Обнаружена Ubuntu 14.04.2 🤓

Linux / Линукс 🥸

Найдено две уязвимости, позволяющие локальному пользователю получить root в Ubuntu

Первая (CVE-2026-3888) — в связке snap-confine и systemd-tmpfiles. Раз в 10–30 дней tmpfiles чистит /tmp, удаляя в том числе каталог /tmp/.snap. Атакующий может успеть подменить его на свою копию библиотек, которые затем snap-confine смонтирует с root-правами. Дальше через suid-копию bash внутри sandbox-окружения можно выйти наружу и получить полный root. Проблема актуальна для Ubuntu 24.04+ по умолчанию, исправлена в snapd 2.75.

Вторая — в утилите rm из Rust Coreutils (uutils), которая используется в Ubuntu 25.10. Из-за гонки при рекурсивном удалении можно подменить родительский каталог на симлинк после проверки, но до вызова rmdir. В результате удаление любого файла в системе. Эксплуатируется через ежедневный cron-скрипт apport, который чистит /var/crash. В Ubuntu проблему обошли, поставляя /usr/bin/gnurm вместо uutils rm.

Linux / Линукс 🥸

Linux / Линукс 🥸

PostmarketOS, дистрибутив Linux для смартфонов, представил Duranium — редакцию, где система поставляется единым образом без отдельных пакетов и обновляется атомарно, целиком

Раздел /usr монтируется read-only на EROFS, верифицируется цифровой подписью при каждой загрузке через dm-verity, а проверочный хэш зашит в UKI-образ ядра. Корневой раздел обязательно шифруется LUKS2, обновления ставятся в пассивный раздел по схеме A/B (если после апдейта что-то сломалось, система откатывается автоматически). По сути, это Android-подход к обновлениям, но на Alpine Linux с Musl и BusyBox, и с идеей, что пользователь вообще не должен знать о существовании терминала.

Приложения ставятся через Flatpak или Coldbrew — пакетный менеджер, который тянет пакеты Alpine в домашний каталог и изолирует их через bubblewrap. Начинка Duranium формируется из той же пакетной базы, что и обычный postmarketOS, но метод доставки другой.

Linux / Линукс 🥸

systemd уже добавляет переменную age, готовясь к будущим законам о цифровых удостоверениях личности

Linux / Линукс 🥸

В новой версии systemd 260 окончательно убрали поддержку System V-скриптов. Появился механизм mstack для сборки сложных иерархий каталогов из дисковых образов и оверлеёв. systemd-networkd теперь умеет настраивать сотовые соединения через ModemManager (APN, PIN, роуминг).

Добавили фреймворк metrics для сбора статистики через Varlink и утилиту systemd-report. В logind и udev появилась концепция xaccess для удалённого доступа к GPU. UKI-образы для ARM64 научились автоматически подбирать DeviceTree по ID оборудования.

Из мелочей: в unit-ы добавили PrivateUsers=managed, MemoryTHP и BindNetworkInterface. Повысили требования к версиям (ядро 5.10+, glibc 2.34+).

🥸 Linux / Линукс: 📱 Telegram | 📱 ВК | 📲 MAX 🙂

Linux / Линукс 🥸

В России делают САПР на Astra Linux

Группа компаний (НКК, Rubius, ТУСУР, «Интегральные решения») по заказу Минпромторга разрабатывает первую отечественную САПР для проектирования сверхвысокочастотных (СВЧ) интегральных схем. После ухода зарубежных вендоров в России не осталось инструментов для проектирования таких схем. Разработчики планируют повторить функциональность зарубежных Keysight ADS или AWR Microwave Office.

Система закроет все этапы от схемы и топологии до моделирования и анализа. Прототип уже готов, полнофункциональная версия появится в конце 2026 года. САПР будет работать на отечественных ОС, включая Astra Linux 1.8.2+. В 2027 году её начнут тестировать на производстве, а затем интегрируют с комплектами средств проектирования фабрики «Светлана-Рост». В планах есть поддержка распределённых вычислений и генерация схем на основе ИИ.

🥸 Linux / Линукс: 📱 Telegram | 📱 ВК | 📲 MAX 🙂

Linux / Линукс 🥸

После восьми месяцев разработки представлен стабильный релиз протокола Wayland 1.25

Документацию перевели из DocBook в mdBook, полностью описали диалект XML, модель обновления контента и возможности управления цветом. В библиотеку добавили функцию wl_display_dispatch_pending_single() для обработки одного события из очереди, а в протокол добавили новый запрос wl_surface.get_release для уведомлений о высвобождении буфера, привязанный к моменту отрисовки.

