Debian обязал все новые пакеты поддерживать воспроизводимые сборки

Команда релизов Debian объявила: воспроизводимая пересборка пакетов стала обязательной. В сборочную систему внесены изменения, блокирующие перенос новых пакетов, не поддерживающих воспроизводимую сборку. В репозитории testing также запрещено обновление пакетов с регрессиями.

В Debian 13 (36 427 исходных пакетов) уровень повторяемых сборок — 96,9% (x86_64) и 96,8% (ARM64). В testing провалены тесты для 1141 пакета (3%), у 7952 пакетов (21%) возникли общие проблемы при компиляции.

Воспроизводимые сборки позволяют убедиться, что распространяемые бинарные файлы собраны из исходных текстов без скрытых изменений (компрометация компилятора или сборочной инфраструктуры).

Linux / Линукс 🥸

Новый reCAPTCHA требует Google Play Services: устройства без них (GrapheneOS, старые iPhone) не пройдут проверку

Google анонсировала новое поколение reCAPTCHA, заменяющее выбор картинок на сканирование QR-кода смартфоном. Для прохождения требуется устройство с относительно новыми версиями iOS/iPadOS (не ниже 16.4) или Android с проприетарным пакетом Google Play Services. Альтернативные прошивки без сервисов Google (например, GrapheneOS) и iPhone старше 16.4 не смогут пройти проверку.

Технически метод основан на API Play Integrity (Android) и App Attest (Apple) — аттестации аппаратного обеспечения, подтверждающей, что устройство не модифицировано и сертифицировано.

GrapheneOS считает, что это подавление конкуренции и попытка построения дуополии Apple/Google. Формально в GrapheneOS можно запустить Google Play Services в изолированном sandbox-окружении, но Google блокирует Play Integrity на таких устройствах, так как проект не лицензировал Google Mobile Services и отказывается выполнять антиконкурентные правила, уже признанные незаконными в Южной Корее.

Вот так, проприетарные интырнеты, в которые чтобы зайти, нужно иметь строго проприетарный смартфон со строго определёнными характеристиками...

Linux / Линукс 🥸

Linux / Линукс 🥸

Microsoft выпустила Azure Linux 3.0.20260506 с обновлённым ядром 6.6.137 и поддержкой Lua в Wireshark

Microsoft опубликовала ежемесячное обновление дистрибутива Azure Linux 3.0.20260506 — универсальной базовой платформы для облачных и edge-систем, а также для мини-дистрибутива WSLg (графика в WSL2). Размер установочного образа 770 МБ, поддерживаются aarch64 и x86_64.

Основные изменения: в репозиторий добавлены пакеты ignition и rust-afterburn; Wireshark пересобран с поддержкой Lua; для arm64 включена опция CONFIG_IKCONFIG_PROC (/proc/config.gz); улучшена live-миграция в QEMU; в PackageBuild.yml добавлен параметр extraMacrosFiles. Обновлены ядро Linux 6.6.137.1, clamav, containerd2, cups, erlang, go 1.26.2, mysql и другие.

Azure Linux использует systemd, RPM/DNF, поддерживает атомарные обновления через rpm-ostree и включает механизмы безопасности по умолчанию (seccomp, подпись пакетов, рандомизация ASLR, защита от переполнений, _FORTIFY_SOURCE, фильтрация iptables и запрет загрузки модулей ядра после инициализации).

Linux / Линукс 🥸

NVIDIA выпустила CUDA-oxide: компилятор Rust → PTX для нативных GPU-ядер

Компания NVIDIA опубликовала альфа-выпуск инструментария CUDA-oxide, позволяющего компилировать код на Rust напрямую в ядра CUDA PTX для выполнения на GPU. Инструментарий включает бэкенд для rustc (атрибут #[kernel]), систему сборки (cargo oxide build), набор Rust-абстракций для GPU (индексация, shared memory, барьеры, атомарные операции, TMA) и crate-пакеты для хоста (управление памятью, запуск ядер).

Ядра пишутся на обычном Rust, но в окружении no_std (только libcore и специальные абстракции). Поддерживаются примитивные типы, структуры, перечисления, кортежи, массивы, слайсы, итераторы, замыкания, дженерики. Не поддерживаются String, Vec, Box, макросы format!/panic!, трейт-объекты и системные вызовы.

Уровни безопасности: safe, unsafe и низкоуровневые инструкции. Производительность GEMM на B200 — 868 TFLOPS (58% от cuBLAS).

