предоставить доступ для запуска и обслуживания каждой программы в отдельности.

Хотя формат ориентирован на desktop-сегмент, возможно производить установку ПО в дистрибутивах, у которых отсутствует графическая оболочка. Но такой сценарий использования не тестировался в реальных условиях.

Пользователь может сделать резервную копию любой правильно собранной программы, и она сохранит работоспособность после копирования на другой компьютер (ярлыки таким образом скопировать не выйдет, потому что они раскладываются согласно спецификациям XDG по трём разным местам в файловой системе). Каждый распространяемый установочный пакет с ПО является полноценным носителем формата Installer-SH. На основе уже существующих установочных пакетов можно восстановить формат и создавать новые установочные пакеты с другими приложениями.

Первый многоплатформенный установочный пакет с игрой "2048" в формате Installer-SH 2.8 поддерживает архитектуры x86, x86_64, amd64 и платформы Linux и FreeBSD. Размер установочного файла составляет 2.1 мегабайта. Данный пакет успешно прошёл тестирование в дистрибутивах Debian 7 (GNOME, x86_64), Fedora 20 (Xfce, x86_64), Gentoo (i686), Manjaro 20 (x86_64), openSUSE 13.1 (KDE, i686), Slackware 15 (x86_64), FuryBSD 12.1 (amd64) и NomadBSD 14.1 (i386). Помимо этого доступно ещё несколько десятков пакетов.

После того как на данное поведение обратили внимание пользователи, автор jqwik добавил в примечание к выпуску 1.10 пояснение, что проект не предназначен для использования AI-агентами. Чтобы препятствовать использованию инструментария jqwik в процессе работы AI-агентов при каждом запуске реализован вывод упомянутой строки. Скрытие в терминале осуществлено, чтобы не мешать работе людей.

1. OpenNews: Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектов
2. OpenNews: Microsoft по ошибке удалил дополнения к VSCode, насчитывающие 9 млн установок
3. OpenNews: Давление французских силовых ведомств на GrapheneOS из-за отказа интегрировать бэкдор
4. OpenNews: Проект CoreJS столкнулся с проблемами сопровождения из-за лишения свободы автора
5. OpenNews: В NPM-пакет node-ipc внесено вредоносное изменение, удаляющее файлы на системах в России и Беларуси

Как и в классическом CentOS внесённые в пакеты Rocky Linux изменения сводятся к избавлению от привязки к бренду Red Hat и удалению специфичных для RHEL пакетов, таких как redhat-*, insights-client и subscription-manager-migration*. Реализован репозиторий "security" для внеплановой публикации срочных обновлений пакетов с устранением критических уязвимостей, для которых в RHEL ещё не успели сформировать обновления с исправлениями. В остальном изменения в Rocky Linux 9.8 соответствуют изменениям в RHEL 9.8.

Среди специфичных для Rocky Linux возможностей можно отметить поставку в отдельном репозитории plus пакетов openldap 2.6.8, 7zip 25.01iftop 1.0 и nmon 16q, а в репозитории NFV пакетов для виртуализации компонентов сетей, развиваемый SIG-группой NFV (Network Functions Virtualization). В Rocky Linux также поддерживаются репозитории CRB (Code Ready Builder с дополнительными пакетами для разработчиков, пришёл на смену PowerTools), RT (пакеты для работы в режиме реального времени), HighAvailability, ResilientStorage, SAP и SAPHANA (пакеты для SAP HANA). Отдельно поставляется экспериментальный пакет с ядром Linux - kernel-uki, предоставляющий унифицированный образ UKI (Unified Kernel Image), заверенный отдельным ключом для SecureBoot.

