Основные изменения:

• Добавлена экспериментальная возможность использования Suricata в качестве межсетевого экрана. Режим межсетевого экрана позволяет использовать диалект языка правил инспектирования трафика для фильтрации сетевых пакетов.
• Переработана возможность написания скриптов на языке Lua. В состав кодовой базы интегрирован интерпретатор Lua 5.4, запускаемый в sandbox-окружении, ограничивающем правила на языке Lua (например, из правил не может осуществляться запись в файлы или создаваться сетевые сокеты).
• Предоставлена возможность динамической (во время работы) регистрации плагинов с парсерами протоколов, детекторами и компонентами для ведения логов.
• Проведены значительные оптимизации производительности, позволившие ускорить различные аспекты работы движка, включая определение протоколов, загрузку правил и инициализацию. Ускорение достигается благодаря предсказанию переходов, оптимизации хэш-функций, увеличению размера буферов загрузки данных в формате PCAP и переработке синхронизации потоков. Также удалось сократить время запуска Suricata, используя кэширование, расширенную группировку портов и улучшенный алгоритм подстановки IP-адресов.
• На языке Rust переписаны обработчики LibHTP, FTP, ENIP, а также код разбора MIME-типов, операции byte_extract и декодирования base64.
• Добавлена поддержка протоколов DoH (DNS over HTTPS), LDAP, mDNS (Multicast DNS) и Websocket.
• Добавлены новые модули декодирования и ведения логов для протоколов ARP и POP3.
• Обеспечен разбор трафика SDP поверх SIP и SIP поверх TCP.
• Расширены возможности движка определения протоколов и построения правил. Для правил реализованы ключевые слова LDAP, MIME/ EMAIL, vlan.id, DNS, SMTP, FTP, TLS, tcp.wscale, pgsql.query, from_base64, entropy, luaxform и mDNS. Добавлены транзакционные правила, позволяющие описать оба направления транзакции в одном правиле.

Особенности Suricata:

• Использование для вывода результатов проверки унифицированного формата Unified2, также применяемого проектом Snort, что позволяет использовать стандартные инструменты для анализа, такие как barnyard2. Возможность интеграции с продуктами BASE, Snorby, Sguil и SQueRT. Поддержка вывода в формате PCAP;
• Поддержка автоматического определения протоколов (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB и т.п.), позволяющая оперировать в правилах только типом протокола, без привязки к номеру порта (например, блокировать HTTP трафик на нестандартном порту). Наличие декодировщиков для протоколов HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP, LDAP и SSH;
• Система анализа HTTP-трафика, использующая для разбора и нормализации HTTP-трафика библиотеку HTP, созданную автором проекта Mod_Security. Доступен модуль для ведения подробного лога транзитных HTTP пересылок (лог сохраняется в стандартном формате Apache). Поддерживается извлечение и проверка файлов, передаваемых по протоколу HTTP, а также разбор сжатого контента. Возможность идентификации по URI, Cookie, заголовкам, user-agent, телу запроса/ответа;
• Поддержка различных интерфейсов для перехвата трафика, в том числе NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Возможен анализ уже сохранённых файлов в формате PCAP;
• Высокая производительность, способность обрабатывать на обычном оборудовании потоки в десятки гигабит в cекунду.
• Высокопроизводительный механизм сопоставления по маске с большими наборами IP-адресов. Поддержка выделения контента по маске и регулярным выражениям. Выделение файлов из трафика, в том числе их идентификация по имени, типу или хэшу.
• Возможность использования переменных в правилах: можно сохранить информацию из потока и позднее использовать её в других правилах;
• Использование формата YAML в файлах конфигурации, сочетающего наглядность с лёгкостью машинной обработки;
• Полная поддержка IPv6;
• Встроенный движок для автоматической дефрагментации и пересборки пакетов, позволяющий обеспечить корректную обработку потоков, независимо от порядка поступления пакетов;
• Поддержка протоколов туннелирования: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
• Поддержка декодирования пакетов: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, ARP, PPPoE, Raw, SLL, VLAN;
• Режим ведения лога ключей и сертификатов, фигурирующих в соединениях на базе TLS;
• Возможность написания скриптов на языке Lua для расширенного анализа трафика и реализации дополнительных возможностей, для которых недостаточно стандартных правил.
1. Главная ссылка к новости
2. OpenNews: Выпуск системы обнаружения атак Suricata 7.0
3. OpenNews: Релиз Messor, децентрализованной системы для обнаружения вторжений
4. OpenNews: Обновление системы обнаружения атак Suricata с устранением критической уязвимости
5. OpenNews: В рамках сообщества wasp-guard началось формирование распределенной системы обнаружения вторжений
6. OpenNews: Релиз системы обнаружения атак Snort 3

В шрифте поддерживается более 460 языков, в том числе языки на основе кириллицы. Шрифт является вариативным и допускает гибкое изменение стилистических характеристик, например, можно менять настройки угла наклона, толщины, высоты, отступа и других параметров. Предлагается 14 базовых стилей, более 1000 глифов и 4 начертания без засечек (Regular, Italic, Expanded и Condensed).

