Уязвимость использует метод, напоминающий zip-бомбу, применяемую к функциональности сжатия заголовков в HTTP/2. Идея в том, что запрос может содержать тысячи сжатых заголовков, таких как "Cookie", без прикреплённых данных, каждый из которых в запросе представлен однобайтовой ссылкой в индексе HPACK, но на сервере требует полноценного выделения памяти под весь заголовок. Уровень расходования памяти в различных HTTP-серверах варьируется от примерно 70 байт на каждый байт в индексе для nginx, IIS и Pingora, до 4000 байт в Apache httpd и 5700 в Envoy. При атаке с потребительского компьютера, имеющего канал связи 100Mbps, для исчерпания 32 ГБ памяти требуется примерно 10 секунд при атаке на сервер с Envoy 1.37.2, 18 секунд - Apache httpd 2.4.67 и 45 секунд - nginx 1.29.7.

Для блокирования уязвимости в выпуске nginx 1.29.8 из проекта freenginx была перенесена директива max_headers, по умолчанию допускающая обработку не более 1000 заголовков. В Envoy исправление включено в состав выпусков 1.35.11 и 1.36.7, в которых реализованы лимиты mutable_max_request_headers_kb и max_headers_count. В Apache httpd исправление предложено в выпуске модуля mod_http2 2.0.41, который ещё не вошёл в релизы Apache httpd. Для Microsoft IIS и Cloudflare Pingora исправления пока отсутствуют. В качестве обходного пути защиты можно отключить использование протокола HTTP/2 и выставить ограничение на размер памяти, доступный для рабочих процессов.

Дополнение: HTTP-сервер Angie не подвержен уязвимости, поскольку перенес защиту от этой атаки из freenginx ещё в версии 1.8.0, вышедшей в 2024 году.

1. Главная ссылка к новости
2. OpenNews: Использование zip-бомбы для борьбы с вредоносными web-ботами
3. OpenNews: Представлена техника совершения DoS-атаки через отправку PNG-бомбы
4. OpenNews: Уязвимость в протоколе HTTP/2, задействованная в крупнейшей DDoS-атаке
5. OpenNews: Атака Continuation flood, приводящая к проблемам на серверах, использующих HTTP/2.0
6. OpenNews: Уязвимость в реализациях протокола HTTP/2, упрощающая проведение DoS-атак

Уязвимость присутствует в udev-обработчике libinput-device-group и вызвана отсутствием должного экранирования спецсимволов в атрибутах, получаемых от устройств и передаваемых в подсистему udev в форме "ключ=значение". Через подстановку символа перевода строки ("\n") в атрибут, можно добиться добавления своего правила udev, например, через выполнение uinput-команды UI_SET_PHYS("poc\n<SECOND_KEY>=<value>"). Для выполнения произвольных команд с правами root достаточно подобным способом подставить udev-правило со свойством "REMOVE_CMD", запускающем указанную команду после отключения устройства.

Для эксплуатации уязвимости атакующий должен иметь доступ к устройству /dev/uinput или /dev/uhid. Обычно доступ к uinput и uhid имеет только пользователь root, но в некоторых дистрибутивах поставляются udev-правила, позволяющие непривилегированным пользователям использовать uinput. Например, в Fedora подобные правила выставляются при установке пакетов steam-devices, antimicrox и kdeconnectd. Доступен прототип эксплоита.

1. Главная ссылка к новости
2. OpenNews: Уязвимость в libinput, приводящая к выполнению кода при подключении вредоносного устройства
3. OpenNews: Релиз Libinput 1.4 с реализацией всех запланированных функций

Из расширенных возможностей Privoxy можно отметить: возможность привязки тегов для изменения поведения фильтров в зависимости от отдельных клиентских и серверных HTTP-заголовков; режим инспектирования HTTPS, позволяющий фильтровать HTTPS-запросы и ответы; использование регулярных выражений в файлах конфигурации; возможность замены анимированных gif-ов на урезанные статические картинки. Privoxy может использоваться для блокирования рекламы и нежелательного контента на устройствах, на которых невозможно установить соответствующие браузерные дополнения.