В качестве источника исходных пакетов при формировании Rocky Linux 9.8 задействован репозиторий OpenELA, поддерживаемый совместно с Oracle и SUSE. Изменение процессов разработки обусловлено прекращением размещения компанией Red Hat исходных текстов rpm-пакетов RHEL в публичном репозитории git.centos.org. Исходные пакеты предоставляются клиентам компании только через закрытый раздел сайта, на котором действует пользовательское соглашение (EULA), запрещающее редистрибуцию данных, что не позволяет использовать эти пакеты для создания производных дистрибутивов. Исходные тексты остаются доступны в репозитории CentOS Stream, но он полностью не синхронизирован с RHEL и в нём не всегда самые свежие версии пакетов совпадают с пакетами из RHEL.

Дистрибутив Rocky Linux развивается под покровительством организации Rocky Enterprise Software Foundation (RESF), которая зарегистрирована как общественно-полезная корпорация (Public Benefits Corporation), не нацеленная на получение прибыли. Владельцем организации является Грегори Курцер (Gregory Kurtzer), основатель CentOS, но функции управления в соответствии с принятым уставом делегированы совету директоров, в который сообществом избираются участники, вовлечённые в работу над проектом. Параллельно для развития расширенных продуктов на базе Rocky Linux и поддержки сообщества разработчиков данного дистрибутива создана коммерческая компания Ctrl IQ, которая получила 26 млн долларов инвестиций. К разработке и финансированию проекта присоединились такие компании, как Google, Amazon Web Services, GitLab, MontaVista, 45Drives, OpenDrives и NAVER Cloud.

1. OpenNews: Выпуск дистрибутива Rocky Linux 9.7
2. OpenNews: Rocky Linux ввёл в строй репозиторий для оперативного устранения уязвимостей
3. OpenNews: Выпуск дистрибутива Rocky Linux 10.1
4. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 10.2
5. OpenNews: Релиз AlmaLinux 9.8 и 10.2

Главное отличие от аналогов - ai-cli не является AI-агентом и никогда не выполняет команды автоматически: утилита печатает команды в терминале, эмулируя ввод с клавиатуры, после чего пользователь может отредактировать их и нажать Enter для запуска. Вся конфигурация, история операций, буфер, настройки провайдеров сохраняется в обычных текстовых YAML-файлах. Действия с ответом AI определяется конфигурацией пользователя, утилита не требует установки какого либо специфического эмулятора терминала.