1. Главная ссылка к новости
2. OpenNews: GNOME перешёл на использование по умолчанию шрифта Adwaita Sans
3. OpenNews: Microsoft опубликовал открытый шрифт Cascadia Code 2404.23
4. OpenNews: Intel опубликовал открытый моноширинный шрифт One Mono
5. OpenNews: Представлена вариативная гарнитура Roboto Flex, продолжающая развитие шрифта Roboto
6. OpenNews: Опубликован шрифт, автоматически цензурирующий оскорбительные выражения

Инициатива расширяет ранее действующую программу Red Hat Developer, позволяющую бесплатно использовать RHEL в окружениях индивидуальных разработчиков, насчитывающих до 16 виртуальных или физических систем. Новый вариант расширяет данную опцию на коммерческие предприятия, но в отличие от программы Red Hat Developer не позволяет использовать бесплатные копии дистрибутива для рабочих внедрений, а ограничивается только процессом разработки и проведением тестирования.

Для получения бесплатных экземпляров RHEL для целей разработки предприятию достаточно зарегистрироваться с корпоративным email, принять соглашение (Enterprise Agreement) и загрузить iso-образ. Поддержка бесплатных экземпляров дистрибутива осуществляется предприятием самостоятельно (self-serve). Возможна загрузка сборок для всех поддерживаемых архитектур (в Red Hat Developer допускалась только загрузка сборок для x86_64 и ARM). Использование предоставленных 25 экземпляров разрешается на физических компьютерах, в облачных окружениях и в системах виртуализации.

1. Главная ссылка к новости
2. OpenNews: Red Hat Enterprise Linux стал бесплатен для организаций, развивающих открытое ПО
3. OpenNews: Red Hat представил бесплатные варианты Red Hat Enterprise Linux
4. OpenNews: Открыт бесплатный доступ к Red Hat Enterprise Linux для разработчиков
5. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 10

Целью miracle-wm является создание композитного сервера, применяющего мозаичное управление окнами, но более функционального и стильного, чем такие продукты, как Swayfx. При этом проект позволяет использовать и классические приёмы работы с плавающими окнами, например, можно размещать отдельные окна поверх мозаичной сетки или закреплять окна к определённому месту на рабочем столе. Поддерживается виртуальные рабочие столы с возможностью выставления для каждого рабочего стола своего режима работы с окнами по умолчанию (мозаичная компоновка или плавающие окна).

Предполагается, что miracle-wm может оказаться полезным пользователям, которые отдают предпочтение мозаичной компоновке, но желают получить визуальные эффекты и более яркое графическое оформление с плавными переходами и цветами. Конфигурация определяется в формате YAML. Для установки miracle-wm можно использовать команду "sudo snap install miracle-wm --classic".

Основные новшества:

• В поставку включена библиотека libmiracle-wm-config, предоставляющая C API для создания конфигураторов. В качестве примера реализован графический конфигуратор miracle-settings с интерфейсом на базе Flutter.
• Добавлена поддержка расширения Wayland-протокола wlr-output-management для изменения настроек устройств вывода. Поддержка указанного протокола, например, позволяет использовать приложение wdisplays для настройки параметров экрана.
• Добавлена возможность настройки радиуса скругления углов рамки окна.
• Реализованы IPC-команды "marks", "fullscreen toggle", "floating toggle", "swap" и "rename workspace".
• Реализованы события, отражающие манипуляции с окнами, такие как new, close, focus, title, fullscreen_mode, move, floating, urgent и mark.
• Добавлен systemd unit miracle-wm-xdg-autostart.target для запуска сеанса на базе MiracleWM.
• Улучшена отрисовка рамок окна.
• Повышена плавность анимации.
• Настройки перенесены из $XDG_CONFIG_HOME/miracle-wm.yaml в $XDG_CONFIG_HOME/miracle-wm/config.yaml. Настройки экрана размещены в файле $XDG_CONFIG_HOME/miracle-wm/display.yaml.

1. Главная ссылка к новости
2. OpenNews: Выпуск miracle-wm 0.5, композитного менеджера на базе Wayland и Mir
3. OpenNews: Сотрудник Canonical представил miracle-wm, композитный менеджер на базе Wayland и Mir
4. OpenNews: В Fedora 41 одобрена поставка сборки с композитным менеджером Miracle
5. OpenNews: Доступен оконный менеджер i3wm 4.19
6. OpenNews: Выпуск пользовательского окружения Sway 1.11

Уязвимости выявлены в ходе разработки инструментария, созданного исследователями из Microsoft и Швейцарской высшей технической школы Цюриха для стресс-тестирования микроархитектурной изоляции между различными зонами разграничений доступа, такими как ядро, виртуальные машины и процессы.

