GitLab сокращает персонал и реструктурируется под эру AI-агентов

Руководитель GitLab объявил о грядущем сокращении персонала и реструктуризации. Компания уходит из 30% стран (оставляя там партнёрскую сеть), убирает лишние уровни менеджмента и создаёт 60 небольших автономных команд R&D. Новая система ценностей: скорость с качеством, мышление собственника, клиентоориентированность. Премии — до 10% от зарплаты. Сотрудникам, не согласным с политикой, предлагают уволиться добровольно до 18 мая.

GitLab оптимизируют для трёх режимов работы: разработка человеком, использование AI-агентов человеком и автономная работа AI-агентов. Платформа получит API для AI-агентов, оркестровку их работы, контроль и аудит, а также единую AI-модель (написание кода, рецензирование, планирование, проверка безопасности). Вводится оплата по факту потребления ресурсов AI-агентами.

Linux / Линукс 🥸

В dnsmasq нашли 6 критических уязвимостей: отравление DNS-кэша и выполнение кода с правами root

Разработчики выпустили срочное обновление dnsmasq 2.92rel2, закрывающее шесть уязвимостей. Самые опасные из них позволяют атакующему выполнить код с правами root, перенаправить трафик на подконтрольный сервер или полностью остановить DNS-сервис.

Эта программа используется повсюду: в роутерах, в Android и даже в инфраструктуре виртуальных машин. Главная опасность в том, что некоторые уязвимости (например, в функционале ответов DNS) можно использовать удаленно, даже не имея доступа к локальной сети .

▪️ CVE-2026-4892 (Выполнение кода): Уязвимость в обработке DHCPv6. Переполнение буфера позволяет локальному атакующему получить полный доступ к системе .
▪️ CVE-2026-2291 (Отравление кэша): Переполнение буфера в функции extract_name(). Позволяет подменить IP-адрес для любого сайта, перенаправляя пользователей на фишинговые страницы .
▪️ CVE-2026-4893 (Обход проверок): Неправильная аутентификация. Позволяет обойти встроенные механизмы безопасности и подменить маршрут DNS-ответа .
▪️ CVE-2026-4890 (Отказ в обслуживании): Бесконечный цикл в DNSSEC. Один специальный пакет может полностью остановить работу dnsmasq на удаленном сервере .
▪️ CVE-2026-4891 (Утечка данных): Выход за границы буфера в DNSSEC. Позволяет извлечь из памяти сервера конфиденциальные данные .
▪️ CVE-2026-5172 (Аварийное завершение): Чтение за пределами буфера. Приводит к падению сервиса при обработке некорректного ответа .

Для защиты обновите dnsmasq до версии 2.92rel2 или выше (версия 2.93 уже в разработке) и проверьте обновления от производителя: если вы используете роутер, модем или Android-устройство, проверьте сайт производителя на наличие новой прошивки.

Linux / Линукс 🥸

Linux / Линукс 🥸

Клон диспетчера задач Windows для GNU/Linux под названием Tux Manager

Он написан на Qt и оптимизирован для скорости и малого объема занимаемого места. В разделе релизов репозитория есть пакеты для Debian, Ubuntu, EL, Fedora и AppImage.

Код и дополнительные скриншоты: https://github.com/benapetr/TuxManager

Linux / Линукс 🥸

В ядре Linux выявлена четвёртая за две недели уязвимость (CVE-2026-46300), позволяющая локальному пользователю получить права root через перезапись страничного кэша. Эксплоит работает.

Уязвимость (кодовое имя Fragnesia / Copy Fail 3.0) находится в подсистеме xfrm (ESP-in-TCP, RFC 8229). Ошибка возникла в результате случайной активации исправлением уязвимости Dirty Frag. При использовании алгоритма AES-GCM операция XOR выполнялась прямо в страничном кэше без должных проверок, что позволяло перезаписывать 1 байт по выбранному смещению. Повторением операции можно изменить любой файл.

