В новой версии добавлена функциональность "reconcile" (rebalance_v2), отмеченная как крупнейшие за последние два года изменение в ФС. В отличие от ранее доступного режима "rebalance", механизм "reconcile" позволяет выполнить ребалансировку не только данных (например, реплицирование нескольких копий на разные накопители), но и метаданных в ФС (например, для переноса метаданных после добавления в пул дополнительного накопителя). Кроме того, reconcile теперь применим для всех опций ввода/вывода, а не только для операций фонового копирования и сжатия. В reconcile также автоматически учитываются изменения опций или настроек устройств и сразу перереплицируются деградировавшие данные и метаданные.

В reconcile задействованы отдельные индексы для: высокоприоритетных операций; оптимизации обработки данных на дисковых накопителях; данных, запланированных для обработки, которую пока невозможно выполнить (например, из-за нехватки места). Добавлена поддержка создания файловой системы на одном накопителе в режиме с двойной репликацией (replicas=2) - в такой конфигурации добавление второго накопителя приведёт к автоматической репликации данных на добавленный диск, без необходимости выполнения каких-либо действий пользователем.

Среди других изменений:

• Добавлены команды "reconcile status" и "reconcile wait". Добавлены опции монтирования "mount_trusts_udev" и "writeback_timeout". Переведены в число устаревших команды "data rereplicate", "data job drop_extra_replicas".
• Добавлен режим восстановления "merge_btree_nodes", выполняющий проверку всех узлов в btree-структурах, подпадающих под операции слияния.
• Проведена подготовка кода к переходу на использование языка Rust. Число используемых в коде операций goto сокращено с 2500 до 600. Вместо открыто кодированных векторов задействован макрос DARRAY(), предоставляющий функциональность, похожую динамические массивы C++ и Rust. Для обработки ошибок задействован макрос try(), заимствованный из Rust.
• В команде "bcachefs fs usage" обеспечено корректное информирование о деградировавших данных.
• Переработана обработка счётчиков, показываемых командной "bcachefs fs top". Упрощено добавление новых счётчиков и реализована возможность преобразования точек трассировки (tracepoint) в буферы вывода (printbufs).
• Повышено качество сообщений об ошибках, которые теперь включают информацию о типах сбоев (программные или аппаратные), действиях для устранения ошибки (например, запуска процесса восстановления), полученных от блочных устройств кодах ошибок ввода/вывода, отсутствующих устройствах. При сканировании btree-структур обеспечен вывод сведений о наличии возможности восстановления проблемных узлов.
• При записи в лог добавлена возможность раздельного определения лимитов на интенсивность вывода разных типов ошибок. Подобные лимиты позволяют предотвратить потерю сообщений об единичных аппаратных проблемах на фоне большого числа сообщений о программных ошибках.
• Для всех стадий восстановления добавлены индикаторы прогресса.

Проектом Bcachefs развивается файловая система, нацеленная на сочетание расширенной функциональности, свойственной Btrfs и ZFS, и уровня производительности, надёжности и масштабируемости, характерного для XFS. Bcachefs поддерживает такие возможности, как включение в раздел нескольких устройств, многослойные раскладки накопителей (нижний слой с часто используемыми данными на базе быстрых SSD, а верхний слой с менее востребованными данными из жестких дисков), репликация (RAID 1/10), кэширование, прозрачное сжатие данных (режимы LZ4, gzip и ZSTD), срезы состояния (снапшоты), верификация целостности по контрольным суммам, возможность хранения кодов коррекции ошибок Рида—Соломона (RAID 5/6), хранение информации в зашифрованном виде (используются ChaCha20 и Poly1305). По производительности Bcachefs опережает Btrfs и другие ФС на базе механизма Copy-on-Write, и демонстрирует скорость работы, близкую к Ext4 и XFS.

1. Главная ссылка к новости
2. OpenNews: Код Bcachefs удалён из ядра Linux. Для дистрибутивов подготовлены DKMS-модули c Bcachefs
3. OpenNews: Bcachefs будет распространяться в виде отдельного модуля DKMS
4. OpenNews: Автора BcacheFS временно отстранили от разработки ядра Linux из-за нарушения кодекса поведения
5. OpenNews: Код Bcachefs принят в основной состав ядра Linux 6.7

Пакет evm-units включал код для загрузки вредоносных компонентов, нацеленных на кражу криптовалюты. Вредоносный пакет был размещён в апреле 2025 года и был загружен 7257 раз. Пакет uniswap-utils также был добавлен в апреле, был загружен 7441 раз и использовал evm-units в качестве зависимости. Вредоносный код активировался при вызове функции get_evm_version() и приводил к загрузке внешнего кода по ссылке "https://download[.]videotalks[.]xyz/gui/6dad3/...". В Linux и macOS загружался и запускался скрипт init, а в Windows - init.ps1.