Метод атаки основан на зависимости времени выполнения некоторых инструкций от состояния микроархитекткрных структур. Когда процессор ожидает быстрого завершения инструкции чтения данных из памяти (например, полагая, что данные есть в кэше L1), но не удаётся успешно получить данные, возникает состояние "ложного завершения" инструкции (false completion). При этом процессор ещё до определения этого состояния может запланировать спекулятивное выполнение других операций, зависящих от результата выполнения инструкции загрузки из памяти.

Так как загрузка оказалась не завершена, ассоциированные с ней данные признаются процессором недействительными, а операция загрузки позднее повторяется ещё раз. Зависимые операции также повторно выполняются после готовности корректных данных. При этом сброс конвейера (pipeline flush) после выполнения инструкции, для которой зафиксировано состояние "ложного завершения", не производится, и некорректные данные могут быть перенаправлены в зависимые операции.

Выполнение подобных операций не меняет состояние кэша и TLB (Translation Lookaside Buffer), т.е. данные не могут быть восстановлены при помощи традиционных методов определения состояния кэша. Но эти данные влияют на время выполнения других инструкций. Анализ времени выполнения может использоваться как источник утечки информации из микроархитектурных структур, оставшейся после спекулятивного выполнения других операций.

В зависимости от источника извлечения остаточных данных выделены две уязвимости:

• CVE-2024-36350 (TSA-SQ - TSA Store Queue) - утечка из буфера временного хранения операций записи (Store Queue), позволяющая определить результат работы инструкций записи в память.
• CVE-2024-36357 (TSA-L1 - TSA L1 Data Cache) - утечка через кэш L1D.

Уязвимости проявляются в семействе процессоров AMD (Fam19h) на базе микроархитектур Zen 3 и Zen 4. Например, проблема присутствует в сериях CPU AMD Ryzen 5000/6000/7000/8000, AMD EPYC Milan/Milan-X/Genoa/Genoa-X/Bergamo/Siena, AMD Instinct MI300A, AMD Ryzen Threadripper PRO 7000 WX, AMD EPYC Embedded 7003/8004/9004/97X4, AMD Ryzen Embedded 5000/7000/V3000.

Необходимые для блокирования уязвимости изменения включены в состав декабрьского обновления микрокода и PI-прошивок (Platform Initialization), переданных OEM-производителям. Патчи для защиты от уязвимости переданы для включения в состав ядра Linux (для отключения защиты, негативно влияющей на производительность, предусмотрена опция командной строки ядра "tsa=off"). Исправление также добавлено в гипервизор Xen. Для блокирования уязвимости требуется одновременно как обновление микрокода, так и включение режима защиты на уровне ядра или гипервизора.

1. Главная ссылка к новости
2. OpenNews: CPU AMD Zen 5 подвержены уязвимости, допускающей изменение микрокода и обход изоляции SEV-SNP
3. OpenNews: Уязвимости в CPU AMD, позволяющие выполнить код на уровне SMM
4. OpenNews: Google опубликовал инструментарий для анализа и изменения микрокода AMD
5. OpenNews: Уязвимость в загрузчике микрокода в CPU AMD, позволяющая обойти изоляцию SEV-SNP
6. OpenNews: Атака BadRAM, позволяющая обойти механизм аттестации SEV-SNP в CPU AMD

Amarok предоставляет трёхпанельный режим отображения информации (коллекция, текущая композиция и список воспроизведения), позволяет осуществлять навигацию по музыкальной коллекции, тегам и отдельным каталогам, поддерживает динамические списки воспроизведения и быстрое создание собственных списков воспроизведения, может автоматически генерировать рекомендации, статистику и рейтинг популярных композиций, поддерживает загрузку текстов песен, обложек и информационных справок о композициях из различных сервисов, даёт возможность автоматизировать действия через написание скриптов.

В новой версии завершено портирование на Qt 6 и KDE Frameworks 6. Удалена поддержка Qt5. Обновлена схема БД, в которой решены проблемы с кодировками. Реализован звуковой бэкенд на базе GStreamer, поддерживающий дополнительные возможности, отсутствующие в бэкенде phonon-vlc, доступном для Qt6. Улучшен код сканирования содержимого музыкальных коллекций.

1. Главная ссылка к новости
2. OpenNews: Выпуск музыкального проигрывателя Amarok 3.2.0 с поддержкой Qt6
3. OpenNews: Выпуск музыкального проигрывателя Amarok 3.0.0
4. OpenNews: Вышел медиаплеер Clementine 1.3, продолжающий развитие Amarok 1.4

• CVE-2025-48384 - уязвимость вызвана тем, что при чтении значений параметров конфигурации Git очищает указанные в конце символы перевода строки (LF) и возврата каретки (CR), но при записи значений в файл конфигурации не выполняет экранирование символа возврата каретки. Атакующий может указать при инициализации субмодуля путь, в конце имени которого указан символ возврата каретки (ФС в unix-подобных ОС позволяют указывать спецсимволы в именах файлов и каталогов).

