Релиз http-сервера Apache 2.4.66 с устранением 5 уязвимостей

Устранённые уязвимости (первые 2 имеют умеренный уровень опасности, а остальные низкий):

— CVE-2025-66200 - организация запуска CGI-скрипта под другим пользователем в конфигурациях с mod_userdir и suexec через манипуляции с директивой "RequestHeader" в файле .htaccess (если разрешено её использование .htaccess).

— CVE-2025-59775 - SSRF-уязвимость (Server-Side Request Forgery), приводящая к утечке NTLM-хэша на другой сервер при использовании Apache httpd на платформе Windows в конфигурациях c настройками "AllowEncodedSlashes On" и "MergeSlashes Off".

— CVE-2025-65082 - переопределение переменных окружения для CGI-скриптов из-за некорректного экранирования управляющих символов (выставление переменных в настройках может переопределить значения переменных, вычисленные сервером для CGI).

— CVE-2025-58098 - передача экранированной строки запроса в SSI (Server Side Includes) директиву "<!--#exec cmd=...-->" в конфигурациях с mod_cgid вместо mod_cgi.

— CVE-2025-55753 - отправка непрерывных (без задержки между запросами) повторных ACME-запросов обновления сертификата в модуле mod_md после большого числа сбоев при попытке обновления просроченного сертификата.

Linux / Линукс 🥸

В GNOME реализовали восстановление приложений, запущенных до закрытия сеанса

В кодовую базу, на основе которой формируется релиз GNOME 50, принят набор изменений с реализацией возможности восстановления приложений, запущенных в прошлом сеансе. В менеджер сеансов gnome-session добавлен режим для сохранения списка запущенных приложений во время завершения сеанса и восстановления их окон (запуска приложений) в последующем сеансе. В конфигуратор добавлен соответствующий переключатель, позволяющий отключить данное поведение.

Linux / Линукс 🥸

Вышли кандидаты в релизы Wine 11 и Wine-staging 11

Команда Wine опубликовала первые кандидаты в релиз Wine 11.0 и его расширенной версии Staging. Это значит, что код заморожен, и финальный выпуск ожидается во второй половине января.

Основные улучшения включают обновление Wine Mono до версии 10.4.0, свежие локализации и поддержку 64-битного модуля для сканеров. Также починили баги в старом Photoshop CS2, Office 2013 и играх вроде Resident Evil 2 и Mass Effect.

Linux / Линукс 🥸

Вышел nftables 1.1.6, наследник iptables

Опубликован новый релиз пакетного фильтра nftables 1.1.6 и его низкоуровневой библиотеки libnftnl 1.3.1. Этот инструмент - современная замена старому семейству iptables, объединяющая фильтрацию для IPv4, IPv6, ARP и мостов под одним синтаксисом.

nftables работает по такой схеме: правила компилируются в байт-код в пользовательском пространстве, а затем выполняются в лёгкой виртуальной машине прямо в ядре. Это сокращает код в ядре и делает логику гибче.

Основные изменения:

— Обеспечена полная поддержка шаблонов легковесных туннелей, таких как vxlan, geneve и erspan.
— Добавлена поддержка масок в именах сетевых интерфейсов в обработчиках netdev.
— На системах с ядром Linux 6.18+ реализована поддержка передачи L2-кадров в интерфейс сетевых мостов для локальной обработки.
— Добавлена новая инфраструктура для fuzzing-тестирования с использованием инструментария afl++ (american fuzzy lop++), включаемая на этапе сборки через "./configure --with-fuzzer".

Linux / Линукс 🥸

Выпуск Proxmox Datacenter Manager 1.0

Proxmox представил стабильный релиз нового продукта Proxmox Datacenter Manager (PDM) 1.0. Это отдельный дистрибутив для централизованного управления множеством независимых кластеров Proxmox VE через единый веб-интерфейс и CLI.

Весь серверный бэкенд и утилиты написаны на Rust, а веб-интерфейс использует фреймворк Yew для WebAssembly. Дистрибутив основан на Debian 13.2 с ядром Linux 6.17 и OpenZFS 2.3.4. Ключевая техническая особенность - возможность live-миграции виртуальных машин между разными физическими кластерами, а не только внутри одного. Система оптимизирована для работы с огромным масштабом, демонстрируя в тестах управление более чем пятью тысячами хостов и десятью тысячами виртуальных машин.

Функционал включает централизованный сбор и кэширование метрик, систему RBAC для управления доступом, сводные журналы аудита и мощный поиск по ресурсам с синтаксисом, похожим на Elasticsearch. Также реализован единый доступ по SSH ко всем управляемым узлам прямо из интерфейса PDM и начальная поддержка программно-определяемых сетей (SDN) на базе EVPN для организации сетевого взаимодействия между кластерами. По сути, это гипервизор второго порядка, превращающий разрозненные инсталляции в единый пул ресурсов.