Среди изменений в новом выпуске:

• В режиме инспектирования HTTPS включено по умолчанию использование ключей на базе эллиптических кривых (SN_X9_62_prime256v1) вместо RSA при генерации ключей и сертификатов для сайтов.
• Реализована возможность использования разных клиентских тегов для разных клиентов, работающих на том же хосте.
• Добавлена сборочная опция "--enable-acl-debugging" для добавления расширенных возможностей отладки ACL.
• Повышена эффективность работы фильтров за счёт применения отдельных связанных списков для разных типов фильтров.
• Во встроенный web-интерфейс добавлена возможность добавления и убирания внешних фильтров.
• Прекращена поддержка библиотеки mbedtls 2.x и версий OpenSSL до 2.0.
• Для "sourceforge" добавлен фильтр для скрытия панели вайб-кодинга.
• Исправлены две проблемы с безопасностью (CVE-идентификаторы не присвоены):
  • Переполнение буфера в функции parse_chunk_size(), проявляющееся при разборе размера блока данных при использовании "Chunked Transfer Encoding" в HTTP/1.0.
  • Переполнение стека в функции ssl_send_certificate_error() из-за сохранения сообщения об ошибке в стеке без учёта его размера.

1. Главная ссылка к новости
2. OpenNews: Выпуск фильтрующего прокси Privoxy 4.1.0
3. OpenNews: Стабильный релиз прокси-сервера Squid 7
4. OpenNews: Выпуск HTTP/TCP-балансировщика HAProxy 3.0
5. OpenNews: Выпуск Toxiproxy 2.6, прокси для проверки устойчивости приложений к сетевым проблемам

У пользователей Outlook была включена опция для обращения к почтовому серверу с использованием шифрования, но почтовый клиент при её выставлении продолжал использовать сетевой порт 110 для POP3, вместо смены номера порта на 995, применяемого для TLS-сеанса к серверу POP3, и не использовал расширение STARTTLS для переключения на TLS-сеанс. Некоторые старые конфигурации Outlook без вывода предупреждения игнорировали флаг включения TLS-шифрования в случае явного указания порта 110 и сразу отправляли команды USER и PASS открытым текстом. Наиболее старый выпуск Microsoft Outlook в котором замечено проявление проблемы датирован 2007 годом.

1. Главная ссылка к новости
2. OpenNews: Доступен IMAP-сервер Dovecot 2.4.0
3. OpenNews: Red Hat представил Hummingbird, защищённую редакцию Fedora на базе контейнеров
4. OpenNews: Пересмотр решения о создании редакции Fedora AI Developer Desktop
5. OpenNews: Microsoft развивает дистрибутив общего назначения Azure Linux 4 на базе Fedora Linux
6. OpenNews: В Fedora решено удалить пакеты со средой рабочего стола Deepin

Некоторые из регрессий в rsync 3.4.3:

• Начали завершаться с ошибкой команды для инкрементального создания резервных копий, в которых было указано несколько опций "--compare-dest";
• Стало невозможно собрать rsync на системах с ядрами Linux до версии 5.6 из-за задействования системного вызова openat2 (коммит 1, коммит 2);
• Перестал работать формат "хост::модуль/путь" (коммит).
• Перестали восприниматься команды, использующие опцию "--delete-missing-args" вместе с "--files-from" (коммит).
• При синхронизации стали выдаваться ошибки о нахождении значения modtime_nsec вне допустимого диапазона.
• Нарушилась сборка на старых версиях macOS.
• Изменилось поведение опции "--link-dest" (коммит).
• Возникли сбои при запуске в мультиплексоре терминалов tmux.

Эндрю Триджелл (Andrew Tridgell), основатель проектов samba и rsync, два года назад вернувшийся к сопровождению rsync и добавивший проблемные коммиты, опубликовал заметку с пояснением сложившейся ситуации. По словам Эндрю, проект rsync столкнулся с лавиной отчётов об уязвимостях, многие из которых были сгенерированы через AI. В релизе rsync 3.4.3 появление регрессий стало ценой устранения уязвимостей. Эндрю сознательно предпочёл исправить уязвимости, несмотря на то, что исправления могли нарушить работу некоторых редких, но корректных сценариев использования rsync. Подобные сценарии не покрывались старым тестовым набором и ручными проверками, поэтому регрессии остались не замеченными и будут устранены в следующим выпуске 3.4.4.