Пакет sha-rust был размещён в каталоге 20 ноября, был загружен 153 раза и содержал код для поиска и отправки на внешний сервер конфиденциальных данных. Пакет finch-rust включал оригинальный код из пакета finch, в который был добавлен вызов функции "sha_rust::from_str()", при выполнении которой выполнялся обфусцированный обработчик, отправляющий на сервер "https://rust-docs-build[.]vercel[.]app/api/v1" информацию о системе, переменные окружения, а также содержимое config.toml, id.json и файлов с расширением ".env" (например, production.env, staging.env и dev.env с токенами доступа).

25 ноября в crates.io также был размещён пакет finch-rust, использующий sha-rust в качестве зависимости и созданный для тайпсквоттинг-атаки на пользователей легитимного пакета finch, рассчитывая, что пользователь не обратит внимание на отличие в названии, найдя пакет через поиск или выбрав из списка.

1. Главная ссылка к новости
2. OpenNews: В Rust-репозитории crates.io выявлены два вредоносных пакета
3. OpenNews: Инциденты с безопасностью в репозиториях PyPI и crates.io
4. OpenNews: В Rust-репозитории crates.io выявлен вредоносный пакет rustdecimal
5. OpenNews: В Debian намерены добавить Rust в число обязательных зависимостей к APT
6. OpenNews: Rust опередил C/C++ по объёму кода, добавляемого в платформу Android

Основные изменения с версии 1.0.0

• Добавлена поддержка торрент-клиента Deluge (через Web API).
• Добавлена поддержка файла конфигурации "~/.config/tewi/tewi.conf" и различных профилей конфигурации (опции "--profile" и "--profiles").
• Добавлен фильтр торрентов по статусу (клавиша f): все, активные, скачиваемые, раздаваемые, на паузе, завершённые.
• Реализовано переключение статуса загрузки файлов (клавиша space) и изменение приоритета (L, M, H).
• Добавлено изменение приоритета торрента (только Transmission).
• Добавлено редактирование имени и расположения торрента.
• Реализовано отображение категорий и меток в карточке торрента с настройками "--badge-max-count" и "--badge-max-length".
• Добавлена установка категории торрента (клавиша C, только qBittorrent).
• Реализовано автоматическое обновление экрана деталей торрента.
• Добавлено отображение статистики qBittorrent (waste, connected peers, cache, performance).
• Расширены возможности поиска торрентов:
  • Встроенные провайдеры для поиска торрентов: YTS, ThePirateBay, Torrents-CSV, Nyaa.
  • Реализована интеграция с Jackett для поиска торрентов - добавлены параметры конфигурации "jackett_url" и "jackett_api_key".
  • Новая команда для запуска приложения с запросом для поиска: "--search".
  • В диалоге веб-поиска появился выбор индексаторов и фильтрация по категориям.
  • Добавлена опция для указания включённых поисковых провайдеров ("--search-providers", "[search].providers").
  • В результатах поиска добавлено открытие веб-ссылки (клавиша o).
  • Поисковые провайдеры отправляют заголовки User-Agent для предотвращения блокировок.
  • Диалог поиска запоминает последний запрос.
  • Исправлено изменение размера колонок в таблице результатов поиска.
  • Просмотр деталей торрента в результатах поиска.

Для установки можно использовать "pipx", "pip" или "uv":

   pipx install tewi-transmission
   pip install tewi-transmission
   uv tool install tewi-transmission

1. Главная ссылка к новости
2. OpenNews: Релиз BitTorrent-клиента Deluge 2.2
3. OpenNews: Выпуск qBittorrent 5.1
4. OpenNews: После пятилетнего перерыва выпущен BitTorrent-клиент rTorrent 0.10.0
5. OpenNews: Новая версия BitTorrent-клиента Transmission 4.0.0, перешедшего с Си на Си++
6. OpenNews: Представлен torrent-клиент distribyted, позволяющий монтировать торренты в ФС

Проблема в том, что в стандарте С23 определено новое зарезервированное ключевое слово "bool", которое сопоставлено с типом, имеющим размер 1 байт. В коде Postfix определён собственный тип "bool", сопоставленный с типом "int", имеющим размер 4 байта. Попытка сборки Postfix компилятором в режиме С23 завершается ошибкой из-за переопределения типа "bool". Так как связанное с поддержкой нового типа "bool" изменение охватывает много строк кода, решено не переносить его в стабильные ветки, а добавить при вызове gcc и clang флаг компиляции "-std=gnu17" для использования стандарта C17. В находящейся в разработке ветке Postfix 3.11 реализована поддержка нового типа "bool".