Linux / Линукс 🥸

Представлен терминальный HTTP-клиент с сочетаниями клавиш Vim

Разработчик Оуэн Хохвальд представил открытый проект Volt. Это терминальный HTTP-клиент, где для работы используются сочетания клавиш текстового редактора Vim. Решение написано на Go и использует фреймворк Bubble Tea TUI. Проект обеспечивает отзывчивый интерфейс, не жертвуя скоростью и простотой командной строки.

Автор инструмента пояснил, что Volt подходит для разработчиков, которые:
▪️ работают в терминале и не любят переключение контекста;
▪️ хотят использовать функции Postman без наворотов Electron ;
▪️ любят сочетания клавиш Vim и управляемые с клавиатуры рабочие процессы ;
▪️ нуждаются в быстром HTTP-клиенте с возможностью написания скриптов и красивым пользовательским интерфейсом.

Linux / Линукс 🥸

Jolla представила Linux-смартфон с физическим переключателем приватности

Финская компания Jolla после долгого перерыва по выпуску новых телефонов объявила о начале приёма предзаказов на смартфон Jolla Phone, который может поступить в продажу уже в следующем году — при условии сбора достаточного числа предзаказов. Устройство работает на базе мобильной ОС Sailfish и позиционируется как независимый европейский Linux-проект, реализуемый совместно с сообществом (Do It Together, DIT), которое им будет пользоваться.

В Jolla подчёркивают, что в основе системы лежит настоящий Linux, а не его упрощённая или модифицированная версия, и заявляют об отсутствии встроенной телеметрии, аналитики или автоматических обращений к удалённым серверам. При этом смартфон поддерживает установку Android-приложений, но пользователь, если пожелает, может полностью исключить из системы сервисы Google, уточняет GSMArena.

Технические характеристики Jolla Phone включают однокристальную систему MediaTek (SoC), 12 Гбайт оперативной памяти и 256 Гбайт встроенной памяти с возможностью расширения через microSD-карту. Экран — 6,36-дюймовый FullHD AMOLED с плотностью пикселей 390 ppi и защитным стеклом Gorilla Glass. На задней панели установлены две камеры: основная с разрешением 50 Мп и ультраширокоугольная на 13 Мп, разрешение фронтальной камеры не раскрывается.

Аккумулятор ёмкостью 5500 мА·ч является съёмным, как и задняя панель корпуса, которая будет доступна в трёх цветах: «Снежно-белый» (Snow White), «Чёрный Каамос» (Kaamos Black) и «Оранжевый» (The Orange). Среди прочих функций указывается боковой сканер отпечатков пальцев, поддержка NFC, сетей 5G, двух SIM-карт и физический переключатель приватности, позволяющий отключать микрофон, камеру и Bluetooth.

Производство Jolla Phone начнётся только при условии достижения 2000 предзаказов до 4 января 2026 года. На момент анонса уже поступило свыше 1200 предварительных заказов. Предзаказ доступен с авансовым платёжом в 99 евро, а полная стоимость устройства составит 499 евро (около 44 600 рублей) для ранних покупателей. Розничная цена впоследствии будет находиться в диапазоне от 599 до 699 евро.

Поставки смартфона планируются к концу первого полугодия 2026 года, изначально — на рынки Великобритании, Норвегии, Швейцарии и стран ЕС, с возможностью расширения географии в зависимости от спроса.

Linux / Линукс 🥸

Обновление Postfix 3.10.7 с устранением проблемы со сборкой в новых дистрибутивах Linux

Опубликованы корректирующие выпуски поддерживаемых веток почтового сервера Postfix 3.x - 3.10.7, 3.9.8, 3.8.14 и 3.7.19. В новых версиях устранена проблема со сборкой из исходного кода, возникающая в новых версиях дистрибутивов Linux, перешедших на набор компиляторов GCC 15, по умолчанию переведённого на использование стандарта С23.

Проблема в том, что в стандарте С23 определено новое зарезервированное ключевое слово "bool", которое сопоставлено с типом, имеющим размер 1 байт. В коде Postfix определён собственный тип "bool", сопоставленный с типом "int", имеющим размер 4 байта. Попытка сборки Postfix компилятором в режиме С23 завершается ошибкой из-за переопределения типа "bool". В находящейся в разработке ветке Postfix 3.11 реализована поддержка нового типа "bool". Так как связанное с поддержкой нового типа "bool" изменение охватывает много строк кода, решено не переносить его в стабильные ветки, а добавить при вызове gcc и clang флаг компиляции "-std=gnu17" для использования стандарта C17.