  Очистка символа возврата каретки при чтении конфигурации приведёт к тому, что субмодуль будет извлечён по некорректному пути. Атакующий может разместить по этому некорректному пути символическую ссылку, указывающую на каталог с git hook-ами и разместить в нём обработчик, вызываемый после завершения операции checkout. Выполнение команды "git clone --recursive" над репозиторием с подобным субмодулем приведёт к выполнению кода, указанного злоумышленником.

• CVE-2025-48385 - недостаточная проверка на стороне клиента bundle-файлов, отдаваемых сервером во время клонирования репозитория и используемых для передачи части отдаваемых данных через системы доставки контента (CDN). Атакующий, контролирующий Git-сервер, может организовать загрузку клиентом специально оформленного bundle-файла, который после извлечения будет сохранён в произвольное место ФС.
• CVE-2025-48386 - специфичная для платформы Windows уязвимость, вызванная переполнением буфера в обработчике Wincred, применяемом для сохранения учётных данных в Windows Credential Manager.

Кроме того, устранены четыре уязвимости в графических интерфейсах Gitk и Git GUI, написанных на Tcl/Tk:

• CVE-2025-27613 - открытие в Gitk специально оформленного репозитория может привести к перезаписи произвольных файлов в файловой системе.
• CVE-2025-27614 - при выполнении "gitk filename" над специально оформленным репозиторием может привести к запуску скрипта, подготовленного атакующим.
• CVE-2025-46334 - в Git GUI в Windows можно организовать запуск кода атакующего при выполнении пользователем действий "Git Bash" или "Browse Files" c репозиторием, в рабочем дереве которого атакующим размещены типовые исполняемые файлы, такие как sh.exe, astextplain.exe, exif.exe и ps2ascii.exe, вызываемые в процессе работы Git GUI.
• CVE-2025-46335 - возможность создать или перезаписать произвольный файл в ФС при редактировании пользователем в Git GUI файла из каталога со специально оформленным именем, извлечённого из репозитория, подготовленного атакующим.

1. Главная ссылка к новости
2. OpenNews: Выпуск системы управления исходными текстами Git 2.50
3. OpenNews: Две уязвимости в Git, способные привести к удалённому выполнению кода
4. OpenNews: Уязвимости в Git, позволяющие перезаписать файлы или выполнить свой код
5. OpenNews: Пять уязвимостей в Git, среди которых одна критическая и две опасные
6. OpenNews: Уязвимость в MCP-сервере GitHub, приводящая к утечке информации из приватных репозиториев

Основные изменения в Thunderbird 140:

• Улучшена реализация тёмного режима оформления. В панель сообщений интегрировано дополнение Dark Reader для автоматического применения тёмной темы оформления к содержимому сообщений со светлым фоном.
• В настройки добавлена опция для глобального управления сортировкой и нитевидным режимом показа сообщений во всех компонентах Thunderbird. Предоставлена возможность настройки числа столбцов в режиме Cards View.
• В уведомление о новой почте добавлены кнопки для пометки прочитанным, пометки спамом, маркировки звёздочкой, архивирования или удаления сообщения. Для предприятий реализована политика для выборочного управления уведомлениями. При выводе уведомлений задействованы родные для Linux, macOS и Windows системные механизмы показа уведомлений.
• Включён по умолчанию интерфейс Account Hub, позволяющий управлять несколькими учётными записями к разным почтовым службам.
• В боковой панели реализована поддержка ручной сортировки папок.
• Добавлена экспериментальная поддержка настройки учётной записи в Microsoft Exchange из Thunderbird.
• Реализована возможность генерации QR-кода для быстрого переноса настроек учётной записи на мобильную версию Thunderbird для Android.
• Добавлена настройка mail.threadpane.table.horizontal_scroll для включения поддержки горизонтальной прокрутки в интерфейсе для просмотра списка сообщений.
• В контекстное меню панели со списком почтовых папок добавлена возможность работы с фильтрами сообщений.

1. Главная ссылка к новости
2. OpenNews: Опубликован почтовый клиент Thunderbird 139.0
3. OpenNews: Mozilla развивает Thunderbird Pro и сервис Thundermail в стиле Gmail и Office 365
4. OpenNews: Выпуск почтового клиента Betterbird 128.9.0, форка Thunderbird
5. OpenNews: Thunderbird переходит к ежемесячному формированию значительных релизов
6. OpenNews: Выпуск почтового клиента Thunderbird 128

Изначально YTK являлся только копией GTK2, интегрированной в репозиторий Ardour для упрощения сопровождения. Изменения в кодовой базе ограничивалась исправлением ошибок и проведением чистки от возможностей, не применяемых в Ardour. При этом YTK применялся только в форме опции для сборки Ardour в дистрибутивах, прекративших поддержку GTK2, а по умолчанию продолжала выполняться сборка с GTK2.