1. Главная ссылка к новости
2. OpenNews: Опубликован почтовый сервер Postfix 3.10.0
3. OpenNews: Обновление Postfix с исправлением уязвимости в реализации команды STARTTLS
4. OpenNews: Критическая уязвимость в конфигурациях Postfix, использующих SASL-библиотеку Cyrus
5. OpenNews: Обновление Postfix 3.2.2, 3.1.6, 3.0.10 и 2.11.10 с устранением уязвимости
6. OpenNews: Релиз набора компиляторов GCC 15

Основные изменения в Chrome 143:

• Добавлен режим параллельного просмотра, позволяющий одновременно в одном окне бок о бок просмотреть две вкладки.
• Реализован режим чтения содержимого вслух, позволяющий воспроизвести голосом текст со страницы или из PDF-документа. Режим вызывается через ссылку "Открыть в режиме чтения" в контекстном меню, показываемого для выделенного фрагмента. Возможно подсвечивание читаемых слов, выбор голоса и изменение скорости чтения.
• Объявлена устаревшей и запланирована к отключению в выпуске Chrome 155 поддержка языка преобразования XML-документов XSLT, в том числе объявлены устаревшими API XSLTProcessor и инструкции разбора таблиц стилей XML. В качестве причины упоминаются риски безопасности, вызванные использованием библиотеки libxslt, которая имеет проблемы с сопровождением и является источником совершения атак на браузеры, при том, что доля web-страниц, на которых используется XSLT, оценивается в 0.02%.
• Добавлены новые возможности AI-режима, позволяющего взаимодействовать с AI-агентом из адресной строки или со страницы, показываемой при открытии новой вкладки. AI-режим даёт возможность задавать сложные вопросы на естественном языке и получать ответы на основе агрегирования информации из наиболее релевантных страниц на заданную тему. При необходимости пользователь может уточнять информацию наводящими вопросами. Режим также позволяет задавать вопросы о содержимом страницы прямо из адресной строки. Для перехода в AI-режим, который пока доступен только на платформах macOS и Windows, достаточно нажать клавишу табуляции перед началом ввода в адресной строке.
• Библиотека ICU обновлена до версии 77.1 с поддержкой Unicode 16 и обновлением данных локалей.
• В CSS добавлен селектор "@container anchored(fallback)", позволяющий менять стиль элементов, привязанных к позиции других элементов, в зависимости от выбранной браузером альтернативной позиции, заданной через свойство "position-try-fallbacks" для предотвращения выхода элемента за границу внешнего блока или области просмотра.
• В CSS-свойства "background-position-x" и "background-position-y" добавлена возможность определения позиции фонового изображения относительно одного из краёв блока. Например, "background-position-x: left 30px;".
• Добавлено CSS-свойство "font-language-override" для переопределения языка, используемого для замены глифов в шрифтах OpenType, предоставляющих специфичные для определённых языков варианты глифов. Например, 'font-language-override: "RUS";'.
• В API WindowEventHandlers добавлена поддержка обработки событий "ongamepadconnected" и "ongamepaddisconnected" для отслеживания подключения и отключения геймпадов.
• В JavaScript API для работы с DOM в именах и префиксах создаваемых элементов и атрибутов разрешено использование всех символов, допустимых в парсере HTML.
• При использовании API WebTransport разрешено согласование протокола, используемого для взаимодействия сервера с web-приложением (при создании объекта WebTransport приложение может указать список допустимых протоколов).
• В режиме Origin trial добавлен API Web Install, предоставляющий метод navigator.install() для инициирования установки web-приложений сайтами, что может быть использовано при создании каталогов-магазинов web-приложений или для упрощения установки web-приложений для работы с текущим сайтом. Установка производится после явного подтверждения операции пользователем.
• Внесены улучшения в инструменты для web-разработчиков. Расширены возможности экспериментального сервера MCP (Model Context Protocol), позволяющего обращаться к возможностям Chrome DevTools из внешних AI-ассистентов. В панель Elements добавлена поддержка отладки CSS-правил @starting-style. Панель аудита обновлена до выпуска Lighthouse 13. При экспорте результатов отслеживания производительности предоставлена возможность включения в архив содержимого файлов HTML, CSS и JavaScript, а также данных "source map".

Кроме нововведений и исправления ошибок в новой версии устранены 13 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google учредила 13 премий и выплатила 18 тысяч долларов США (одна премия $11000, две премии $3000 долларов и одна премия $1000). Размер 9 вознаграждений пока не определён.