Linux / Линукс 🥸

Первая реакция каждого разработчика на Linux по-прежнему актуальна

Linux / Линукс 🥸

Стабильность, которую ждали полвека... драйверы GPIB вышли из беты спустя 53 года и официально вошли в ядро Linux 🎩

В грядущем релизе Linux 6.19 произошло историческое событие, доказывающее, что в опенсорсе никто не забыт и ничто не забыто. Драйверы для шины GPIB (General Purpose Interface Bus), которую HP представила миру еще в далеком 1972 году, наконец-то переехали из тестовой ветки staging в основной состав ядра 🥳 Потребовалось всего-то 53 года с момента изобретения технологии и год активной чистки кода, чтобы признать этот интерфейс достаточно стабильным для мейнлайна.

Для понимания масштаба... этот параллельный интерфейс со скоростью 8 МБ/с появился, когда Линуса Торвальдса еще не было в планах. Тем не менее, GPIB до сих пор жив в научных лабораториях, соединяя винтажные осциллографы, мультиметры и спектроанализаторы с внешним миром. Раньше приходилось собирать модули вручную из исходников времен SourceForge и ядра 2.4, но теперь поддержка железа предков будет работать без танцев.

Где-то в подвале НИИ сейчас открыл шампанское один бородатый инженер... наконец-то можно обновить ядро на стенде, не переписывая мейкфайлы для вольтметра.

Типичный 🥸 Сисадмин

Вышла Bcachefs 1.33.0. Файловая система получает самую крупную доработку за два года

Главная новинка релиза 1.33.0 - новый механизм reconcile (также называемый rebalance_v2). В отличие от старой системы rebalance, которая занималась только данными, reconcile умеет ребалансировать и метаданные. Это критически важно при добавлении новых дисков в пул. Теперь файловая система автоматически перенесёт на них не только данные, но и служебную информацию. Кроме того, механизм применяется ко всем операциям ввода-вывода, а не только к фоновым задачам, и сразу реагирует на изменение настроек или деградацию данных.

Теперь можно создать Bcachefs на одном диске с параметром replicas=2, а при добавлении второго диска система сама начнёт реплицировать на него данные — без ручных команд. Для контроля добавлены утилиты reconcile status и reconcile wait.

Другие ключевые изменения:

▪️ Подготовка кода к будущему переходу на Rust: число операций goto сокращено с 2500 до 600, для работы с ошибками внедрён макрос try(), а вместо самописных векторов теперь используется макрос DARRAY().

▪️ Улучшена диагностика: сообщения об ошибках теперь чётко разделяют программные и аппаратные сбои, предлагают действия по восстановлению и выводят коды ошибок от дисков. Появились индикаторы прогресса для всех стадий восстановления, а команда bcachefs fs usage корректно отображает состояние деградировавших данных.

▪️ Переработана система логирования с раздельными лимитами для разных типов ошибок, чтобы важные аппаратные сбои не терялись в потоке программных предупреждений.

Linux / Линукс 🥸

В Rust-репозитории crates.io выявлены четыре вредоносных пакета

Разработчики языка Rust предупредили о выявлении в репозитории crates.io пакетов finch-rust, sha-rust, evm-units и uniswap-utils, содержащих вредоносный код.

Пакет evm-units включал код для загрузки вредоносных компонентов, нацеленных на кражу криптовалюты. Вредоносный пакет был размещён в апреле 2025 года и был загружен 7257 раз. Пакет uniswap-utils также был загружен в апреле, был загружен 7441 раз и использовал evm-units в качестве зависимости. Вредоносный код активировался при вызове функции get_evm_version() и приводил к загрузке внешнего кода по ссылке "https://download[.]videotalks[.]xyz/gui/6dad3/...". В Linux и macOS загружался и запускался скрипт init, а в Windows - init.ps1.

Пакет sha-rust был размещён в каталоге 20 ноября, был загружен 153 раза и содержал код для поиска и отправки на внешний сервер конфиденциальных данных. Пакет finch-rust включал оригинальный код из пакета finch, в который был добавлен вызов функции "sha_rust::from_str()", при выполнении которой выполнялся обфусцированный обработчик, отправляющий на сервер "https://rust-docs-build[.]vercel[.]app/api/v1" информацию о системе, переменные окружения, а также содержимое config.toml, id.json и файлов с расширением ".env" (например, production.env, staging.env и dev.env с токенами доступа).

25 ноября в crates.io также был размещён пакет finch-rust, использующий sha-rust в качестве зависимости и созданный для тайпсквоттинг-атаки на пользователей легитимного пакета finch, рассчитывая, что пользователь не обратит внимание на отличие в названии, найдя пакет через поиск или выбрав из списка.

Linux / Линукс 🥸