Условия эксплуатации:
- требуется разрешение на создание пространств имён пользователей (user namespace). В Ubuntu это запрещено по умолчанию, но может быть разрешено через kernel.apparmor_restrict_unprivileged_userns=0.
- Исправлений пока нет. Обходная защита — заблокировать загрузку модулей esp4/esp6:

  sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 2>/dev/null; true"

Linux / Линукс 🥸

Уязвимость в процессорах AMD Zen 2 позволяет повысить привилегии и обойти изоляцию виртуальных машин

AMD раскрыла информацию об уязвимости CVE-2025-54518 в процессорах на базе микроархитектуры Zen 2, связанной с повреждением кэша объектных кодов. Уязвимость позволяет выполнить инструкции CPU на более высоком уровне привилегий, что даёт возможность из пользовательского пространства выполнить код с правами ядра или из виртуальной машины получить доступ к хост-системе. Проблема вызвана некорректной изоляцией совместно используемых ресурсов при работе с кэшем.

Уязвимость проявляется только в процессорах AMD Zen 2 (Fam17h). Она затрагивает гипервизор Xen (ветки с 4.17 по 4.21, уже выпущены патчи) и ядро Linux (исправления переданы). В десктопных, мобильных и встраиваемых процессорах (Ryzen 3000/4000/5000/7020/7030, Threadripper PRO 3000 WX, Ryzen Embedded V2000) уязвимость устранена на уровне прошивки осенью–декабрем 2025 года. Однако для серверных процессоров серии AMD EPYC 7002 проблема остаётся неисправленной — её предлагается блокировать на уровне операционной системы.

Linux / Линукс 🥸

В Exim обнаружена критическая уязвимость (CVE-2026-45185), позволяющая удалённо выполнить код на сервере

В почтовом сервере Exim выявлена уязвимость, получившая название «Dead.Letter» (CVE-2026-45185). Она позволяет неаутентифицированному злоумышленнику удалённо выполнить произвольный код на сервере. Проблема затрагивает версии Exim с 4.97 по 4.99.2, собранные с библиотекой GnuTLS (такие сборки используются по умолчанию в Debian и Ubuntu). Сборки с OpenSSL не подвержены уязвимости.

Уязвимость типа use-after-free возникает в механизме передачи данных BDAT (chunked data transfer). Атака состоит из следующих шагов:
1. Злоумышленник устанавливает TLS-соединение с сервером.
2. В процессе передачи тела письма командой BDAT он отправляет уведомление close_notify, инициируя преждевременное завершение TLS-сеанса.
3. Сразу после этого, в том же TCP-соединении, отправляется один байт в открытом (незашифрованном) виде.
Это приводит к повреждению кучи (heap corruption), что открывает возможность для выполнения вредоносного кода.

Атака не требует аутентификации и может быть проведена через стандартный SMTP-порт.

Единственным надёжным способом защиты является обновление Exim до версии 4.99.3, в которой проблема устранена. Также необходимо следить за выходом обновлений от вашего дистрибутива, исправления уже доступны для Debian bullseye, bookworm и trixie.

Если установка обновления невозможна, в качестве временной меры можно отключить расширение CHUNKING. Для этого в конфигурационный файл Exim необходимо добавить строку:

chunking_advertise_hosts =

Это не устраняет уязвимость, а лишь блокирует один из векторов атаки. Сервер всё ещё может быть подвержен риску.

Linux / Линукс 🥸

Linux / Линукс 🥸

Linux / Линукс 🥸

Вышли обновления nginx 1.31.0 (основная ветка) и 1.30.1 (стабильная ветка), устраняющие шесть уязвимостей

Критическая CVE-2026-42945 (переполнение буфера в ngx_http_rewrite_module) позволяет удалённо выполнить код с правами рабочего процесса nginx через специально оформленный URI. Уязвимость проявляется в конфигурациях с директивой rewrite, в которой используются неименованные переменные (например, $1 и $2) при наличии символа ? в заменяющей строке. Пример уязвимой конфигурации:

rewrite ^/users/([0-9]+)/profile/(.*)/profile.php?id=1&tab=$2 last;

Проблема присутствует с версии 0.6.27 (март 2008 года). Конфигурации с именованными подстановками ($user_id) не уязвимы.

