😱 Критический Удар по Кибербезу: США Останавливают Финансирование CVE.

Правительство США (через DHS/CISA) прекращает финансирование программы CVE (Common Vulnerabilities and Exposures), оператором которой является MITRE. Контракт истёк вчера, 16 апреля. Да, *той самой* программы CVE, которая присваивает уникальные идентификаторы (CVE-2014-0160, CVE-2017-5754 и т.д.) всем известным мировым уязвимостям в софте и железе.

Почему это катастрофа (потенциально)?

* CVE – фундамент глобального управления уязвимостями. На эти ID опираются вендоры, исследователи, сканеры безопасности, системы патч-менеджмента, регуляторы – практически все в ИБ.
* Риск хаоса: Без централизованной системы присвоения ID может начаться путаница, как в "старые добрые" времена до CVE, когда каждая компания называла одну и ту же дыру по-своему. Представьте себе патчинг или комплаенс в таких условиях. В прошлом году было опубликовано >40 000 новых CVE!
* Неопределенность: Неясно, будут ли публиковаться новые CVE, будет ли работать сайт программы (cve.mitre.org), как будут обновляться базы уязвимостей (NVD)? Исторические данные CVE, к счастью, останутся доступны на GitHub.

Что дальше? Пока неясно. MITRE подтвердила окончание финансирования, но заявила о приверженности программе. Компания VulnCheck (один из CNA – центров присвоения CVE) превентивно зарезервировала 1000 ID на 2025 год, но этого хватит максимум на 1-2 месяца работы MITRE. Вероятно, потребуется вмешательство всей индустрии или поиск новых источников финансирования. Причина – поиск администрацией Трампа статей для урезания федерального бюджета.

Похоже, скоро главным инструментом для трекинга уязвимостей снова станет Excel-таблица 😨

Типичный 🥸 Сисадмин

Linux / Линукс 🥸

Manjaro Linux 25.0 и альфа-выпуск атомарной редакции Manjaro Summit

Что в Manjaro 25.0:
— Графические оболочки: KDE 6.3, GNOME 48 (с HDR), Xfce 4.20;
— Ядро 6.14 + LTS-версии 6.1/6.6;
— BoxIt: репозитории по типу Git + доступ к AUR;
— ARM-поддержка.

Manjaro Summit (альфа):
— Атомарные обновления: система как монолитный образ → обновляется целиком раз в неделю;
— Btrfs + откаты: при сбое автоматический роллбек на прошлую версию;
— Только UEFI и GNOME (пока что). KDE и Xfce — через шаблоны:
arkdep deploy manjaro-summit-kde → и вуаля!
— Flatpak и Distrobox: сторонние приложения в песочнице, чтобы не сломать систему.

⚠️ Особенности Summit:
— Pacman? Только на свой страх: установленные пакеты исчезнут после обновления;
— Размер образа: 2 ГБ (в 2 раза меньше базовой Manjaro);
— Arkdep: инструмент на Bash для управления слоями (типа arkdep layer firefox).

Linux / Линукс 🥸

Oracle выпустила ядро Unbreakable Enterprise Kernel 8 на базе Linux 6.12 LTS

Решение UEK R8 — это вариант ядра Linux, развиваемого для использования в дистрибутиве Oracle Linux в качестве альтернативы штатному пакету с ядром из Red Hat Enterprise Linux. Ядро UEK R8 доступно только для архитектур x86_64 и ARM64 (aarch64). Исходный код ядра, включая разбивку на отдельные патчи, опубликован в публичном Git‑репозитории Oracle.

Пакет Unbreakable Enterprise Kernel 8 основан на ядре Linux 6.12 (выпуск UEK R7 базировался на ядре 5.4, а в бета‑версии RHEL 10 предлагалось ядро 6.11), которое дополнено новыми возможностями, оптимизациями и исправлениями, а также проверено на совместимость с большинством приложений, работающих в RHEL, и оптимизировано для работы с промышленным программным обеспечением и оборудованием Oracle. Установочные и src‑пакеты с ядром UEK R8 подготовлены для Oracle Linux 9.5 (нет никаких препятствий по использованию данного ядра в аналогичных версиях RHEL, CentOS, Alma Linux и Rocky Linux).

