Вышли обновления nginx 1.31.0 (основная ветка) и 1.30.1 (стабильная ветка), устраняющие шесть уязвимостей

Критическая CVE-2026-42945 (переполнение буфера в ngx_http_rewrite_module) позволяет удалённо выполнить код с правами рабочего процесса nginx через специально оформленный URI. Уязвимость проявляется в конфигурациях с директивой rewrite, в которой используются неименованные переменные (например, $1 и $2) при наличии символа ? в заменяющей строке. Пример уязвимой конфигурации:

rewrite ^/users/([0-9]+)/profile/(.*)/profile.php?id=1&tab=$2 last;

Проблема присутствует с версии 0.6.27 (март 2008 года). Конфигурации с именованными подстановками ($user_id) не уязвимы.

Другие уязвимости: CVE-2026-42926 (подстановка данных в проксируемый запрос с HTTP/2), CVE-2026-40701 (use-after-free в ssl_ocsp), CVE-2026-42946 (чтение за пределами буфера в uwsgi/scgi), CVE-2026-42934 (чтение за пределами буфера в charset_map), CVE-2026-40460 (спуфинг IP в HTTP/3).

Из новых возможностей в 1.31.0: модуль ngx_http_tunnel_module (forward proxy через CONNECT), директива least_time в upstream, proxy_ssl_alpn в stream_proxy.

Linux / Линукс 🥸

Линуксоид уговаривает своего друга накатить пингвина 🥸

Ветка KDE Plasma 6.7 перешла на стадию бета-тестирования, релиз намечен на 16 июня. Кодовая база заморожена, принимаются только исправления.

В состав включён интерфейс Plasma Bigscreen для устройств, подключаемых к телевизорам (управление с пультов ДУ или голосом). Добавлен унифицированный движок стилей Union с тремя слоями: входные плагины (разбор SVG/CSS), промежуточная библиотека (модель данных) и выходные плагины (отрисовка для QtQuick/Qt Widgets). По умолчанию входной формат — CSS вместо SVG. Новая реализация темы Breeze на CSS уже готова.

Реализована полноценная поддержка сохранения и восстановления сеансов на Wayland (через xdg-session-management из Wayland-Protocols 1.48). Добавлена возможность независимого переключения виртуальных рабочих столов на каждом мониторе. Появился режим ввода диакритических знаков и спецсимволов через всплывающую подсказку при удержании клавиши (работает при включённой виртуальной клавиатуре).

В KWin добавлена поддержка multi-GPU swapchain и Vulkan в DRM-бэкенде, протокола xx-fractional-scale-v2 для дробного масштабирования, оптимизации программной отрисовки (нагрузка CPU в KDevelop при прокрутке снизилась с 80-90% до 20%). На системах с GPU Intel включена поддержка аппаратных overlay-плоскостей для повышения производительности и снижения энергопотребления.

Добавлены push-to-talk, проверка микрофона (запись и воспроизведение), обработчик KIO S3 для работы с S3-совместимыми облаками, скруглённый стиль выделения в QtWidgets-приложениях (Dolphin, Okular, KMail). В виджет часов добавлен вьетнамский лунный календарь. На странице настройки OpenVPN появились параметры сжатия, MTU, TLS и шифров. В конфигураторе — кнопка отзыва всех разрешений на запись скринкастов.

Linux / Линукс 🥸

Red Hat представил Hummingbird, защищённую rolling-редакцию Fedora на минималистичных контейнерах

Каждый контейнер включает только минимальный набор компонентов, необходимых для конкретной задачи (Python, Go, Node.js, Rust, PostgreSQL, nginx и др.). 95% пакетов собираются из Fedora Rawhide, а 5% напрямую из upstream-репозиториев, если в Rawhide нет самой свежей версии.

Большинство контейнеров работают по умолчанию под непривилегированным пользователем (без root). Поддерживаются воспроизводимые сборки. Для упрощения проверки поставляются source-контейнеры с исходным кодом и RPM. Сборка производится в изолированной сети.

Также развивается загрузочный образ bootc-os (на основе bootc-контейнеров), объединяющий компоненты Hummingbird, ядро от CKI и системные сервисы из Fedora. Вся система оформлена как OCI-контейнер, обновляется автоматически при каждой перезагрузке. Для запуска контейнеров используются Podman и Skopeo.

Linux / Линукс 🥸

Главное, чтобы терминал работал. Или же каждому свое?

Linux / Линукс 🥸

Французское правительство объявило, что они собираются заменить Windows на Linux.

Линуксоиды начали похороны 😂

Типичный 🥸 Сисадмин

Linux / Линукс 🥸

Fedora Council отозвал решение о Fedora AI Developer Desktop из-за проприетарных компонентов NVIDIA CUDA

Управляющий совет Fedora отозвал ранее принятое решение о создании официальной редакции Fedora AI Developer Desktop. Изначально все 6 членов совета проголосовали за, но после критики сообщества двое изменили голоса. Единогласия нет, поэтому и утверждение отложено до конференции Flock 2026 (14–16 июня).

Недовольство кроется в намерении включить в состав сторонние модули ядра и проприетарные компоненты для поддержки NVIDIA CUDA. Это нарушает сложившийся консенсус по поставке сторонних модулей ядра и идеологию проекта, не приветствующего проприетарное ПО и привязку к одному производителю. Также остаётся вопрос, кто будет поддерживать LTS-ветки ядра в этой редакции.

Один из изменивших голос участников считает, что изменение стратегии требует согласования с инженерами и юристами. Возможное решение, а именно переход на штатный драйвер Nova (открытый драйвер NVIDIA), готовность которого ожидается к концу года.