   echo привет | ai --provider=openai | ai --provider=groq > out.txt

• Шесть уязвимостей в утилите для синхронизации файлов rsync. Наиболее опасная проблема (CVE-2026-29518), вызванная состоянием гонки при обработке символических ссылок, позволяет повысить свои привилегии при запуске rsync в режиме фонового процесса без chroot-изоляции. Атака производится через подмену файла на символическую ссылку, указывающую на произвольный файл в системе, в момент после выполнения проверки, но до начала операции записи. Уязвимости устранены в выпуске rsync 3.4.3. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимости (CVE-2026-8631) в HPLIP, наборе открытых драйверов для принтеров и МФУ, позволяющие повысить свои привилегии и выполнить код в системе. Проблемы вызваны возможностью подстановки команд и переполнением буфера. Уязвимости устранены в обновлении HPLIP 3.26.4. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимости в D-Bus-сервисе, используемом в qSnapper, графическом интерфейсе для управления снапшотами Btrfs. Уязвимости могут привести к повышению своих привилегий в системе (CVE-2026-41046), утечке информации об изменениях между снапшотами (CVE-2026-41047) и обходу аутентификации при доступе к Polkit (CVE-2026-41045). Наиболее опасная уязвимость вызвана отсутствием проверки символов "../" в путях, передаваемых в функцию snapper::Snapper() при обращении через D-Bus, что можно использовать для подмены файла конфигурации для libsnapper в обработчике, выполняемом с повышенными привилегиями. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимость (CVE-2026-48095) в архиваторе 7-Zip, приводящая к переполнению буфера при обработке сжатых данных NTFS. Потенциально уязвимость может привести к выполнению кода атакующего при обращении через 7-Zip к специально оформленному образу файловой системы NTFS. Уязвимость устранена в версии 7-Zip 26.01. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• В DNS-сервере Unbound 1.25.1 исправлено 11 уязвмостей. Наиболее опасные уязвимости: CVE-2026-33278 - потенциальное удалённое выполнение кода при валидации DNSSEC, CVE-2026-44608 - обращение к уже освобождённой памяти в коде RPZ и CVE-2026-42944 - переполнение кучи при обработке nsid. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимость (CVE-2026-3593) в DNS-сервере BIND, позволяющая вызвать обращение к памяти после её освобождения и повреждение содержимого памяти через отправку специально оформленного запроса к серверу DNS-over-HTTPS. Проблема устранена в версиях BIND 9.20.23 и 9.21.22. Конфигурации не использующие DNS-over-HTTPS уязвимости не подвержены. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимость (CVE-2026-47243) в Kata Containers, стеке для выполнения контейнеров с использованием изоляции на базе виртуализации, позволяющая при наличии прав root в контейнере создать с правами root символическую ссылку на стороне хост-системы. Через создание символической ссылки в /etc/cron.d можно огранизовать выполнение своего кода с правами root в хост-окружении. Уязвимость вызвана возможностью отправки прямого запроса FUSE_SYMLINK в обработчик virtiofsd, выполняемый на стороне хоста. Проблема проявляется при использовании runtime-rs и устранена в выпуске 3.31.0. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимость (CVE-2026-46529) в просмотрщике документов Atril, приводящая к выполнению кода атакующего при клике на ссылку внутри специально оформленного PDF-файла, совмещающего PDF-документ и библиотеку в формате ELF. Имеется эксплоит. Аналогичная проблема присутствует в PDF-просмотрщиках Evince и Xreader. Проблема вызвана отсутствием экранирования спецсимволов shell quoting в функции ev_spawn(). Уязвимость устранена в Evince 48.2, Atril 1.28.4/ 1.26.3 и Xreader 4.6.4/3.6.7. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Уязвимость (CVE не назначен) в просмотрщике справочных руководств Yelp (GNOME Help), позволяющая в обход sandbox-окружения пакетов Flatpak получить доступ к файлам основной системы через открытие специально оформленного help-файла. Уязвимость походит на прошлогоднюю проблему и отличается использованием для подстановки CSS-стиля, встроенного в SVG-файл. Проблема устранена в выпуске Yelp 49.1.
• Уязвимость (CVE-2026-41054) в haveged, фоновом процессе формирования энтропии для генератора псеведослучайных чисел, позволяющая поднять свои привилегии до пользователя root через отправку специально оформленной команды через управляющий Unix-сокет. Проблема устранена в выпуске haveged 1.9.21. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• 11 уязвимостей в СУБД PostgreSQL, наиболее опасная из которых (CVE-2026-6637) может привести к выполнению кода на уровне операционной системы с правами серверного процесса PostgreSQL при выполнении специально оформленных SQL-запросов (атакующий должен иметь непривилегированный доступ к СУБД). Другая опасная уязвимость (CVE-2026-6475) позволяет перезаписать файлы на сервере (например, /var/lib/postgres/.bashrc) через манипуляции с символическими ссылками при выполнении операций с pg_basebackup и pg_rewind. Проблемы устранены в выпусках PostgreSQL 18.4, 17.10, 16.14, 15.18 и 14.23. Также можно отметить публикацию рабочего эксплоита для ранее выявленной уязвимости (CVE-2026-2005) в расширении pgcrypto. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• В системе обнаружения и предотвращения сетевых вторжений Suricata выявлено 16 уязвимостей, из которых четырём присвоен критический уровень опасности. Детали об уязвимостях пока не раскрываются публично, но судя по уровню опасности они позволяют организовать выполнение кода на сервере при инспектировании специально оформленного трафика. Уязвимости устранены в выпусках Suricata 8.0.5 и 7.0.16.
• Уязвимость (CVE-2026-8053) в MongoDB Server, позволяющая пользователю, имеющему доступ к БД на запись, инициировать переполнение буфера и добиться выполнения своего кода на сервере с правами процесса mongod. Уязвимость устранена в выпусках MongoDB 5.0.33, 6.0.28, 7.0.34, 8.0.23, 8.2.9 и 8.3.2. CVE в дистрибутивах: Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch.
• Десять уязвимостей (CVE не назначены) в системе кэширования данных в оперативной памяти Memcached, наиболее опасные из которых приводят к переполнению буфера при отправке специально оформленных запросов и потенциально могут использоваться для организации выполнения кода на сервере. Уязвимости устранены в версии Memcached 1.6.42.