1. Главная ссылка к новости
2. OpenNews: Google готов вернуть в Chrome поддержку формата JPEG-XL
3. OpenNews: Chrome 154 начнёт запрашивать подтверждение при открытии сайтов без HTTPS
4. OpenNews: Выпуск web-браузера Chrome 142. Уязвимость Brash в движке Blink
5. OpenNews: Chrome и Android прекратят использование многих технологий, созданных проектом Privacy Sandbox
6. OpenNews: Google подтвердил грядущее слияние Android и Chrome OS

Наиболее важные изменения:

• Движок Wine Mono обновлён до выпуска 10.4.0. Wine Mono представляет собой дистрибутив Framework Mono, предназначенный для использования в Wine вместо проприетарного компонента .NET Framework.
• Данные локализации обновлены до версии Unicode CLDR 48 (Unicode Common Locale Data Repository).
• Реализована поддержка работы на 64-разрядных системах модуля TWAINDSM для сканеров.
• Закрыты отчёты об ошибках, связанные с работой приложений: Photoshop CS 2, Office 2013, Tapps2, DirMaster, Gramps 5.2.0, FL Studio, cmd.exe.
• Закрыты отчёты об ошибках, связанные с работой игр: Resident Evil 2, King's Quest: Mask of Eternity, Mahjong, Mugen, Oblivion, Mass Effect Legendary.

Кроме того, сформирован выпуск проекта Wine Staging 11.0-rc1, предоставляющего расширенные сборки Wine, включающие не полностью готовые или рискованные патчи, пока непригодные для принятия в основную ветку Wine. По сравнению с Wine в Wine Staging предоставляется 253 дополнительных патча. В новом выпуске Wine Staging осуществлена синхронизация с кодовой базой Wine 11.0-rc1 и перенесены свежие изменения из vkd3d.

1. Главная ссылка к новости
2. OpenNews: Новые версии Wine 10.20, Vkd3d 1.18 и vkd3d-proton 3.0
3. OpenNews: Компания Valve представила приставку Steam Machine и VR-шлем Steam Frame, поставляемые с Linux
4. OpenNews: Обновление Steam Client для Linux с включением по умолчанию Proton для запуска Windows-игр
5. OpenNews: Стабильный релиз Proton 10.0, пакета для запуска Windows-игр в Linux

Чтобы защитить системы клиентов от критической уязвимости (CVE-2025-55182) в серверных компонентах фреймворка React, после появления в публичном доступе эксплоита, инженеры Cloudflare реализовали защиту на уровне WAF. С внедрением защиты не всё пошло гладко: в процессе внедрения был увеличен размер буфера для проверки трафика на прокси-серверах, но оказалось, что применяемый для тестирования WAF инструментарий не поддерживает выставленный размер буфера. Так как данный инструментарий не влияет на трафик, было решено отключить его.

Для отключения инженеры воспользовались подсистемой "killswitch" для быстрого изменения конфигурации и отключения отдельных Lua-обработчиков на прокси-серверах без замены правил. Подобный метод отключения правил периодически применяется для быстрого устранения ошибок и приводит к пропуску выполнения части Lua-кода. При этом инженеры не учли, что для вызова отключаемого тестового инструментария в Lua-правилах применялся метод "execute", запускающий дополнительный набор правил. Ранее режим "killswitch" никогда не применялся с правилами, имеющими вызов "execute", и данная комбинация не тестировалась.

Применение "killswitch" привело к тому, что код с определением дополнительного тестового набора правил был отключён, но вызов этого набора правил через "execute" остался. В коде не было дополнительных проверок существования объекта и подразумевалось, что при наличии в наборе правил действия "execute", объект "rule_result.execute" обязательно существует. В итоге, произошла попытка выполнения метода "execute" для неинициализированного объекта, которая привела к аварийному завершению обработчика с ошибкой "attempt to index field 'execute' (a nil value)".

   if rule_result.action == "execute" then
     rule_result.execute.results =  ruleset_results[tonumber(rule_result.execute.results_index)]
   end

1. Главная ссылка к новости
2. OpenNews: Многочасовой сбой Cloudflare оказался результатом некорректной обработки ошибок
3. OpenNews: По статистике Cloudflare 6.8% интернет-трафика является потенциально мусорным
4. OpenNews: Компания Cloudflare раскрыла сведения о взломе одного из своих серверов
5. OpenNews: Уязвимость в cdnjs, позволившая выполнить код на серверах Cloudflare
6. OpenNews: Cloudflare, Tesla многие другие компании скомпрометированы через камеры наблюдения Verkada

В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком.

Непосредственно правила фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в ядре в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя.