В наборе Wayland-Protocols появились расширения xx-input-method и xx-text-input. Первое позволяет приложениям реализовывать методы ввода для композитных серверов (виртуальные клавиатуры, IME), второе даёт композитным серверам возможность отправлять текст в приложения и управлять фокусом, языком и типом контента. Также доработаны протоколы color-management-v1 и color-representation-v1 для поддержки HDR и управления цветом.

За время между релизами экосистема Wayland сделала большой шаг вперёд: GNOME 50 полностью удалил поддержку X11, KDE Plasma 6.8 прекращает её, JetBrains переводит IDE на Wayland по умолчанию, Xfce анонсировал свой композитный сервер Xfwl4, Budgie и Cinnamon тоже дозрели до Wayland. В Wine добавили поддержку буфера обмена, методов ввода и прозрачности на Wayland. Обновились композитные серверы: Weston 15.0, River 0.4.0, Hyprland 0.54, labwc 0.9.4, Niri 25.11 и другие.

🥸 Linux / Линукс: 📱 Telegram | 📱 ВК | 📲 MAX 🙂

🌸 Поздравляю всёх с дефолтным Новым годом!

Сегодня, 20 марта 2026 года, Вселенная готовится выполнить аппаратный сброс. Через несколько часов Солнце пересечет небесный экватор. Наступит весеннее равноденствие... дефолтный Новый год ☀️

Вы когда-нибудь задумывались, почему мы празднуем смену года 1 января? Что физически, астрономически происходит в этот день? А ни-че-го. В логах мироздания не меняется ровным счетом ноль. Это абсолютно синтетическая дата.

А вот сегодня мы наблюдаем трушный рестарт системы прямо своими глазами... тайминги выравниваются (световой день строго равен ночи), флора и фауна выходят из режима гибернации (если выехать из города), а главный NTP-сервер Солнечной системы синхронизирует время для всей планеты. Идеальный баланс нагрузки 🌞... точнее не бывает.

Как же мы докатились до 1 января? Всё началось в Древнем Риме. Изначально год логично стартовал в марте, вместе с аппаратным пробуждением природы. Но потом пришли древние эффективные менеджеры, которым было бюрократически неудобно вступать в должность весной из-за логистики и военных кампаний.

Они просто взяли и выкатили кривой патч сразу в прод, жестко захардкодив начало финансового и административного года на 1 января. А чтобы костыль работал, сдвинули весь массив месяцев.

Оцените весь прикол и иронию... значения в массиве они сдвинули на индекс +2, а вот названия переменных переименовать забыли. В итоге мы до сих пор живем с античным легаси в календаре:

Сентябрь (septem - семь) - ВНЕЗАПНО стал 9-м месяцем 🏥
Октябрь (octo - восемь) - 10-м.
Ноябрь(novem - девять) - 11-м.
Декабрь (decem - десять) - 12-м.

Следовательно, если считать от марта, то Январь это 11-й месяц, а Февраль истинный 12-й, конец года.

А високосный год? Раз в 4 года небесный cron понимает, что накопилась погрешность в таймингах орбиты, и генерит один компенсирующий день. И куда технически грамотно аппендить этот лишний байт данных? Естественно, в самый конец массива... в последний день последнего месяца (февраля)! А не втыкать его грязным костылем прямо посреди первого квартала, как это выглядит в нашей текущей сломанной системе 🤬

Вот и получается... кривой костыль, архитектура кривая, техдолг копится тысячелетиями (со времен Цезаря), рефакторинг походу не предвидится, ибо глобальное правило (работает - не трогай) никто не отменяет тысячи лет 😬

Так что сегодня у нас есть легитимный, аппаратно подтвержденный повод отметить настоящий Новый Год без маркетингового булшита с оливье и йолками. Пусть этот новый астрономический цикл пройдет грамотно, на полном спокиче и без потери пакетов 👍

Синхронизируйте свои внутренние часы, закрывайте пятничные таски, накатывайте любимые напитки в кружки и уходите в заслуженный ридонли. С истинным рестартом!

Типичный ☀️ Сисадмин

Linux / Линукс 🥸

Введён в строй AI-сервис Sashiko для рецензирования изменений в ядре Linux

Роман Гущин (Google) представил Sashiko, систему автоматического рецензирования патчей для ядра Linux, работающую на базе LLM. Система уже несколько месяцев используется внутри Google, а теперь запущена для всех патчей, отправляемых в список рассылки разработчиков ядра.