C весны 2024 года разработка MATE находилась в стагнации, но сейчас к активному сопровождению проекта подключился Виктор Карех (Victor Kareh) из компании Red Hat. Среди изменений в MATE 1.29:

• В настройку MateRROutput добавлено свойство hotplug_mode_update, использующее расширение RandR для поддержки динамического изменения разрешения устройствами вывода. На практике, изменение позволяет адаптировать окружение к изменению размера окна при запуске в системах виртуализации.
• Механизм фоновой генерации миниатюр избавлен от использования специфичных для X11 вызовов при работе в окружениях на базе Wayland. Вместо функции gdk_x11_screen_get_xscreen для получения информации о размере экрана на системах с Wayland задействован вызов gdk_monitor_get_geometry.
• В оконном менеджере marco реализованы настройки alt-tab-minimized-placement и alt-tab-urgent-placement для выбора способа отображения минимизированных окон и предупреждений в интерфейсе Alt+Tab.
• В файловом менеджере Caja реализована опция для прекращения генерации миниатюр в очень больших директориях, разрешено отсоединение вкладок в отдельные окна,
• Устранены утечки памяти и проблемы с выбором цвета через mate-color-select.

1. OpenNews: Основатель и лидер Ubuntu MATE объявил об уходе из проекта
2. OpenNews: Релиз среды рабочего стола MATE 1.28 с экспериментальной поддержкой Wayland
3. OpenNews: Инициатива по портированию приложений MATE для Wayland

Платформа включает свободную реализацию сетевой инфраструктуры (fabric) на базе Kube-OVN, и использует Cilium для организации сервисной сети, MetalLB для анонса сервисов наружу. Хранилище реализовано на LINSTOR, где предлагается использование ZFS в качестве базового слоя для хранилища и DRBD для репликации. Имеется преднастроенный стек мониторинга на базе VictoriaMetrics и Grafana. Для запуска виртуальных машин используется технология KubeVirt, которая позволяет запускать классические виртуальные машины прямо в контейнерах Kubernetes и уже имеет все необходимые интеграции с Cluster API для запуска управляемых Kubernetes-кластеров внутри "железного" Kubernetes-кластера. В рамках платформы можно по клику разворачивать Kafka, FerretDB, PostgreSQL, Cilium, Grafana, Victoria Metrics и другие сервисы.

Главные нововведения в Cozystack 1.4.0:

• Представлен новый интерфейс управления, основанный на проекте cozystack-ui. Старый стек openapi-ui и BFF заменён фронтедом на React 19 и TypeScript, который работает напрямую с Kubernetes API. Кроме того, в интерфейсе появилась поддержка динамических VNC WebSocket URL для виртуальных машин, runtime-брендинга через ConfigMap, чтения ApplicationDefinition для каталога приложений и перенаправления старых адресов /openapi-ui/*.
• Для worker-узлов тенантных кластеров реализовано постоянное хранилище. Виртуальные машины worker-узлов теперь используют PVC-диски через KubeVirt dataVolumeTemplates вместо emptyDisk. Благодаря этому kubelet-сертификаты, kubeconfig и состояние containerd сохраняются после перезапуска виртуальной машины. Поле ephemeralStorage переименовано в diskSize, добавлена настройка storageClass на уровне NodeGroup. В процессе миграции старые значения автоматически преобразуются.
• Добавлена новая схема пресетов ресурсов по аналогии с типами виртуальны машин у облачных провайдеров. Пресеты описываются в формате <series>.<size>, где серии t1, c1, s1, u1 и m1 задают разные соотношения CPU и памяти, а размеры варьируются от nano до 4xlarge. Всего доступно 40 вариантов. Старые имена пресетов сохранены как устаревающие алиасы и автоматически мигрируются без изменения фактических лимитов CPU и памяти.
• Расширена система декларативного резервного копирования управляемых приложений. Контроллер backupstrategy получил стратегии для PostgreSQL, MariaDB, ClickHouse и FoundationDB. Поддерживаются BackupClass, Plan, BackupJob и RestoreJob, плановые и разовые бэкапы, восстановление на месте и восстановление в копию. Данные выгружаются в S3-совместимое объектное хранилище, а учётные данные передаются через Kubernetes Secret.
• Добавлен необязательный системный пакет hami с HAMi 2.8.1 для совместного обращения к NVIDIA GPU в тенантных кластерах. Пользовательские workload'ы могут запрашивать ресурсы nvidia.com/gpu, nvidia.com/gpumem и nvidia.com/gpucores, что позволяет распределять vGPU между несколькими pod'ами. Включение выполняется через параметр hami.enabled и требует NVIDIA GPU Operator.
• Появилась единая настройка publishing.proxyProtocol для включения протокола PROXY на хостах с ingress-nginx. При её активации автоматически разворачивается Ouroboros, устраняющий проблему hairpin-NAT для обращений из кластера к его публичным именам. Для тенантных кластеров предусмотрено дополнение addons.ouroboros.enabled.
• В cozystack-operator добавлены настройки генерации HelmRelease: interval, retry interval, install timeout, upgrade timeout и max history. Стратегия повторных попыток переведена на RetryOnFailure, а для отдельных приложений можно задавать timeout через аннотацию release.cozystack.io/helm-install-timeout. Это устраняет ряд проблем при холодном запуске тенантных кластеров.
• Для worker-узлов тенантного Kubernetes автоматически рассчитываются резервирование ресурсов kubelet для CPU и памяти. Аннотации cluster-autoscaler теперь отражают выделяемые ресурсы, а не общий объём CPU и памяти.
• Обновлены базовые компоненты платформы: Talos 1.13.0, cert-manager 1.20.2, Cilium 1.19.3, NVIDIA GPU Operator 26.3.1, etcd-operator 0.4.3, KubeVirt 1.8.2, cozy-proxy 0.3.0, linstor-csi 1.10.6. Добавлены новые пакеты HAMi 2.8.1 и Ouroboros 0.7.2.
• Улучшена диагностика: cozyreport теперь собирает сведения о Flux, cert-manager, host-окружении, Application, ApplicationDefinition и Tenant-ресурсах, а также формирует summary.txt с краткой сводкой текущих проблем. Добавлены Grafana-дашборды и правила сбора данных для мониторинга GPU.
• Исправлены ошибки в MongoDB, Kafka, tenant Kubernetes bootstrap, etcd, Velero, Kamaji, LINSTOR, SeaweedFS, Harbor, objectstorage-controller, API и других компонентах. В API устранена IDOR-уязвимость в обработчиках TenantNamespace Get и Watch.

При обновлении следует учитывать, что worker-узлы тенантных кластеров будут один раз последовательно заменены из-за перехода на постоянные PVC-диски. Виртуальные машины KubeVirt, запущенные до обновления платформы, потребуют холодной перезагрузки после перехода на KubeVirt 1.8.2, так как живая миграция старых virt-launcher-процессов может завершаться ошибкой из-за изменения версии QEMU. Кроме того, параметры PostgreSQL теперь типизированы и проверяются по denylist, а cert-manager 1.20 по умолчанию запускает контейнеры с UID/GID 65532.