Возникшая ситуация побудила Эндрю модернизировать тестовый набор, ввести проверку покрытия кода и реализовать тестирование в системе непрерывной интеграции на разных платформах, а также выполнить анализ потенциальных уязвимостей. Так как Эндрю уже почти 60 лет и он предпочёл бы путешествовать на яхте, а не тратить своё время на устранение уязвимостей в rsync, он решил привлечь AI-ассистенты для выполнения рутинных задач в условиях свалившейся лавины сообщений об уязвимостях. Эндрю разработал архитектуру, план проверки и структуру нового тестового набора, после чего при помощи AI сгенерировал его на Python и заменил им ранее применявшийся тестовый shell-скрипт. При разработке использовалась модель Claude с ручной проверкой результата и перекрёстной проверкой в Codex и Gemini.

1. Главная ссылка к новости
2. OpenNews: Выпуск утилиты для синхронизации файлов Rsync 3.3.0. Эндрю Триджелл возвращается в проект
3. OpenNews: В состав OpenBSD добавлена собственная реализация rsync - openrsync
4. OpenNews: В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить код на сервере и клиенте
5. OpenNews: В состав macOS включён openrsync от проекта OpenBSD
6. OpenNews: Уязвимость в rsync, позволяющая повысить свои привилегии в системе

Реализация основана на коде проекта uutils (Rust Coreutils), развивающего вариант GNU Coreutils на языке Rust, а также реализациях утилит find и grep на Rust. Утилиты собраны в виде одного универсального исполняемого файла "C:\Program Files\coreutils\coreutils.exe", отдельные команды к которому привязаны при помощи жёстких ссылок в NTFS.

Из-за конфликта с имеющимися штатными утилитами Windows или привязки к специфичным возможностям из поставки исключены утилиты dd, dir, dircolors, shred, sync, uname, expand, kill, more, paste, timeout и whoami. Из состава также исключены утилиты, завязанные на не поддерживаемые в Windows концепции POSIX: chcon, chgrp, chmod, chown, chroot, groups, hostid, id, install, logname, mkfifo, mknod, nice, nohup, pathchk, pinky, runcon, stdbuf, stty, tty, users, who.

Из ограничений и особенностей отмечается необходимость использовать NUL вместо /dev/null, отсутствие поддержки сигналов (SIGHUP, SIGPIPE, SIGUSR), возможность создания символических ссылок только после включения режима для разработчика, недоступность некоторых операций с правами доступа. При работе с каталогами принимаются как пути с символом "/", так и c "\".

Одновременно представлен первый выпуск эмулятора терминала Intelligent Terminal, представляющего собой форк Windows Terminal с интегрированным AI-агентом. Поддерживается подключение AI-агентов, поддерживающих протокол ACP (Agent Client Protocol), таких как gitHub Copilot, Claude, Codex и Gemini. Код терминала написан на языках C++ и Rust, и открыт под лицензией MIT.

По функциональности терминал близок к Windows Terminal и также поддерживает вкладки, темы оформления, профили, комбинации клавиши разделение экрана на отдельные области. Из отличий выделяется отдельная статусная строка с состоянием AI-агента и возможностью быстрого обращения к нему, а также привязанная к контексту закрепляемая панель для взаимодействия с AI-агентом. Имеется возможность просмотра истории действий AI-агентов и переключения между разными AI-агентами. Упоминается возможность отправки в Microsoft телеметрии с информацией об использовании программы.

Дополнительно анонсирован проект по созданию системы для запуска Linux-контейнеров в Windows, реализованной на базе прослойки WSL (Windows Subsystem for Linux). Инструментарий предоставляет типовой интерфейс командной строки wslc и API для создания, развёртывания и запуска контейнеров на базе Linux из окружения Windows, а также для обращения к запущенным контейнерам из Windows. Первую ознакомительную версию WSL-контейнеров намерены опубликовать в ближайшие месяцы в составе одного из обновлений WSL. Так как WSL является открытым проектом, отслеживать разработку можно уже сейчас на GitHub.