Sashiko написан на Rust (лицензия Apache 2.0), самодостаточен и может работать на своём железе. Пока завязан на Google Gemini Pro 3.1 (частично тестировали с Claude), промпты основаны на наработках Криса Мейсона (создателя Btrfs). Инфраструктуру и токены оплачивает Google, права на проект переданы Linux Foundation.

В тестах на 1000 реальных багов (помеченных «Fixes:») Sashiko нашёл 53.6% проблем, которые изначально пропустили люди. Уровень ложных срабатываний не выше 20%. Рецензирование идёт в 9 стадий: архитектурные проблемы, нарушения UAPI, логические ошибки, утечки памяти, гонки, дедлоки, переполнения буферов и специфичные драйверные проблемы.

Linux / Линукс 🥸

Linux / Линукс 🥸

Linux Foundation раздаст $12,5 млн на безопасность открытого ПО

Linux Foundation объявила о выделении грантов на общую сумму $12,5 млн для поддержки сопровождающих открытых проектов и разработки инструментов безопасности. Средства переданы Anthropic, AWS, GitHub, Google, Google DeepMind, Microsoft и OpenAI. Распределением займутся проекты Alpha-Omega и OpenSSF, созданные под эгидой Linux Foundation.

Деньги пойдут на аудит, скоординированное раскрытие уязвимостей, разработку инструментов, публикацию лучших практик и выявление угроз. Инициатива призвана помочь сопровождающим справиться с лавиной сообщений об уязвимостях (многие из которых генерируются AI) и предоставить им дополнительные ресурсы в условиях усложнения процесса обеспечения безопасности.

Alpha-Omega и OpenSSF будут напрямую работать с сообществами, чтобы встроить новые инструменты безопасности в существующие рабочие процессы открытых проектов.

Linux / Линукс 🥸

Линуксоиды среди нас

Linux / Линукс 🥸

Ребята из LinuxToaster выкатили NoClaw. Это брутальный манифест Unix-философии для Mac Mini. Никаких монструозных фреймворков, только набор крошечных однозадачных утилит на C, которые общаются между собой через старые добрые пайпы.

Вместо мутных хабов с плагинами обычные текстовые файлы. Утилиты дергают нативные приложения macOS (календарь, контакты, заметки) и вообще не подозревают о существовании друг друга. Но главная фича - это режим тихого ассистента. Скрипт тихо сидит в фоне, читает ваши переписки в iMessage, выцепляет оттуда даты или обещания и молча закидывает их в календарь.

Модель крутится локально прямо на Apple Silicon, выдает сотню токенов в секунду и не сливает ваши личные сообщения в облако. Безопасность здесь строится не на корпоративных гайдлайнах и сложных песочницах, а на том факте, что весь исходник можно прочитать глазами за один вечер. А если ИИ вдруг решит сойти с ума, его восстание заканчивается банальным нажатием Ctrl+C в терминале.

🥸 Новости IT: 📱 Telegram | 📱 ВК | 📲 MAX

Включили бы DLSS для этого парня?

Linux / Линукс 🥸

Google вводит 24-часовую задержку при установке apk из непроверенных источников

В сертифицированных сборках Android после внедрения обязательной регистрации разработчиков Google добавит новый процесс установки сторонних приложений из вручную загруженных apk. Пользователю нужно будет включить режим разработчика, перезагрузить устройство и подождать 24 часа, и только после этого появится возможность разрешить установку на срок 7 дней или бессрочно. При каждой установке неподтверждённого приложения будет выводиться предупреждение о рисках.

Цель якобы в том, чтобы усложнить жизнь мошенникам, которые заставляют жертв быстро установить вредоносный пакет по телефону. Дополнительно останется возможность установки через adb (с подключением к компьютеру). Для энтузиастов и студентов введут бесплатную регистрацию с ограничением до 20 устройств на аккаунт.

Верификация разработчиков (платная, $25, с подтверждением личности) станет обязательной в Бразилии, Индонезии, Сингапуре и Таиланде с сентября 2026 года, а с 2027-го во всех остальных странах.

И всё же, по кому это бьет больше: по мошенникам или всё же по независимому опенсорцу?

🥸 Linux / Линукс: 📱 Telegram | 📱 ВК | 📲 MAX 🙂