В феврале в YTK начали добавлять дополнительную функциональность, отсутствующую в GTK2, а сценарии сборки в экспериментальной ветке Ardour, на базе которой формируется релиз Ardour 9.0, были переведены на YTK по умолчанию. Несколько дней назад поддержка GTK2 была удалена. Как и GTK2, библиотека YTK поддерживает только работу с использованием протокола X11 и требует использования XWayland для работы в окружениях на основе протокола Wayland.

1. Главная ссылка к новости
2. OpenNews: Выпуск свободного звукового редактора Ardour 8.8
3. OpenNews: В звуковом редакторе Ardour 8.4 создано собственное ответвление GTK2
4. OpenNews: GTK перевёл бэкенд для X11 в разряд устаревших
5. OpenNews: Доступен графический тулкит GTK 4.18
6. OpenNews: В ОС Redox появилась поддержка X11, GTK 3 и Mesa3D EGL

Целью разработки OBS Studio было создание переносимого варианта приложения Open Broadcaster Software (OBS Classic), не привязанного к платформе Windows, поддерживающего OpenGL и расширяемого через плагины. Отличием также является использование модульной архитектуры, подразумевающей разделение интерфейса и ядра программы. Поддерживается перекодирование исходных потоков, захват видео во время игр и стриминг в PeerTube, Twitch, Facebook Gaming, YouTube, DailyMotion и другие сервисы. Для обеспечения высокой производительности возможно использование механизмов аппаратного ускорения (например, NVENC, Intel QSV, Apple Video Toolbox и VAAPI).

Предоставляется поддержка композитинга с построением сцены на основе произвольных видеопотоков, данных с web-камер, карт захвата видео, изображений, текста, содержимого окон приложений или всего экрана. В процессе вещания допускается переключение между несколькими предопределёнными вариантами сцен (например, для переключения представлений с акцентом на содержимое экрана и изображение с web-камеры). Программа также предоставляет инструменты для микширования звука, фильтрации при помощи VST-плагинов, выравнивая громкости и подавления шумов.

Ключевые изменения:

• Для платформ Linux и macOS реализована поддержка стриминга многотрекового видео, при котором вещание одновременно осуществляется с несколькими уровнями качества (например, в дополнение к 1080p создаются варианты с качеством 720p и 480p).
• В настройки оформления интерфейса пользователя добавлены опции для изменения параметров шрифта, таких как размер, расстояние между соседними символами и отступы вокруг текста.
• Добавлены кнопки для изменения уровня масштабирования области предпросмотра.
• В кодировщике AV1 на базе фреймворка AMF реализована поддержка B-кадров (двунаправленные кадры, которые могут ссылаться на предыдущие и последующие кадры).
• Добавлена возможность задействования GPU для преобразования цветовых форматов, цветовых пространств и цветовых диапазонов.
• Для многотрековых видео реализована возможность включения сетевых оптимизаций и механизма TCP Pacing (снижает потери пакетов при нехватке памяти на транзитных маршрутизаторах).
• Для многотрековых видео реализована поддержка вещания с задержкой (Stream Delay).
• В кодировщик видео на базе VA-API добавлена поддержка режима кодирования QVBR (Quality‑Defined Variable Bitrate) для обеспечения постоянного качества видео при заданном битрейте. Режим реализован для GPU Intel и AMD.
• В функцию захвата экрана с использованием PipeWire добавлена поддержка механизма "explicit sync", дающего возможность снизить задержки и избавиться от появления артефактов.
• Для BSD-систем добавлена поддержка виртуальной камеры, реализованной на базе API V4L2.
• На платформе Linux появилась поддержка аппаратного ускорения в источнике вещания на базе браузера (Browser Source), которая пока работает только на системах с GPU Intel и AMD.
• Добавлена поддержка платформы Windows на системах с архитектурой ARM.

1. Главная ссылка к новости
2. OpenNews: OBS Studio и Fedora урегулировали конфликт
3. OpenNews: Представлен SRT, открытый протокол для потоковой передачи видео
4. OpenNews: Выпуск системы потокового видеовещания OBS Studio 31.0
5. OpenNews: Выпуск серверов для потокового вещания Roc 0.1, Ant 1.7 и Red5 1.1.1
6. OpenNews: Выпуск сервера потокового вещания Owncast 0.1.0

При миграции используется развиваемая компанией Red Hat утилита Leapp, которая дополнена патчами, учитывающими специфику CentOS и сторонних дистрибутивов, построенных на пакетной базе RHEL. В проекте также задействован расширенный набор метаданных, описывающих шаги для перевода отдельных пакетов от одной ветки дистрибутива к другой.

Для миграции достаточно подключить предоставляемый проектом репозиторий, установить пакет со сценарием миграции на выбранный дистрибутив (leapp-data-almalinux, leapp-data-centos, leapp-data-oraclelinux, leapp-data-rocky) и запустить утилиту "leapp". Например, для перехода с AlmaLinux 9 на AlmaLinux 10 можно выполнить следующие команды, предварительно обновив свою систему до актуального состояния:

   sudo yum install -y http://repo.almalinux.org/elevate/elevate-release-latest-el.noarch.rpm
   sudo yum install -y leapp-upgrade leapp-data-almalinux
   sudo leapp preupgrade
   sudo leapp upgrade

В новой версии добавлены сценарии обновления с AlmaLinux 9 на AlmaLinux 10.0, с AlmaLinux 9 на AlmaLinux Kitten 10, а также с CentOS Stream 9 на CentOS Stream 10. При обновлении обеспечена поддержка сторонних репозиториев EPEL, Docker CE и PostgreSQL.