Linux / Линукс 🥸

Ratty: 3D терминал для кастомизации 🐀

Он имеет вращающийся 3D-курсор в виде крысы, 3D-режимы отображения и поддержку встроенной 3D-графики непосредственно в терминальном пространстве.

GitHub: https://github.com/orhun/ratty

Linux / Линукс 🥸

GitLab сокращает персонал и реструктурируется под эру AI-агентов

Руководитель GitLab объявил о грядущем сокращении персонала и реструктуризации. Компания уходит из 30% стран (оставляя там партнёрскую сеть), убирает лишние уровни менеджмента и создаёт 60 небольших автономных команд R&D. Новая система ценностей: скорость с качеством, мышление собственника, клиентоориентированность. Премии — до 10% от зарплаты. Сотрудникам, не согласным с политикой, предлагают уволиться добровольно до 18 мая.

GitLab оптимизируют для трёх режимов работы: разработка человеком, использование AI-агентов человеком и автономная работа AI-агентов. Платформа получит API для AI-агентов, оркестровку их работы, контроль и аудит, а также единую AI-модель (написание кода, рецензирование, планирование, проверка безопасности). Вводится оплата по факту потребления ресурсов AI-агентами.

Linux / Линукс 🥸

В dnsmasq нашли 6 критических уязвимостей: отравление DNS-кэша и выполнение кода с правами root

Разработчики выпустили срочное обновление dnsmasq 2.92rel2, закрывающее шесть уязвимостей. Самые опасные из них позволяют атакующему выполнить код с правами root, перенаправить трафик на подконтрольный сервер или полностью остановить DNS-сервис.

Эта программа используется повсюду: в роутерах, в Android и даже в инфраструктуре виртуальных машин. Главная опасность в том, что некоторые уязвимости (например, в функционале ответов DNS) можно использовать удаленно, даже не имея доступа к локальной сети .

▪️ CVE-2026-4892 (Выполнение кода): Уязвимость в обработке DHCPv6. Переполнение буфера позволяет локальному атакующему получить полный доступ к системе .
▪️ CVE-2026-2291 (Отравление кэша): Переполнение буфера в функции extract_name(). Позволяет подменить IP-адрес для любого сайта, перенаправляя пользователей на фишинговые страницы .
▪️ CVE-2026-4893 (Обход проверок): Неправильная аутентификация. Позволяет обойти встроенные механизмы безопасности и подменить маршрут DNS-ответа .
▪️ CVE-2026-4890 (Отказ в обслуживании): Бесконечный цикл в DNSSEC. Один специальный пакет может полностью остановить работу dnsmasq на удаленном сервере .
▪️ CVE-2026-4891 (Утечка данных): Выход за границы буфера в DNSSEC. Позволяет извлечь из памяти сервера конфиденциальные данные .
▪️ CVE-2026-5172 (Аварийное завершение): Чтение за пределами буфера. Приводит к падению сервиса при обработке некорректного ответа .

Для защиты обновите dnsmasq до версии 2.92rel2 или выше (версия 2.93 уже в разработке) и проверьте обновления от производителя: если вы используете роутер, модем или Android-устройство, проверьте сайт производителя на наличие новой прошивки.

Linux / Линукс 🥸

Linux / Линукс 🥸

Клон диспетчера задач Windows для GNU/Linux под названием Tux Manager

Он написан на Qt и оптимизирован для скорости и малого объема занимаемого места. В разделе релизов репозитория есть пакеты для Debian, Ubuntu, EL, Fedora и AppImage.

Код и дополнительные скриншоты: https://github.com/benapetr/TuxManager

Linux / Линукс 🥸

В ядре Linux выявлена четвёртая за две недели уязвимость (CVE-2026-46300), позволяющая локальному пользователю получить права root через перезапись страничного кэша. Эксплоит работает.

Уязвимость (кодовое имя Fragnesia / Copy Fail 3.0) находится в подсистеме xfrm (ESP-in-TCP, RFC 8229). Ошибка возникла в результате случайной активации исправлением уязвимости Dirty Frag. При использовании алгоритма AES-GCM операция XOR выполнялась прямо в страничном кэше без должных проверок, что позволяло перезаписывать 1 байт по выбранному смещению. Повторением операции можно изменить любой файл.