Другие уязвимости: CVE-2026-42926 (подстановка данных в проксируемый запрос с HTTP/2), CVE-2026-40701 (use-after-free в ssl_ocsp), CVE-2026-42946 (чтение за пределами буфера в uwsgi/scgi), CVE-2026-42934 (чтение за пределами буфера в charset_map), CVE-2026-40460 (спуфинг IP в HTTP/3).

Из новых возможностей в 1.31.0: модуль ngx_http_tunnel_module (forward proxy через CONNECT), директива least_time в upstream, proxy_ssl_alpn в stream_proxy.

Linux / Линукс 🥸

Линуксоид уговаривает своего друга накатить пингвина 🥸

Ветка KDE Plasma 6.7 перешла на стадию бета-тестирования, релиз намечен на 16 июня. Кодовая база заморожена, принимаются только исправления.

В состав включён интерфейс Plasma Bigscreen для устройств, подключаемых к телевизорам (управление с пультов ДУ или голосом). Добавлен унифицированный движок стилей Union с тремя слоями: входные плагины (разбор SVG/CSS), промежуточная библиотека (модель данных) и выходные плагины (отрисовка для QtQuick/Qt Widgets). По умолчанию входной формат — CSS вместо SVG. Новая реализация темы Breeze на CSS уже готова.

Реализована полноценная поддержка сохранения и восстановления сеансов на Wayland (через xdg-session-management из Wayland-Protocols 1.48). Добавлена возможность независимого переключения виртуальных рабочих столов на каждом мониторе. Появился режим ввода диакритических знаков и спецсимволов через всплывающую подсказку при удержании клавиши (работает при включённой виртуальной клавиатуре).

В KWin добавлена поддержка multi-GPU swapchain и Vulkan в DRM-бэкенде, протокола xx-fractional-scale-v2 для дробного масштабирования, оптимизации программной отрисовки (нагрузка CPU в KDevelop при прокрутке снизилась с 80-90% до 20%). На системах с GPU Intel включена поддержка аппаратных overlay-плоскостей для повышения производительности и снижения энергопотребления.

Добавлены push-to-talk, проверка микрофона (запись и воспроизведение), обработчик KIO S3 для работы с S3-совместимыми облаками, скруглённый стиль выделения в QtWidgets-приложениях (Dolphin, Okular, KMail). В виджет часов добавлен вьетнамский лунный календарь. На странице настройки OpenVPN появились параметры сжатия, MTU, TLS и шифров. В конфигураторе — кнопка отзыва всех разрешений на запись скринкастов.

Linux / Линукс 🥸

Red Hat представил Hummingbird, защищённую rolling-редакцию Fedora на минималистичных контейнерах

Каждый контейнер включает только минимальный набор компонентов, необходимых для конкретной задачи (Python, Go, Node.js, Rust, PostgreSQL, nginx и др.). 95% пакетов собираются из Fedora Rawhide, а 5% напрямую из upstream-репозиториев, если в Rawhide нет самой свежей версии.

Большинство контейнеров работают по умолчанию под непривилегированным пользователем (без root). Поддерживаются воспроизводимые сборки. Для упрощения проверки поставляются source-контейнеры с исходным кодом и RPM. Сборка производится в изолированной сети.

Также развивается загрузочный образ bootc-os (на основе bootc-контейнеров), объединяющий компоненты Hummingbird, ядро от CKI и системные сервисы из Fedora. Вся система оформлена как OCI-контейнер, обновляется автоматически при каждой перезагрузке. Для запуска контейнеров используются Podman и Skopeo.

Linux / Линукс 🥸

Главное, чтобы терминал работал. Или же каждому свое?

Linux / Линукс 🥸

Французское правительство объявило, что они собираются заменить Windows на Linux.

Линуксоиды начали похороны 😂

Типичный 🥸 Сисадмин

Linux / Линукс 🥸