1. Главная ссылка к новости
2. OpenNews: Доступен дистрибутив AlmaLinux 10.0
3. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 10
4. OpenNews: Выпуск дистрибутива Rocky Linux 10.0
5. OpenNews: Выпуск дистрибутива Oracle Linux 10
6. OpenNews: Проект ELevate, упрощающий переход с CentOS 7 на дистрибутивы, основанные на RHEL 8

Компания Microsoft наметила на 8 июля выпуск обновлений к поддерживаемым версиям Windows Server, в которых будут устранены проблемы с безопасностью в реализации контроллера домена Active Directory. В рамках обновления во всех поддерживаемых версиях Windows Server, включая Windows Server 2008, в протокол Microsoft RPC Netlogon будут внесены изменения, связанные с добавлением дополнительных проверок доступа к некоторым вызовам RPC. Ранее расширенные проверки применялись только в Windows Server 2025, но, начиная с завтрашнего дня, будут задействованы и в других версиях.

Подобные изменения нарушают совместимость с Samba и приводят к сбою при отправке сервисом winbind запросов обнаружения контроллера домена (Netlogon DC Discovery). Из-за возникающего сбоя пользователи домена не смогут подключиться к SMB-сервисам на базе Samba, в которых используется бэкенд 'ad'.

1. Главная ссылка к новости
2. OpenNews: Выпуск Samba 4.22.0
3. OpenNews: Уязвимость в Samba и MIT/Heimdal Kerberos, приводящая к переполнению буфера
4. OpenNews: Уязвимости в Samba, приводящие к переполнению буфера и выходу за границу базового каталога
5. OpenNews: Уязвимость в Samba, позволяющая поменять пароль любому пользователю
6. OpenNews: Реализация контроллера домена в Samba оказалась подвержена уязвимости ZeroLogin

Основные изменения:

• В число обязательных переведено Vulkan-расширение VK_KHR_maintenance5, что привело к повышению требований к используемым драйверам. Для работы DXVK теперь необходимы как минимум Vulkan-драйверы RADV и ANV из состава Mesa 25.0 или проприетарные драйверы NVIDIA 550.54.14 (рекомендуется использовать более новые версии Mesa 25.1 и NVIDIA 575.51.02). Ранее DXVK мог работать при наличии версий Mesa RADV 24.0, NVIDIA 535.183.01 и Intel ANV 24.0.

  Изменение в основном отразится на пользователях платформы Windows, использующих GPU AMD Polaris и Vega, поддержка которых прекращена в актуальных драйверах AMD для Windows. Более того, из-за нарастающих проблем с совместимостью решено поддерживать Windows драйверы AMD лишь по остальному принципу.

• Переделано и модернизировано управление дескрипторами шейдеров. На системах с относительно новыми моделями GPU AMD и NVIDIA для работы с дескрипторами по умолчанию задействовано Vulkan-расширение VK_EXT_descriptor_buffer, позволяющее существенно снизить нагрузку на CPU. Изменение дало возможность повысить производительность игр, завязанных на производительность CPU, таких как Final Fantasy XIV, God of War, Metaphor: ReFantazio и Watch Dogs 2. В некоторых ситуациях на фоне более стабильной общей производительности может наблюдаться незначительное проседание производительности в играх, завязанных на производительность GPU. Для отключения оптимизации может использоваться настройка dxvk.enableDescriptorBuffer.
• На системах с GPU Intel Battlemage и Lunar Lake по умолчанию включён режим, периодически запускающий процесс дефрагментации и возвращения неиспользуемой памяти системе. Благодаря уменьшению фрагментации памяти, наблюдается снижение пикового потребления памяти в играх. Для управления включением дефрагментации предусмотрена настройка dxvk.enableMemoryDefrag.
• На дискретных GPU по возможности теперь учитываются передаваемые драйвером данные о допустимом расходовании видеопамяти (VRAM budget), а также более активно возвращаются системе неиспользуемые ресурсы при нехватке памяти в системе. Изменение позволило поднять производительность в многих играх на движке Unity на системах с ограниченным объёмом видеопамяти.
• С целью упрощения сопровождения кодовой базы прекращена поддержка устаревших или редко используемых возможностей, таких как кэш состояний (state cache, потерял смысл после появления расширения VK_EXT_graphics_pipeline_library) и опция d3d9.forceSwapchainMSAA.
• В шейдерах D3D11 включено по умолчанию обнуление при инициализации всех переменных и совместных буферов.
• Добавлена поддержка программного интерфейса ID3DDestructionNotifier.
• Внесены оптимизации, повысившие производительность игр на движке Source.
• Решены проблемы в играх:
  • Astebreed
  • GTR - FIA GT Racing Game
  • JR EAST Train Simulator
  • LEGO City Undercover
  • Modulus
  • Star Trek: Starfleet Command III
  • Test Drive Unlimited 2
  • Wargame: European Escalation