Ключевые новшества Unbreakable Enterprise Kernel 8 включают в себя DTrace 2.0, ASMLib, отдельные оптимизации управления памятью, поддержку новых возможностей Intel Software Guard Extensions (SGX) и некоторые улучшения в Btrfs. В UEK 8 также теперь по умолчанию размер базовой страницы составляет 64 КБ на AArch64 вместо 4 КБ, CFS заменён планировщиком EEVDF.

Linux / Линукс 🥸

Релиз Ubuntu 25.04 Plucky Puffin (Отважный Тупик) на базе ядра Linux 6.14 и рабочего окружения GNOME 48. Сборки проекта доступны в вариациях Ubuntu Desktop, Server, Kubuntu, Lubuntu, Ubuntu Budgie, UbuntuKylin, Ubuntu MATE, Ubuntu Studio, Ubuntu Unity и Xubuntu.

Некоторые изменения:

▪️ В Ubuntu Desktop вместо Evince для просмотра PDF предложена программа Papers (форк Evince, переведённый на GTK4 и частично переписанный на языке Rust).
▪️ По умолчанию задействована обвязка xdg-terminal-exec, упрощающая замену эмулятора терминала, вызываемого комбинацией клавиш Ctrl+Alt+T.
▪️ Отключено по умолчанию звуковое сопровождение запуска системы.
▪️ После сворачивания проекта Mozilla Location Service, сервисы определения местоположения переведены на использование БД BeaconDB с информацией о размещении известных точек беспроводного доступа.
▪️ Вместо публикации отдельных сборок, специфичных для каждого ARM64-устройства, дистрибутив перешёл к предоставлению одного общего ISO-образа Ubuntu Desktop для устройств на базе архитектуры ARM64.
▪️ В репозиторий добавлен инструментарий crypto-config, предназначенный для работы с общим для всей системы профилем настроек, связанных с криптографией. В настоящее время доступны профили default, legacy и future.
И другие изменения.

Linux / Линукс 🥸

В ядре Linux 6.16 будет прекращена поддержка протокола DCCP

В состав ветки net-next, в которой накапливаются изменения для передачи в состав будущего выпуска ядра Linux 6.16, принято изменение, удаляющее поддержку сетевого протокола DCCP (Datagram Congestion Control Protocol). Поддержка netfilter-модулей для фильтрации пакетов DCCP сохранена. Протокол DCCP был стандартизирован и принят в состав ядра в 2006 году. Предполагалось, что DCCP позволит повысить эффективность потокового вещания и интернет-телефонии в перегруженных сетях, но на деле протокол оказался не востребован и не получил распространения.

Код DCCP в ядре остаётся без сопровождения уже пять лет, а изменения в последние годы ограничивались исправлениями из-за рефакторинга API ядра.

Удаление DCCP из ядра Linux устранит преграды, мешающие переработать структуру данных inet_connection_sock для повышения эффективности работы стека TCP.

Linux / Линукс 🥸

Linux / Линукс 🥸

Опубликована среда рабочего стола LXQt 2.2.0

После 6 месяцев разработки представлен релиз среды рабочего стола LXQt 2.2.0 (Qt Lightweight Desktop Environment), продолжающей развитие проектов LXDE и Razor-qt. Появление готовых сборок ожидается для Ubuntu (LXQt по умолчанию предлагается в Lubuntu), Arch Linux, Fedora, openSUSE, Mageia, FreeBSD, ROSA и ALT Linux.

В новой версии:

— Улучшена поддержка протокола Wayland. В конфигурациях с несколькими экранами обеспечено назначение экранам имён вместо порядковых номеров.
— Обновлён компонент lxqt-wayland-session, позволяющий запускать LXQt в сочетании с различными композитными менеджерами Wayland. Добавлена поддержка актуальных версий композитных серверов LabWC, WayFire, kwin_wayland, Sway, Hyprland, River и Niri.
— В файловом менеджере PCManFM-Qt предоставлена возможность указания собственных опций для запуска эмулятора терминала.
— В эмулятор терминала QTerminal и виджет QTermWidget добавлена поддержка мигающего текстового курсора и автоскрытия курсора мыши.
— Добавлена поддержка профилей энергопотребления, для обработки которых задействован фоновый процесс power-profiles-daemon.
— В LXQt Session добавлена защита от запуска второго экземпляра процесса lxqt-session для того же пользователя. Добавлен метод D-Bus для запуска приложений в сеансе LXQt.
— В LXQt Panel добавлена настройка для изменения цвета текста в области плагина "Custom Command", позволяющего запускать произвольные команды и показывать результат их работы в панели. — В меню приложений "Fancy Menu" добавлена поддержка навигации при помощи клавиш PageDown и PageUp.