1. OpenNews: Выпуск Cozystack 1.2, открытой PaaS-платформы на базе Kubernetes

• CVE-2026-4408 - уязвимость в реализации сервера SAMR (Security Account Manager) поверх DCE/RPC, применяемого для управления учётными данными и БД c пользователями и группами. Проблема затрагивает файловые серверы и классические контроллеры доменов (не Active Directory), запускающие процесс samba-dcerpcd как системный сервис (по умолчанию не запускается) и использующие скрипт проверки пароля, заданный в smb.conf через настройку "check password script" с использованием символа подстановки "%u" в команде запуска (конфигурации без подстановки "%u" проблеме не подвержены).

  Уязвимость вызвана тем, что RPC-сервисы SamValidatePasswordChange и SamValidatePasswordReset передают логин и пароль в скрипт, заданный через настройку "check password script", без экранирования спецсимволов при подстановке имени пользователя через "%u". Уязвимость позволяет выполнить произвольные shell-команды на сервере при указании специально оформленного имени пользователя. В качестве обходного пути защиты предлагается передавать в скрипт имя пользователя не через подстановку "%u", а через переменную окружения SAMBA_CPS_ACCOUNT_NAME.

• CVE-2026-4480 - уязвимость в сервере вывода на печать, использующем настройку "print command" с символом подстановки "%J". Проблема вызвана тем, что заданное пользователем описание работы вывода печать передаётся через подстановку "%J" без должного экранирования спецсимволов, что позволяет удалённо выполнить свой код при отправке задания на печать, в том числе в доступном по умолчанию гостевом режиме. В качестве обходного пути защиты можно удалить подстановку "%J" из настройки "print command" в smb.conf.

Также в новых выпусках устранено ещё несколько уязвимостей, дающих возможность обойти проверку прав доступа к xattr-атрибуту "reparse point", вторично перезаписать файл при использовании vfs-модуля WORM (Write-Once, Read Many), установить сертификат через HTTP без верификации и вызвать аварийно завершение сервера AD DC WINS через отправку специально оформленного UDP-пакета.

1. OpenNews: Выпуск Samba 4.24.0
2. OpenNews: Удалённая root-уязвимость в Samba
3. OpenNews: Уязвимости в Samba, приводящие к переполнению буфера и выходу за границу базового каталога
4. OpenNews: Уязвимость в Samba, позволяющая поменять пароль любому пользователю
5. OpenNews: Уязвимость в Samba, позволяющая удалённо выполнить код на сервере

1. OpenNews: 5 критических уязвимостей в Chrome. Оценка работающих в Chrome методов скрытой идентификации
2. OpenNews: Vulkan стал официальным графическим API платформы Android. Третий бета-выпуск Android 16
3. OpenNews: Chromium адаптирован для Wayland. Raspberry Pi будет поставляться с поддержкой Wayland
4. OpenNews: Обновление проекта Ozone-wayland, занимающегося портированием Chromium для Wayland
5. OpenNews: В сборки Chromium и Electron будет добавлена поддержка Wayland

Основные изменения:

• В модуле ядра nvidia-drm реализована поддержка API для использования аппаратных возможностей преобразования цвета, появившегося в ядре Linux 6.19. Изменение позволяет композитным серверам на базе Wayland вынести на сторону дисплейного контроллера NVIDIA операции преобразования цвета, например, используемые для HDR.
• Добавлена возможность создания логических устройств Vulkan на основе нескольких физических устройств. Для создания групп устройств задействовано Vulkan-расширение VK_KHR_device_group_creation. Включение осуществляется через переменную окружения "__VK_ENABLE_DEVICE_GROUPS=1".
• Реализованы Vulkan-расширения:
  • VK_EXT_shader_long_vector
  • VK_KHR_internally_synchronized_queues
  • VK_NV_push_constant_bank
• При использовании Wayland добавлена поддержка конфигураций фреймбуфера EGL, использующих 16-разрядные числа с плавающей запятой (FP16) для представления цветовых значений пикселей.
• Реализована поддержка DRM-модификаторов формата (DRM format modifier) для многоплоскостных форматов YCbCr.
• Добавлена возможность применения операции mmap к файловым дескрипторам, экспортированным из дискретных GPU NVIDIA.
• Прекращена поддержка использования X11-драйвера NVIDIA с X-расширением Xinerama.
• Внесены оптимизации, повысившие производительность игры Starfield.
• Устранены регрессии в производительности API Vulkan, проявлявшиеся в игре "Doom: The Dark Ages" на системах с драйверами NVIDIA 590.x.

1. OpenNews: Выпуск проприетарного драйвера NVIDIA 595.58.03
2. OpenNews: NVIDIA опубликовала CUDA-oxide, компилятор из Rust в CUDA
3. OpenNews: NVIDIA начала тестирование Linux-клиента для облачного игрового сервиса GeForce NOW
4. OpenNews: Состояние поддержки Wayland в проприетарных драйверах NVIDIA
5. OpenNews: Disney, DeepMind и NVIDIA разработали движок симуляции физических процессов Newton

Идея не переведена в разряд обязательных требований и пока находится на стадии обсуждения и экспериментов. На первый взгляд, разработчик, пытающийся обмануть сопровождающего и выдать патч, созданный через AI, за собственноручно написанный код, может воспользоваться AI и для генерации записи сеанса в asciinema. Эксперименты показали, что искусственность подобных записей сразу бросается в глаза, так как не отражает свойственных человеку действий, ошибок и размышлений в ходе работы. Типовые AI-модели обучены на уже готовом коде, но их обучение в полной мере не охватывало сам процесс написания кода людьми.

1. OpenNews: Релиз минималистичного web-браузера Dillo 3.3.0
2. OpenNews: LLVM ввёл правила применения AI-инструментов. Curl и Node.js ограничат выплаты за уязвимости из-за AI
3. OpenNews: Защита от мусорных AI-изменений на GitHub. Оценка влияния вайб-кодинга на экосистему открытого ПО
4. OpenNews: Сопровождающие Godot перегружены из-за обилия сомнительных изменений, созданных с помощью AI
5. OpenNews: AI-модель Claude Mythos не продемонстрировала особых достижений при поиске уязвимостей в Curl

В новом выпуске:

• В инсталляторе MX Installer (gazelle-installer) реализован полнофункциональный текстовый вариант интерфейса (minstall --tui), позволяющий управлять установкой без перехода в графический режим. Предоставлены systemd-юниты для режима oobe/oem, используемого в редакции для плат Raspberry pi.
• Осуществлена синхронизация с пакетной базой Debian 13.5. Ядро Linux обновлено до версии 6.12.90
• Обновлены сборки с расширенной поддержкой оборудования (AHS), которые поставляются с Xfce, ядром 7.0 c патчами от проекта liquorix и Мesa 26.0.1.
• Переработана система загрузки в Live-режиме. Функции начальной настройки выделены из скрипта rc.local. Улучшено приложение обновления ядра live-kernel-updater, в котором появилась возможность одновременной установки нескольких ядер. При установке из репозитория uc-tool-mx в утилитах MX Snapshot и live-kernel-updater реализована поддержка live-систем с микрокодом (microcode-enabled).