1. Главная ссылка к новости
2. OpenNews: Выпуск Wine 10.10 и DXVK 2.6.2
3. OpenNews: Выпуск DXVK 2.6, реализации Direct3D 8/9/10/11 поверх API Vulkan
4. OpenNews: Релиз Wine 10.7 и бета-версия Proton 10.0
5. OpenNews: Обновление Steam Client для Linux с включением по умолчанию Proton для запуска Windows-игр

Проблема вызвана ошибкой в реализации команд, использующих алгоритм HyperLogLog для реализации функциональности приблизительного подсчёта уникальных элементов во множестве. Через передачу специально оформленной строки атакующий может инициировать переполнение буфера. Проблема затрагивает все версии Redis с поддержкой команд HLL. В качестве обходного пути защиты можно ограничить доступ пользователей к командам HLL через ACL.

Вторая уязвимость (CVE-2025-48367) может использоваться аутентифицированным пользователем для организации отказа в обслуживании или снижения производительности СУБД. Проблема вызвана некорректной обработкой ошибок при установке соединений.

1. Главная ссылка к новости
2. OpenNews: Сравнение производительности СУБД Valkey и Redis
3. OpenNews: Проект Redis вернулся на использование открытой лицензии. Представлен Redis 8.0
4. OpenNews: Опубликован Valkey 8.1, форк СУБД Redis от Amazon, Google, Oracle и Ericsson
5. OpenNews: Критическая уязвимость в СУБД Redis
6. OpenNews: Уязвимость в СУБД Redis, потенциально позволяющая выполнить свой код

Основные изменения в протоколе:

• Реализован интерфейс wl_fixes, позволяющий решать проблемы с другими программными интерфейсами базовых протоколов, которые не могут быть устранены собственными возможностями этих интерфейсов. Например, запрос "wl_fixes::destroy_registry" позволяет ликвидировать объект wl_registry, после чего клиент не сможет его использовать, а композитный сервер прекратит передачу через него событий.
• В программном интерфейсе wl_keyboard::key реализовано псевдо-состояние "repeated", означающие нахождение клавиши в нажатом виде. Клавиша может быть переведена в состояние "repeated" только после перехода в состояние "pressed", но до наступления состояния "released". Связанные с новым состоянием события могут генерировать несколько раз, пока клавиша нажата. Изменение позволяет композитным серверам обрабатывать повторные нажатия при удерживании клавиш как отдельные состояния, а не просто как поток повторных событий нажатия ("pressed"), что может быть полезным для организации работы с удалённым рабочим столом.
• Добавлены функции wl_display_dispatch_queue_timeout() и wl_display_dispatch_timeout() для диспетчеризации событий в очереди с учётом таймаута (функции wl_display_dispatch и wl_display_dispatch_queue возвращают 0 только при отсутствии событий, а варианты *_timeout ещё и при наступлении таймаута).
• Добавлены функции wl_shm_buffer_ref() и wl_shm_buffer_unref() для доступа к разделяемой памяти, связанной c буфером wl_shm_buffer, после его ликвидации (например, когда клиент завершает работу). Функции позволяют отвязать буфер wl_shm_buffer от времени жизни основного ресурса wl_buffer, когда композитному серверу требуется отложить переход к новому состоянию.
• Добавлены функции wl_proxy_get_interface() и wl_resource_get_interface(), возвращающие wl_interface для указанного ресурса, что востребовано в обвязках для языков с динамической типизацией.
• Добавлена функция wl_resource_post_error_vargs(), выступающая альтернативой функции wl_resource_post_error() с возможностью передать список аргументов для форматирования строки (va_list).

Наиболее заметные события, связанные с Wayland и произошедшие с момента публикации прошлого выпуска:

• Улучшение поддержки Wayland в проприетарных драйверах NVIDIA.
• KDE планирует оставить только поддержку Wayland. Разделение кода kwin_x11 и kwin_wayland.
• Ubuntu и Kubuntu оставят только поддержку сеанса Wayland в GNOME и KDE.
• В GDM по умолчанию оставлена только поддержка Wayland.
• GTK перевёл бэкенд для X11 в разряд устаревших.
• В Fedora 43 решено удалить из репозитория пакеты, используемые в GNOME для работы поверх X-сервера. Все пользователи GNOME c X11 будут принудительно переключить на сеанс на базе Wayland.
• В среде рабочего стола Budgie будет оставлена только поддержка Wayland.
• В Xfce 4.20 реализована частичная поддержка Wayland.
• MATE 1.28 с экспериментальной поддержкой Wayland.
• Wayback - композитный сервер Wayland для запуска рабочих столов на базе X11
• Компания Valve запустила проект Frog для ускорения продвижения новых протоколов Wayland.
• Библиотека построения графических интерфейсов Cosmoe, использующая Wayland и API в стиле BeOS.
• Включение по умолчанию драйвера Wayland в Wine.
• Переход Raspberry Pi OS на использование Wayland.
• Выпуск графического тулкита FLTK 1.4.0 с поддержкой Wayland.
• В набор Wayland-Protocols добавлена дополнительная фаза продвижения протоколов - "experimental", нацеленная на снижение барьера при интеграции протоколов, ускорение доведения протоколов до разработчиков и стимулирование ранней реализации в существующих проектах.
• AMD развивает собственный композитный сервер ACS, использующий Wayland.
• Семь альфа-выпусков среды рабочего стола COSMIC.
• Обновление композитных серверов: Weston 14.0, Niri 25.05, Wayland Maker 0.5, miracle-wm 0.5, Hyprland 0.49, labwc 0.8.3, Cage 0.2, Wayfire 0.9, Sway 1.11.

Добавленные за последний год расширения протоколов, дополняющих базовый протокол Wayland и поставляемых в отдельном наборе Wayland-Protocols:

• color-management - возможности для управления цветом и поддержки расширенного динамического диапазона яркости (HDR, High Dynamic Range).
• color-representation-v1 - задание цветового представления Wayland-поверхности.
• xdg-toplevel-tag - позволяет Wayland-клиентам прикреплять теги к поверхностями верхнего уровня, которые композитный сервер может использовать для идентификации окон после перезапуска приложения.
• ext-background-effect - применение эффектов к полупрозрачным частям Wayland-поверхности, таких как размытие фона.
• pointer-warp - позволяет приложению мгновенно переместить указатель в указанную позицию.
• xx-session-management - восстановление состояния окон для прерванных сеансов (например, после аварийного завершения композитного менеджера).
• xx-input-method - развитие нового протокола для использования методов ввода текста. ext-data-control - позволяет привилегированным клиентам управлять обработкой данных, например, для реализации менеджеров буфера обмена.
• ext-workspace - реализует концепцию виртуальных рабочих столов и предлагает события с информацией о состоянии рабочих столов, а также возможности для активации и деактивации рабочих столов.
• xdg-system-bell - позволяет выводить системный сигнал, который может использоваться, например, как предупреждение в эмуляторе терминалов.
• xdg-toplevel-icon - для привязки пиктограммы к окну верхнего уровня.
• ext-image-capture-source и ext-image-copy-capture - захват выводимого на экран контента.
• fifo - реализует FIFO-механизм (первым пришёл - первым ушёл) обработки очереди обновления содержимого отображаемой поверхности.
• commit-timing - позволяет привязать ограничение времени к содержимому поверхности (композитный сервер должен отобразить изменение контента по возможности через указанное время, но не раньше).

Напомним, что Wayland представляет собой протокол взаимодействия композитного сервера и работающих с ним приложений. Клиенты самостоятельно выполняют отрисовку своих окон в отдельном буфере, передавая информацию об обновлениях композитному серверу, который комбинирует содержимое буферов отдельных приложений для формирования итогового вывода с учётом возможных нюансов, таких как перекрытие окон и прозрачность. Иными словами, композитный сервер не предоставляет API для отрисовки отдельных элементов, а оперирует только с уже сформированными окнами, что позволяет избавиться от двойной буферизации при использовании высокоуровневых библиотек, таких как GTK и Qt, берущих на себя работу по компоновке содержимого окон.

Wayland решает многие проблемы с безопасностью X11, так как в отличие от последнего изолирует ввод и вывод для каждого окна, не позволяет клиенту получить доступ к содержимому окон других клиентов, а также не допускает перехват связанных с другими окнами событий ввода. Поддержка прямой работы c Wayland реализована для большинства применяемых в Linux графических библиотек, включая GTK, Qt, SDL, FLTK, wxWidgets, Clutter и EFL (Enlightenment Foundation Library).

Взаимодействие с аппаратным обеспечением в Wayland/Weston, например, проведение инициализации, переключение видеорежимов (drm modesetting) и управление памятью (GEM для i915 и TTM для radeon и nouveau) графических карт, может производиться напрямую через модуль, работающий на уровне ядра, что позволяет обойтись без привилегий суперпользователя. Для обеспечения выполнения обычных X11-приложений в окружении на базе Wayland используется DDX-компонент XWayland (Device-Dependent X), похожий по организации работы на Xwin и Xquartz для платформ Win32 и macOS.

1. Главная ссылка к новости
2. OpenNews: Выпуск композитного сервера Weston 14.0
3. OpenNews: Разработчики САПР KiCad раскритиковали Wayland и рекомендовали использовать X11
4. OpenNews: Состояние поддержки Wayland в проприетарных драйверах NVIDIA
5. OpenNews: Выпуск Wayland-Protocols 1.45
6. OpenNews: Доступен Wayland 1.23