Linux / Линукс 🥸

Linux / Линукс 🥸

Arch Linux заменит пакеты с СУБД Redis на форк Valkey в репозитории extra

Разработчики решили заменить в репозитории "extra" пакеты с СУБД Redis на пакеты с СУБД Valkey из-за перехода Redis на проприетарную лицензию. Проект Valkey развивает форк Redis, продолжающий использовать лицензию BSD и сопровождаемый организацией Linux Foundation при участии бывшего мэйнтейнера Redis. Valkey уже поставляется вместо Redis в дистрибутивах Debian 13, Ubuntu 24.10, Fedora 41, RHEL 10, Azure Linux 3 и Alpine 3.20.

В Arch Linux пакет "redis" будет находиться в репозитории "extra" ещё примерно две недели, после чего будет перемещён в пользовательский репозиторий AUR (Arch User Repository).

Linux / Линукс 🥸

Linux — это дорого и сложно: AWS и Google Cloud заявили, что вырваться из экосистемы Microsoft невероятно трудно

Компании, вложившие большие средства в ПО Microsoft, буквально не могут покинуть принадлежащее последней облако Azure, чтобы перейти в AWS или Google Cloud Platform вместо собственных серверов. Использовать ПО гиганта из Редмонда в облаках сторонних провайдеров из-за лицензионной политики Microsoft очень дорого, но и переписывать ПО для Linux, возможно, ещё дороже.

Google жалуется на искусственно созданную Microsoft привязку к Windows Server и SQL Server — на модернизацию и перенос таких систем на Linux «уйдут годы и годы». Фактически придётся переписать все приложения, годами создававшиеся под экосистему Microsoft.

Linux / Линукс 🥸

никогда не говорить о linux —> подарить пк с предустановленным linux

Linux / Линукс 🥸

Выпуск NTP-сервера NTPsec 1.2.4

После более года разработки опубликован выпуск сервера синхронизации точного времени NTPsec 1.2.4. Проект был создан как форк эталонной реализации протокола NTPv4 (NTP Classic 4.3.34), сфокусированный на переработке кодовой базы с целью повышения безопасности. Исходный код NTPsec распространяется под лицензиями BSD, MIT и NTP.

В новой версии:

— Добавлена настройка "extra port xxxx" для приёма запросов на дополнительном сетевом порту, помимо основного порта, настраиваемого через "nts port xxxx". Дополнительный порт может быть полезен для обхода блокировок обращения к внешним NTP-серверам, выставленных на межсетевых экранах.
— Добавлена поддержка сборки на Linux-системах с архитектурой armhf.
— Обеспечена поддержка работы ntpd на системах в режиме FIPS.
— Система сборки Waf обновлена до версии 2.1.4. В Debian установка утилит, написанных на Python, таких как ntpq и ntpmon, теперь осуществляется в каталог "/usr/local/lib/python3.xx/site-packages", а не в "/usr/local/lib/python3.xx/dist-packages". В команде "waf install" включено тестирование устанавливаемых исполняемых файлов, а через команду "waf configure --enable-Werror" теперь можно включить обработку предупреждений компилятора как ошибок.
— В качестве минимальной версии Python заявлен выпуск 2.7. Поддержку Python 2 планируют прекратить в следующей версии.
— По умолчанию применена опция "--disable-fuzz", отключающая механизм "Clock fuzzing" (внесение миллисекундных случайных смещений в отдаваемое клиентам время, не влияющих на общую точность, но не позволяющих злоумышленникам предсказать фактическое значение времени).
— Удалены остатки кода, связанного с работой в режимах broadcast и multicast.
— В ntpdig добавлена опция для привязки к указанному IP-адресу.
— В конфигурацию NTS-KE добавлена опция для настройки списка предпочтительных алгоритмов шифрования для TLS.
— Вместо ntp_adjtime задействован вызов ntp_gettime.