Лидер проекта Fedora предложил публиковать позиции совета до голосования, чтобы сообщество могло отреагировать.

Linux / Линукс 🥸

Microsoft 3D Movie Maker портирован на Linux как 3DMMEx

Энтузиаст портировал классическое приложение 3D Movie Maker (код открыт Microsoft в 2022 году под MIT) для Linux под именем 3DMMEx. Привязка к Windows API заменена на SDL, ассемблерные вставки переписаны на C++. Добавлена поддержка 64-битных x86_64 и ARM64, компиляторов Visual Studio 2022, Clang и GCC. Сохранён классический антураж, но улучшена работа с мышью, добавлены новые комбинации клавиш и импорт высококачественного звука.

Linux / Линукс 🥸

Linux / Линукс 🥸

Новая уязвимость в pidfd позволяет читать /etc/shadow и SSH-ключи root

В ядре Linux выявлена уязвимость (пятая за последние две недели), позволяющая непривилегированному пользователю читать файлы, доступные только root. Уже опубликованы два рабочих эксплоита: sshkeysign_pwn читает закрытые SSH-ключи хоста (/etc/ssh/ssh_host_*_key), а chage_pwn — хэши паролей из /etc/shadow.

Проблема вызвана состоянием гонки в подсистеме pidfd. В момент между открытием файла suid root-программой и сбросом привилегий (через setreuid) возникает окно, когда __ptrace_may_access() пропускает проверку доступа, если task->mm = NULL после exit_mm(), но до exit_files(). В этом окне системный вызов pidfd_getfd считает, что uid вызывающего процесса совпадает с uid, которому разрешён доступ к файлу.

На проблему обращали внимание ещё в 2020 году, но она осталась неисправленной. CVE-идентификатор пока не присвоен, обновления ядра и дистрибутивов не опубликованы (ядра 7.0.7, 6.18.30 и 6.12.88 не защищены). Доступен только патч. Временные обходные пути: установить sysctl kernel.yama.ptrace_scope=1 или удалить suid root с утилит ssh-keysign и chage.

Linux / Линукс 🥸

Linux / Линукс 🥸

В еженедельном отчёте о разработке KDE представлены первые изменения для ветки Plasma 6.8 (релиз 14 октября), после того как ветка 6.7 ушла на бета-тестирование.

В сервер удалённого рабочего стола krdp (RDP) добавлен режим прогрессивного кодирования для клиентов, не поддерживающих H.264 или работающих на медленных каналах. Переключение между H.264 и прогрессивным кодированием динамическое, прогрессивный режим более эффективен для редактирования текста. Также в krdp внесены оптимизации производительности и снижения задержек.

В KWin добавлена поддержка протокола text-input версии 3.2 (дополнительные действия, флаг language, запросы показа/скрытия панели ввода, preedit_hint). В настройках виртуальной клавиатуры теперь можно привязать её показ к наличию сенсорного экрана или планшета даже при подключённой мыши.

При создании скриншотов в избранное можно добавлять исключаемые окна (ранее только для скринкастов). Опция закрепления окна поверх других перемещена в основную часть контекстного меню заголовка. В Discover страница установленных программ по умолчанию разбита на категории. Уведомления теперь плавно выезжают сбоку и уезжают за край экрана (вместо затухания). Добавлено запоминание разрешения на захват устройства ввода. В Kickoff улучшен запуск приложений по Enter после поиска. Для SVG по умолчанию используется Gwenview вместо GIMP. Улучшена разблокировка смарткартой.

В Plasma 6.8 в виджет настройки беспроводной сети добавлена опция автоматического выбора канала при работе в режиме точки доступа.

Linux / Линукс 🥸

Linux / Линукс 🥸

Вышел экспериментальный выпуск Wine 11.9 🍷

Закрыто 24 отчёта об ошибках, внесено 197 изменений. В состав включена SQLite 3.51.1. Реализована начальная поддержка системных потоков (в ntdll добавлены функции для создания потока с использованием pthread). Добавлена поддержка приостановки потока в эмулируемом коде на ARM64. Улучшена совместимость с VBScript.

В драйвере winewayland.drv задействован Wayland-протокол wp_pointer_warp_v1 для мгновенного перемещения указателя. В d3d9 добавлена фиктивная инициализация vtbl для совместимости с BFME Online Arena.

Закрыты отчёты по приложениям: Lotus Notes 8.x, Photoshop CS 2, WinSCP, GOM Player и другим. По играм: Wargaming Game Center, Command & Conquer 3 и Red Alert 3.

В Wine Staging 11.9 проведена синхронизация с Wine 11.9, обновлён vkd3d. Перенесены патчи для сборки vkd3d с mingw и фиктивная инициализация vtbl в d3d9.

Linux / Линукс 🥸

MemOps 😃

Debian 13.5 и 12.14: свежие стабильные обновления 🥸

Вышли пятое корректирующее обновление Debian 13 и очередное обновление предыдущей стабильной ветки Debian 12.14.

Debian 13.5 включает 144 обновления для стабильности и 103 исправления уязвимостей. Обновлены до свежих стабильных версий пакеты apache2, openssl и systemd. Удалён пакет dav4tbsync (его функциональность теперь доступна в Thunderbird 140). Установочные сборки Debian 13.5 появятся в ближайшие часы.

Debian 12.14 включает 99 обновлений для стабильности и 145 исправлений уязвимостей. Обновлены до свежих стабильных версий пакеты 7zip, apache2, arduino-core-avr, dpkg, openssl, postgresql-15, wireless-regdb. Удалены пакеты suricata (актуальная версия в бэкпортах) и zulucrypt (остался без сопровождения и с неустранёнными уязвимостями).

Linux / Линукс 🥸