1. Главная ссылка к новости
2. OpenNews: Выпуск GNU Coreutils 9.11
3. OpenNews: Microsoft развивает дистрибутив общего назначения Azure Linux 4 на базе Fedora Linux
4. OpenNews: Выпуск Cygwin 3.6.0, GNU-окружения для Windows
5. OpenNews: Microsoft открыл код Windows Subsystem for Linux и текстового редактора Edit
6. OpenNews: Microsoft открыл исходные тексты PowerShell и портировал для Linux

Например, на ноутбуке с 16 ГБ ОЗУ и видеокартой NVIDIA GeForce RTX 3070 с 8 ГБ VRAM через раздел подкачки можно задействовать дополнительные 7 ГБ памяти. В сочетании с применением модуля ядра zram для сжатого хранения раздела подкачки и подключением дополнительного раздела подкачки на SSD-накопителе общий размер адресуемой памяти в тестовой конфигурации доведён до 46 ГБ (при нехватке ОЗУ начинает использоваться видеопамять, затем привлекается сжатие при помощи zram и на последнем этапе задействуется подкачка на SSD). Производительность работы с видеопамятью при последовательном чтении оценивается примерно в 1.3 GB/s и задержками ниже NVMe из-за обращения к GPU по шине PCIe.

Реализация основана на применении фонового процесса nbd-vram, который выделяет VRAM через API драйвера CUDA и предоставляет системе доступ к полученной видеопамяти в форме блочного устройства на базе протокола NBD (Network Block Device). В ядре Linux используется встроенный драйвер nbd без загрузки собственных специализированных модулей. После создания блочного устройства /dev/nbdX, связанного с выделенной видеопамятью, на нём штатными утилитами создаётся раздел подкачки.

Для автоматизации запуска конфигурации с nbd-vram подготовлен инсталлятор и сервис systemd "vram-swap-nbd.service". Настройка сводится к заданию размера выделяемой видеопамяти и приоритета подкачки через переменные VRAM_SETUP_SIZE_MB и VRAM_SWAP_PRIORITY. Имеется опция для активации подкачки в видеопамяти только при подключении ноутбука к стационарному источнику питания, позволяющая экономить энергию в автономном режиме. Для работы nbd-vram требуется NVIDIA GPU c поддержкой CUDA (например, серии GeForce RTX и GTX), драйвер NVIDIA с библиотекой libcuda.so.1 (установка CUDA Toolkit не требуется), ядро Linux новее 3.0 и пакет nbd-client.

1. Главная ссылка к новости
2. OpenNews: Изменение настроек ядра Linux 6.12 привело к проблемам c zRAM в некоторых дистрибутивах
3. OpenNews: Атаки GDDRHammer и GeForge, искажающие память GPU для доступа ко всей памяти CPU
4. OpenNews: Доступна библиотека управления памятью jemalloc 5.3.1
5. OpenNews: Для Linux представлена технология Zswap для сжатого кеширования в системе подкачки
6. OpenNews: Ubuntu переходит на использование файла подкачки вместо раздела подкачки

Окружение дистрибутива построено на основе Sway - композитного менеджера, использующего протокол Wayland и полностью совместимого с мозаичным оконным менеджером i3, а также панели Waybar, файлового менеджера Thunar, и утилит из проекта NWG-Shell, таких как менеджер обоев рабочего стола Azote, полноэкранного меню приложений nwg-drawer, утилиты для вывода содержимого скриптов на экран nwg-wrapper (используется для отображения подсказки по горячим клавишам на рабочем столе), менеджера настройки тем GTK, курсора и шрифтов nwg-look и скрипта Autotiling, автоматически компонующего окна открытых приложений на манер динамических мозаичных оконных менеджеров.

В состав дистрибутива входят программы как с графическим интерфейсом, такие как Firefox, Qutebrowser, Audacious, Transmission, Libreoffice, Pluma и MATE Calc, так и консольные приложения и утилиты, такие как музыкальный проигрыватель Musikcube, видеопроигрыватель MPV, утилита для просмотра изображений Swayimg, утилита для просмотра документов PDF Zathura, текстовый редактор Neovim, файловый менеджер Ranger и другие.