Условия эксплуатации:
- требуется разрешение на создание пространств имён пользователей (user namespace). В Ubuntu это запрещено по умолчанию, но может быть разрешено через kernel.apparmor_restrict_unprivileged_userns=0.
- Исправлений пока нет. Обходная защита — заблокировать загрузку модулей esp4/esp6:

  sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 2>/dev/null; true"

Linux / Линукс 🥸

Уязвимость в процессорах AMD Zen 2 позволяет повысить привилегии и обойти изоляцию виртуальных машин

AMD раскрыла информацию об уязвимости CVE-2025-54518 в процессорах на базе микроархитектуры Zen 2, связанной с повреждением кэша объектных кодов. Уязвимость позволяет выполнить инструкции CPU на более высоком уровне привилегий, что даёт возможность из пользовательского пространства выполнить код с правами ядра или из виртуальной машины получить доступ к хост-системе. Проблема вызвана некорректной изоляцией совместно используемых ресурсов при работе с кэшем.

Уязвимость проявляется только в процессорах AMD Zen 2 (Fam17h). Она затрагивает гипервизор Xen (ветки с 4.17 по 4.21, уже выпущены патчи) и ядро Linux (исправления переданы). В десктопных, мобильных и встраиваемых процессорах (Ryzen 3000/4000/5000/7020/7030, Threadripper PRO 3000 WX, Ryzen Embedded V2000) уязвимость устранена на уровне прошивки осенью–декабрем 2025 года. Однако для серверных процессоров серии AMD EPYC 7002 проблема остаётся неисправленной — её предлагается блокировать на уровне операционной системы.

Linux / Линукс 🥸

В Exim обнаружена критическая уязвимость (CVE-2026-45185), позволяющая удалённо выполнить код на сервере

В почтовом сервере Exim выявлена уязвимость, получившая название «Dead.Letter» (CVE-2026-45185). Она позволяет неаутентифицированному злоумышленнику удалённо выполнить произвольный код на сервере. Проблема затрагивает версии Exim с 4.97 по 4.99.2, собранные с библиотекой GnuTLS (такие сборки используются по умолчанию в Debian и Ubuntu). Сборки с OpenSSL не подвержены уязвимости.

Уязвимость типа use-after-free возникает в механизме передачи данных BDAT (chunked data transfer). Атака состоит из следующих шагов:
1. Злоумышленник устанавливает TLS-соединение с сервером.
2. В процессе передачи тела письма командой BDAT он отправляет уведомление close_notify, инициируя преждевременное завершение TLS-сеанса.
3. Сразу после этого, в том же TCP-соединении, отправляется один байт в открытом (незашифрованном) виде.
Это приводит к повреждению кучи (heap corruption), что открывает возможность для выполнения вредоносного кода.

Атака не требует аутентификации и может быть проведена через стандартный SMTP-порт.

Единственным надёжным способом защиты является обновление Exim до версии 4.99.3, в которой проблема устранена. Также необходимо следить за выходом обновлений от вашего дистрибутива, исправления уже доступны для Debian bullseye, bookworm и trixie.

Если установка обновления невозможна, в качестве временной меры можно отключить расширение CHUNKING. Для этого в конфигурационный файл Exim необходимо добавить строку:

chunking_advertise_hosts =

Это не устраняет уязвимость, а лишь блокирует один из векторов атаки. Сервер всё ещё может быть подвержен риску.

Linux / Линукс 🥸

Linux / Линукс 🥸

Linux / Линукс 🥸

Вышли обновления nginx 1.31.0 (основная ветка) и 1.30.1 (стабильная ветка), устраняющие шесть уязвимостей

Критическая CVE-2026-42945 (переполнение буфера в ngx_http_rewrite_module) позволяет удалённо выполнить код с правами рабочего процесса nginx через специально оформленный URI. Уязвимость проявляется в конфигурациях с директивой rewrite, в которой используются неименованные переменные (например, $1 и $2) при наличии символа ? в заменяющей строке. Пример уязвимой конфигурации:

rewrite ^/users/([0-9]+)/profile/(.*)/profile.php?id=1&tab=$2 last;

Проблема присутствует с версии 0.6.27 (март 2008 года). Конфигурации с именованными подстановками ($user_id) не уязвимы.

Другие уязвимости: CVE-2026-42926 (подстановка данных в проксируемый запрос с HTTP/2), CVE-2026-40701 (use-after-free в ssl_ocsp), CVE-2026-42946 (чтение за пределами буфера в uwsgi/scgi), CVE-2026-42934 (чтение за пределами буфера в charset_map), CVE-2026-40460 (спуфинг IP в HTTP/3).

Из новых возможностей в 1.31.0: модуль ngx_http_tunnel_module (forward proxy через CONNECT), директива least_time в upstream, proxy_ssl_alpn в stream_proxy.

Linux / Линукс 🥸