Linux / Линукс 🥸

Linux / Линукс 🥸

Обновление дистрибутива для одноплатных ПК DietPi 9.12

Изменения:

— В интерфейс DietPi-Software в список предлагаемых для установки приложений добавлен пакет Fish, который теперь можно использовать в качестве альтернативной командной оболочки.
— В скриптах DietPi при открытии текстовых файлов вместо редактора nano задействован вызов обработчика sensible-editor, использующий функциональность update-alternatives для выбора редактора на свой вкус (например, можно выбрать vim).
— В DietPi-Backup добавлена поддержка сохранения резервных копий на внешний хост при помощи SSHFS.
— Amiberry (эмулятор Amiga) обновлён до версии 7. Добавлен вариант Amiberry-Lite, рекомендуемый для плат ARM и RISC-V, отстающих по производительности от Raspberry Pi 4.
— В WiringPi (библиотека для GPIO) добавлена поддержка плат Orange Pi.
— В Spotify-клиент Spotifyd добавлена поддержка систем ARMv8 и x86_64.
— В RPi.GPIO (GPIO-библиотека для Raspberry Pi) для взаимодействия с GPIO задействован пакет python3-rpi-lgpio.
— В системе блокирования рекламы Pi-hole включён приём HTTPS-запросов на сетевом порту 8489.
— Решены проблемы в приложениях DietPi-Config, O!MPD и FreshRSS.

Linux / Линукс 🥸

Linux / Линукс 🥸

Уязвимость ядра Linux позволяет злоумышленникам повышать привилегии — опубликован PoC

Недавно обнаруженная уязвимость CVE-2024-53141 в структуре IP-наборов ядра Linux выявила критический недостаток в системе безопасности, который позволяет локальным злоумышленникам повышать привилегии и потенциально получать доступ с правами суперпользователя.

Уязвимость, получившая оценку CVSS 7,8, была обнаружена исследователями st424204 и d4em0n и затрагивает тип набора растровых изображений: ip в подсистеме netfilter.

Linux / Линукс 🥸

"Как научиться Линуксу"

Linux / Линукс 🥸

Выпуск Wine 10.6

Опубликован экспериментальный выпуск открытой реализации Win32 API - Wine 10.6. С момента выпуска 10.5 было закрыто 27 отчётов об ошибках и внесено 286 изменений.

Наиболее важные изменения:

— В командном интерпретаторе cmd.exe предложен новый лексический анализатор.
— В библиотеку Bcrypt добавлена поддержка PBKDF2, функции формирования ключа на базе пароля.
— В наборе библиотек WindowsCodecs расширена поддержка метаданных в файлах с изображениями (добавлены обработчики для полей GifComment, bKGD, gAMA, cHRM, hIST, tIME).
— Решена проблема с отрисовкой графики при использовании библиотеки gdiplus.
— Налажено корректное изменение размера виртуального рабочего стола.
— Закрыты отчёты об ошибках, связанные с работой некоторых игр и приложений. — Решены проблемы с клавиатурным вводом и выставлением фокуса в играх на базе движка Unity.

Linux / Линукс 🥸

Linux / Линукс 🥸

14 уязвимостей в библиотеке libsoup, используемой в GNOME

В библиотеке libsoup, развиваемой проектом GNOME, выявлено 14 уязвимостей. Libsoup предоставляет реализации клиента и сервера HTTP, использующие GObjects для интеграции с приложениями GNOME.

Одна из уязвимостей (CVE-2025-32911) приводит к двойному освобождению памяти (double-free) в функции soup_message_headers_get_content_disposition() и теоретически может быть эксплуатирована для удалённого выполнения своего кода при обработке специально оформленных запросов от HTTP-клиента к серверу, использующему libsoup. Проблема устранена в версии libsoup 3.6.3.

12 проблем приводят к переполнению буфера при выполнении операций чтения или разыменованию указателя NULL, т.е. ограничиваются отказом в обслуживании (атакующий может вызвать аварийное завершение приложения, использующего libsoup.

Одна проблема (CVE-2025-32907) вызвана некорректной обработкой заголовка Range и позволяет клиенту инициировать чрезмерное потребление памяти на сервере.

Linux / Линукс 🥸