Основные изменения:

• Обеспечена полная поддержка шаблонов легковесных туннелей, таких как vxlan, geneve и erspan:

  
         table netdev global {
                tunnel t1 {
                        id 10
                        ip saddr 192.168.2.10
                        ip daddr 192.168.2.11
                        sport 1025
                        dport 20020
                        ttl 1
                        erspan {
                                version 1
                                index 2
                        }
                }
   
                tunnel t2 {
                        id 10
                        ip saddr 192.168.3.10
                        ip daddr 192.168.3.11
                        sport 1025
                        dport 21021
                        ttl 1
                        erspan {
                                version 1
                                index 2
                        }
                }
     
                chain in {
                        type filter hook ingress device veth0 priority 0;
      
                        tunnel name ip saddr map { 10.141.10.12 : "t1", 
  10.141.10.13 : "t2" } fwd to erspan1
                }
         }
  
  Перед загрузкой правил следует создать сетевой интерфейс erspan1:
     ip link add dev erspan1 type erspan external
  
  

• Добавлена поддержка масок в именах сетевых интерфейсов в обработчиках netdev, например, для добавления базовой цепочки в фильтр входящего трафика для всех устройств vlan можно указать:

  
         table netdev t {
                chain c {
                        type filter hook ingress devices = { "vlan*", "veth0" } 
  priority filter; policy accept;
                }
         }
  

• На системах с ядром Linux 6.18+ реализована поддержка передачи L2-кадров в интерфейс сетевых мостов для локальной обработки, например, для направления в IP-стек всех Ethernet-кадров для MAC-адреса de:ad:00:00:be:ef можно указать:

  
      table bridge global {
              chain pre {
                      type filter hook prerouting priority 0; policy accept;
                      ether daddr de:ad:00:00:be:ef meta pkttype set host ether 
  daddr set meta ibrhwaddr accept
              }
      }
  

• Добавлена новая инфраструктура для fuzzing-тестирования с использованием инструментария afl++ (american fuzzy lop++), включаемая на этапе сборки через "./configure --with-fuzzer".

1. Главная ссылка к новости
2. OpenNews: Выпуск межсетевого экрана firewalld 2.4.0
3. OpenNews: Выпуск пакетного фильтра iptables 1.8.11
4. OpenNews: Выпуск пакетного фильтра nftables 1.1.0
5. OpenNews: Уязвимость в nftables, позволяющая повысить свои привилегии
6. OpenNews: Локальная уязвимость в ядре Linux, эксплуатируемая через nftables

В мае из менеджера сеансов gnome-session был удалён старый код для сохранения сеанса, который был несовместим с компонентами управления сеансом на базе systemd. Старая реализация обеспечивала сохранение списка активных приложений перед завершением сеанса в каталоге ~/.config/gnome-session/saved-session и управлялась через gconf-параметр "auto-save-session", но не работала на системах с systemd.

В конце сентября для GNOME была предложена новая система сохранения сеансов, основанная на использовании systemd. Кроме того был добавлен объект GsmSessionSave, обеспечивающий сохранение состояния отдельных приложений. Помимо сохранения позиций окон после восстановления приложения GNOME также могут включать логику для восстановления состояния, например, GNOME Calculator может восстановить выбранный режим вычислений (базовый, расширенный, для программистов), но не восстанавливает историю операций.

1. Главная ссылка к новости
2. OpenNews: Из GNOME Shell и Mutter удалён код для поддержки X11
3. OpenNews: В GNOME Flatpak Runtime прекращена поддержка 32-разрядных приложений
4. OpenNews: Выпуск среды рабочего стола GNOME 49
5. OpenNews: В KDE реализована начальная поддержка восстановления сеансов на базе Wayland
6. OpenNews: В GNOME будет усилена зависимость от systemd

Помимо пакета с ядром из состава RHEL (на базе ядра 6.12) в Oracle Linux предложено собственное ядро Unbreakable Enterprise Kernel 8.1 (UEK 8U1), также основанное на ядре Linux 6.12 и оптимизированное для работы с промышленным программным обеспечением и оборудованием Oracle. В обновлении ядра UEK 8U1 по умолчанию включена опция SECURITY_DMESG_RESTRICT, разрешающая доступа к dmesg только при наличии прав root. Драйверы megaraid_sas, mpi3mr и mpt3sas бэкпортированы из ядра 6.15.

Исходные тексты ядра, включая разбивку на отдельные патчи, доступны в публичном Git-репозитории Oracle. Ядро Unbreakable Enterprise Kernel устанавливается по умолчанию, позиционируется в качестве альтернативы штатному пакету с ядром RHEL и предоставляет ряд расширенных возможностей, таких как интеграция DTrace и улучшенная поддержка Btrfs. Кроме дополнительного ядра по функциональности выпуски Oracle Linux 10.1 и RHEL 10.1 полностью идентичны (список изменений можно посмотреть в анонсе RHEL 10.1).

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива Oracle Linux 9.7
3. OpenNews: Выпуск дистрибутива Oracle Linux 10
4. OpenNews: Релиз Red Hat Enterprise Linux 9.7 и 10.1
5. OpenNews: Доступен дистрибутив AlmaLinux 10.1
6. OpenNews: Выпуск дистрибутива Rocky Linux 10.1

Proxmox Datacenter Manager позволяет через один web-интерфейс инспектировать все подключённые узлы и кластеры, управлять сложными и распределёнными инфраструктурами с масштабированием от отдельных локальных установок до управления территориально разделёнными датацентрами. Среди прочего возможно централизованное выполнение таких действий, как live-миграция виртуальных машин между разными кластерами. Бэкенд и интерфейс оптимизированы для управления большим числом узлов, например, в тестовом внедрении показана возможность управления более 5 тысячами хостов и 10 тысячами виртуальных машин.