1. OpenNews: Выпуск дистрибутива MX Linux 25.1
2. OpenNews: Новые версии Debian 12.14 и 13.5
3. OpenNews: Опубликован AV Linux MX 25, дистрибутив для создания аудио- и видеоконтента
4. OpenNews: Опубликован легковесный дистрибутив antiX 26

В новой версии:

• Добавлена опция для запуска указанных пользователем команд до установки сетевого соединения, что может быть полезным для организации подключений к серверам, открывающим порты к SSH только после предварительного обращения на другой порт (port knocking).
• Для Unix-систем реализован режим отображения в терминале нажатия отдельных клавиш в процессе набора сложных Unicode-символов, генерируемых после нажатия нескольких клавиш.
• Улучшена поддержка работы в окружениях на базе Wayland. Обеспечен выбор корректного шрифта при отсутствии X11-шрифта 'fixed'. Устранено аварийное завершение pterm при попытке изменения utmp.
• Устранены две незначительные уязвимости (CVE не назначены). Первая уязвимость приводит к аварийному завершению при подключении к вредоносному SSH-серверу из-за двойного вызова функции освобождения памяти (double-free). Вторая уязвимость приводит к выставлению индикатора заслуживающих доверия запросов (trust sigil) для всего незащищённого трафика, например Telnet, при подключении через прокси-сервер, требующий ввод пароля.

1. OpenNews: Выпуск Dropbear SSH 2026.90 с устранением уязвимостей
2. OpenNews: Релиз OpenSSH 10.3
3. OpenNews: Разработчики openSUSE развивают zssh, реализацию SSH на языке Zig
4. OpenNews: Домен putty.org начали использовать для распространения идей антипрививочников
5. OpenNews: Представлен SSH3, вариант протокола SSH, использующий HTTP/3

Изменения в ветке KDE Plasma 6.8:

• В приложение System Monitor и виджет вывода информации о системе добавлена поддержка определения применения драйвера Intel Xe и вывода сведений о GPU на базе архитектуры Intel Xe, которая применяется в видеокартах Intel семейства Arc и интегрированной графике, начиная с процессоров Tiger Lake.
• В менеджере приложений Discover при обнаружении Flatpak-пакетов, которые больше не установлены, но после которых остались данные и настройки, теперь выводит предложение переместить эти остаточные файлы в корзину (ранее предлагалось безвозвратно удалить их).
• Изменён порядок секций на главной странице Discover - секция "выбор редакции" перемещена на второе место и теперь следует после списка наиболее популярных пакетов.
• Налажено корректное отображение индикатора прогресса при установке системных обновлений в Discover - индикатор и панель Task теперь не пропадают периодически во время обновления.
• В Discover на странице обновлений задействован поиск без учёта регистра символов.

Среди улучшений, добавленных за прошедшую неделю в ветку KDE 6.7:

• При очистке истории работы с буфером обмена больше не выводится запрос на удаление элементов, помеченных звёздочкой. Подобные элементы трактуются как важные и подлежащие только раздельному ручному удалению.
• Убрана мигающая индикация в области уведомлений при появлении виджета "Disks & Devices" после подключения диска.
• Исправлены утечки памяти в композитном менеджере KWin.
• Устранены аварийные завершения Plasma при подключении или отключении экранов в многомониторных конфигурациях, а также при проверке обновлений виджетом прогноза погоды.
• Добавлен обходной путь для блокирования проблемы в Qt, приводящей к зацикленным аварийным завершениям утилиты для отправки сведений об аварийных завершениях приложений.

1. OpenNews: Размер кодовой базы KDE достиг 8 млн строк кода
2. OpenNews: Начало разработки KDE Plasma 6.8. Улучшение удалённой работы с рабочим столом в KDE
3. OpenNews: Бета-выпуск KDE Plasma 6.7
4. OpenNews: Фонд Sovereign выделил почти 1.3 миллиона евро на развитие KDE
5. OpenNews: Релиз среды рабочего стола KDE Plasma 6.6

Основные изменения:

• Обновлён список версий Wine.
• Обновлены библиотеки и драйверы в контейнере.
• Исправлен скрипт установки.
• Добавлен Steam (нативный), работающий в контейнере, и значок запуска Steam-SW.

1. OpenNews: Релиз StartWine-Launcher 421, программы для запуска Windows-приложений и игр в Linux