Основные возможности:

• Системное окружение на базе Debian 13.2, ядра Linux 6.17 и OpenZFS 2.3.4.
• Поддержка аутентификации через LDAP, Active Directory и OpenID Connect.
• Возможность управления системами, использующими Proxmox Virtual Environment и Proxmox Backup Server.
• Возможность создания в web-интерфейсе настраиваемых сводных экранов (dashboard), представлений и отчётов о состоянии c поддержкой фильтрации и сортировки по хостам, ресурсам, типу ресурсов и привязанным тегам. Возможно выборочное предоставление доступа сотрудников только к необходимым dashboard-ам без открытия доступа к остальным частям интерфейса и возможностям администрирования.
• Система централизованного сбора, агрегирования и визуализации метрик. Единый интерфейс для оценки общего состояния всех кластеров и потребления критических ресурсов, таких как CPU, ОЗУ и ввод/вывод. Визуализация ключевых индикаторов и метрик производительности для выявления на ранней стадии узких мест и потенциальных проблем. Локальное кэширование метрик с возможностью просмотра последнего известного состояния в случае аварий и нарушений сетевой связанности.
• Возможность поиска ресурсов с фильтрации по их типу (сервер, VM, контейнер), состоянию и тегам. Поддержка языка поисковых запросов в стиле Elasticsearch и GitHub
• Система управления привилегиями пользователей на базе RBAC (Role-Based Access Control) и сводная система логов для упрощения аудита и отслеживания истории выполнения операций.
• Централизованное управление жизненным циклом виртуальных машин и контейнеров в инфраструктуре виртуализации. Выполнение запуска, остановки и настройки виртуальных машин, контейнеров и хранилищ данных через один интерфейс.
• Централизованный механизм управления установкой обновлений и отслеживания актуальности версий программ. Поддержка инициирования прямой установки обновлений и патчей через интерфейс Proxmox Datacenter Manager. Унифицированный доступ по SSH ко всем подключённым хостам из одной консоли.
• Начальная интеграция стека программно определяемых сетей (SDN, Software-Defined Networking) с межкластерным сетевым взаимодействием на базе EVPN (Ethernet VPN) и созданием виртуальных сетей (VNet).

1. Главная ссылка к новости
2. OpenNews: Доступен дистрибутив Proxmox Backup Server 4.1
3. OpenNews: Выпуск Proxmox VE 9.1, дистрибутива для организации работы виртуальных серверов
4. OpenNews: Выпуск дистрибутива Proxmox Mail Gateway 8.2
5. OpenNews: Выпуск облачной платформы Apache CloudStack 4.18
6. OpenNews: Выпуск XCP-ng 8.3, свободного варианта XenServer

Устранённые уязвимости (первые 2 имеют умеренный уровень опасности, а остальные низкий):

• CVE-2025-66200 - организация запуска CGI-скрипта под другим пользователем в конфигурациях с mod_userdir и suexec через манипуляции с директивой "RequestHeader" в файле .htaccess (если разрешено её использование .htaccess).
• CVE-2025-59775 - SSRF-уязвимость (Server-Side Request Forgery), приводящая к утечке NTLM-хэша на другой сервер при использовании Apache httpd на платформе Windows в конфигурациях c настройками "AllowEncodedSlashes On" и "MergeSlashes Off".
• CVE-2025-65082 - переопределение переменных окружения для CGI-скриптов из-за некорректного экранирования управляющих символов (выставление переменных в настройках может переопределить значения переменных, вычисленные сервером для CGI).
• CVE-2025-58098 - передача экранированной строки запроса в SSI (Server Side Includes) директиву "<!--#exec cmd=...-->" в конфигурациях с mod_cgid вместо mod_cgi.
• CVE-2025-55753 - отправка непрерывных (без задержки между запросами) повторных ACME-запросов обновления сертификата в модуле mod_md после большого числа сбоев при попытке обновления просроченного сертификата.

Среди не связанных с безопасностью улучшений:

• Модуль mod_md с реализацией протокола ACME обновлён до версии 2.6.6:
  • Добавлена поддержка расширения протокола ARI (ACME Renewal Information), позволяющего получать сведения о необходимости обновления сертификатов и выбирать оптимальное время для обновления. Для включения ARI предложена директива "MDRenewViaARI on|off".
  • Реализована директива "MDInitialDelay" для выставления задержки проверки сертификата после перезапуска сервера.
  • До 30 секунд увеличено значение по умолчанию параметра MDRetryDelay (задержка перед повторной попыткой после ошибки).
  • Прекращена поддержка VPN-сети Tailscale.
  • Устранены ошибки и утечка памяти.
• Модуль mod_http2 обновлён до версии 2.0.35, в которой появилась директива "H2MaxStreamErrors" для задания лимита на число ошибок в потоке, после достижения которого соединение будет закрыто.
• В mod_http2 налажена корректная обработка ответов с кодом 3 от mod_cache.
• В mod_proxy_http2 реализована директива "ProxyErrorOverride" для переопределения кодов ошибок.
• В mpm_common добавлена директива "ListenTCPDeferAccept", через которую можно выставить значение опции TCP_DEFER_ACCEPT (активация только при приходе данных на сокет) для слушающего сокета.
• В mod_ssl добавлена директива "SSLVHostSNIPolicy" для настройки правил совместимости для виртуальных хостов.

1. Главная ссылка к новости
2. OpenNews: Фонд Apache сменил логотип и начал использование акронима ASF
3. OpenNews: В http-сервере Apache 2.4.65 устранена проблема, ломающая работу mod_rewrite
4. OpenNews: Релиз http-сервера Apache 2.4.64 с устранением 8 уязвимостей
5. OpenNews: Для systemd развивается возможность загрузки системных образов по HTTP
6. OpenNews: Уязвимость в реализациях протокола HTTP/2, упрощающая проведение DoS-атак

Среди изменений в новой версии:

• Firefox и Thunderbird обновлены до ESR-ветки 140 (ранее использовалась ветка 128).
• В состав включён набор компиляторов GCC 15.2 Обновлены версии GCC 12.5.0 и 13.4.0.
• Обновлены версии программ, среди которых BIND 9.18.41, 7-Zip 25.01, git 2.50.1, golang 1.25.3, openssl 3.0.18, sudo 1.9.17p1, suricata 7.0.11, vim 9.1.1591, babel 2.17.0, flac 1.5.0, libjpeg 9f, openldap 2.6.10, rust 1.87.0, wxwidgets 3.2.8.1 и xorg-server 21.1.18.
• В утилиту useradd добавлена опция "-N" для активации учётной записи без необходимости отдельного запуска утилиты "passwd -N" или указания пароля. Также добавлена опция "-U" для перевода учётной записи в неактивированное состояние (UP). В состоянии UP запрещено подключение пользователя к системе даже при подсоединении без пароля по SSH-ключу.
• В утилиту sxadm добавлена поддержка включения защиты от микроархитектурной атаки TSA (Transient Scheduler Attack) на CPU AMD.
• В утилиту fmthard добавлена опция "-c" (clear) для очистки меток разделов MBR, VTOC и GPT/EFI, а также опция "-e" (GPT/EFI) для принудительного сохранения метки GPT/EFI вместо VTOC.
• Добавлен системный сервис svc:/system/check/bind для проверки конфигурации DNS-сервера BIND через запуск утилиты named-checkconf.
• В croinfo добавлена новая команда cableinfo для вывода информации о применяемых SAS-кабелях (Serial-Attached SCSI).
• В утилиту ldm добавлены команды add-devalias, list-devalias и remove-devalias для управления псевдонимами устройств для гостевых систем в LDoms Manager (ldmd).
• В команде zoneadm добавлена поддержка образов изолированных зон в форме архивов flar, сжатых при помощи gzip/bzip2 (например: "zoneadm -z s10z install -u -a /root/s10u11-x86.flar.bz2").
• В отладчик MDB добавлена поддержка вывода аннотаций по типу и выставления размеров массивов.
• Добавлен пакет pkg:/system/management/oracle-cloud-agent с плагинами gomon (мониторинг производительности) и runcommand для Oracle Cloud Agent.

1. Главная ссылка к новости
2. OpenNews: Выпуск операционной системы Solaris 11.4 SRU84
3. OpenNews: Выпуск дистрибутива OpenIndiana 2025.10, продолжающего развитие OpenSolaris
4. OpenNews: Выпуск дистрибутива Tribblix 38, построенного на технологиях OpenSolaris и Illumos
5. OpenNews: Выпуск дистрибутива OmniOS CE r151056, построенного на технологиях OpenSolaris
6. OpenNews: Oracle опубликовал новую бесплатную редакцию Solaris 11.4 CBE

В GitHub выявлено более 30 тысяч репозиториев с сохранёнными червём перехваченными данными. В около 70% из этих репозиториев размещён файл content.json, в 50% - файл truffleSecrets.json, а в 80% - environment.json, содержащие ключи доступа, конфиденциальные данные и переменные окружения, найденные на системе разработчика, установившего вредоносный пакет с червём. Также в данных репозиториях выявлено около 400 файлов actionsSecrets.json с ключами, найденными в окружениях для выполнения GitHub Actions.

В файлах contents.json присутствовало более 500 уникальных учётных данных и токенов для подключения к GitHub. В файлах truffleSecrets.json содержались конфиденциальные данные, найденные в результате выполнения на поражённой системе утилиты TruffleHog, собирающей более 800 типов данных, среди которых ключи доступа, ключи шифрования, пароли и токены, используемые в различных сервисах, облачных окружениях, продуктах и СУБД. Всего в truffleSecrets.json выявлено более 400 тысяч уникальных записей из которых около 2.5% (~10000) было верифицировано.

Предполагается, что попавшая в открытый доступ конфиденциальная информация может стать отправной точкой для новой волны атак, так как многие данные остаются актуальны. Например, проверка показала, что 60% токенов доступа к NPM, захваченных с поражённых червём систем, остаются действующими.

В отчёте также приводится общая статистика, полученная на основе анализа переменных окружения с поражённых систем. 23% запусков червя произошли на компьютерах разработчиков, а 77% - в окружениях систем непрерывной интеграции (60% GitHub Actions, 5% - Jenkins, 5% - GitLab CI, 3% - AWS CodeBuild). На 87% систем использовался Linux, 12% - macOS и 1% - Windows. 76% запусков было в контейнерах, 13% - в основных системах.

60% всех инфицированний произошло из-за установки вредоносных релизов пакетов @postman/tunnel-agent-0.6.7 и @asyncapi/specs-6.8.3. В 99% проценте случаев червь был активирован при запуске команды "node setup_bun.js", указанной в package.json в секции preinstall (оставшиеся 1% вероятно приходятся на попытки тестирования).

1. Главная ссылка к новости
2. OpenNews: При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакетов
3. OpenNews: Самораспространяющийся червь поразил 187 пакетов в NPM
4. OpenNews: Утечка токена для полного доступа к GitHub-репозиториям проекта Python
5. OpenNews: В 2024 году GitHub выявил 39 млн утечек ключей и паролей в репозиториях
6. OpenNews: Уязвимость в MCP-сервере GitHub, приводящая к утечке информации из приватных репозиториев

Основные возможности сервиса:

• Высокая производительность и низкое потребление памяти, благодаря использованию компилируемого в машинный код языка без сборoщика мусора.
• Предоставление информации об IP-адресе (страна, город, почтовый индекс, координаты, оператор связи и др.) через REST API на основе данных MaxMind GeoLite2 (бесплатно) и MaxMind GeoIP2 (платно).
• Определение текущего IP-адреса пользователя (доступно через отдельный эндпойнт; параметр ip основного эндпойнта является необязательным).
• Настраиваемые автоматические обновления баз данных (как с официальных ресурсов MaxMind с использованием Account ID и Licence Key, так и с пользовательского URL с поддержкой авторизации; возможно указание интервала проверки обновлений).
• Веб-интерфейс для ручной отправки запросов, включая опциональную поддержку отображения на карте OpenStreetMap.
• Для всех результатов, содержащих поле timezone, автоматически формируется дополнительное поле posix_timezone (например, Europe/Paris преобразуется в CET-1CEST,M3.5.0,M10.5.0/3). Это обеспечивает автоматическую конфигурацию часового пояса на встраиваемых устройствах (например, ESP32 и иных таргетах newlib без встроенной tzdata). Данная возможность является уникальной и отсутствует в аналогичных решениях.
• Автоматическое обновление базы данных часовых поясов (интервал, источник и авторизация настраиваются; по умолчанию используется официальный сайт IANA). При отключении обновлений применяется системная база.
• Возможность загрузки актуальных архивов баз данных по HTTP непосредственно с сервиса (что позволяет использовать один экземпляр в качестве прокси-источника для других и снижать расход квоты MaxMind).
• Поддержка защиты эндпойнтов с помощью опционального API-ключа.
• Наличие OpenAPI-спецификации и встроенного Swagger UI для облегчения интеграции со своими проектами.
• Предоставление готового Docker-образа для быстрого развертывания:

  
  docker run \
  	-e MAXMIND_ACCOUNT_ID=XXXX \
  	-e MAXMIND_LICENCE_KEY=YYYY \
  	-e OSM_TILES_URL="https://{s}.tile.openstreetmap.org/{z}/{x}/{y}.png" \  # необязательно
  	-v geoip_data:/data \
  	-p 8080:8080 \
  	ghcr.io/quoi-dev/geoip:latest
  

1. Главная ссылка к новости
2. OpenNews: Mozilla закрывает общедоступный сервис определения местоположения
3. OpenNews: Выпуск zeronet-conservancy 0.7.8, платформы для децентрализованных сайтов
4. OpenNews: Представлен gps-share, инструмент для организации совместного доступа к GPS
5. OpenNews: Выпуск GeoClue 2.3.0, фреймворка для определения местоположения