Другой особенностью дистрибутива является полный отказ от использования пакетного менеджера Snap, все программы поставляются в виде обычных deb-пакетов, в том числе веб-браузер Firefox, для установки которого задействован официальный PPA-репозиторий Mozilla Team. Установщик дистрибутива основан на фреймворке Calamares.

Основные изменения:

• Sway обновлен до выпуска 1.11.
• Для систем с видеочипами NVIDIA по умолчанию задействован движок отрисовки на базе Vulkan.
• Задействован ряд утилит из графического окружения Xfce: вместо файлового менеджера PCmanFM установлен Thunar, утилита для просмотра изображений lximage-qt заменена на Ristretto, а архиватор Engrampa - на Xarchiver.
• Собственные скрипты для вывода уведомлений об изменении уровня громкости и яркости экрана заменены на утилиту SwayOSD.
• Из поставки удалены музыкальный проигрыватель Audacious и почтовый клиент Thunderbird.
• Сформирован установочный образ для архитектуры arm64, который можно использовать на UEFI-совместимых платах с процессорами ARM, таких как Ampere, а также в виртуальных машинах на компьютерах Mac с процессорами Apple Silicon.
• Внесён ряд улучшений в образ для одноплатных компьютеров Raspberry Pi.

1. Главная ссылка к новости
2. OpenNews: Релиз дистрибутива Ubuntu 26.04
3. OpenNews: Компания Canonical опубликовала монолитный дистрибутив Ubuntu Core 26
4. OpenNews: Релиз дистрибутива TileOS 2.0
5. OpenNews: Выпуск дистрибутива Ubuntu Sway Remix 25.10
6. OpenNews: Выпуск пользовательского окружения Sway 1.12

1. Главная ссылка к новости
2. OpenNews: SDL запретил приём кода от AI. Созданы форки Vim, избавленные от AI-изменений
3. OpenNews: Удалённо эксплуатируемые уязвимости в ядре FreeBSD, Vim и Emacs
4. OpenNews: Релиз текстового редактора Vim 9.2
5. OpenNews: Выпуск текстового редактора Neovim 0.10
6. OpenNews: Выпуск консольной среды разработки LazyVim 5

Целью проекта является предоставление высококачественных, эффективных и простых в использовании функций шумоподавления, которые можно применять для повышения качества результатов трассировки лучей. Предложенные фильтры позволяют на основании результата сокращённого цикла трассировки лучей получить итоговый уровень качества, сопоставимый с результатом более затратного и длительного процесса детализированного рендеринга.

Open Image Denoise обеспечивает отсеивание случайного шума, возникающего, например, при трассировке лучей на основе численного интегрирования по методу Монте-Карло (MCRT). Для достижения высокого качества рендеринга в подобных алгоритмах требуется проведение трассировки очень большого числа лучей, иначе на результирующем изображении появляются заметные артефакты в виде случайного шума.

Применение Open Image Denoise позволяет на несколько порядков сократить количество необходимых вычислений при расчёте каждого пикселя. В итоге, можно значительно быстрее сгенерировать изначально зашумлённое изображение, но затем довести его до приемлемого качества при помощи быстрых алгоритмов подавления шумов. При наличии соответствующего оборудования предложенный инструментарий можно применять даже для интерактивной трассировки лучей c устранением шумов на лету.

Библиотека может применяться на различных классах устройств, от ноутбуков и ПК, до узлов в кластерах. Реализация оптимизирована для различных классов 64-разрядных CPU Intel с поддержкой инструкций SSE4, AVX2, AVX-512 и XMX (Xe Matrix Extensions), чипов Apple Silicon и систем с GPU Intel Xe (серии Arc, Flex и Max), NVIDIA (на базе архитектур Turing, Ampere, Ada Lovelace, Hopper и Blackwell) и AMD (на базе архитектур RDNA2 (Navi 21), RDNA3 (Navi 3x), RDNA 3.5 и RDNA4). В качестве минимального требования заявлена поддержка SSE4.1.

Основные изменения в выпуске Open Image Denoise 2.5:

• Значительно повышена производительность и сокращено потребление памяти на GPU Intel с движком XMX (Xe Matrix eXtensions) и CPU Intel c поддержкой инструкций AMX-FP16.
• Добавлен API для импорта внешних семафоров из графических API Vulkan и Direct3D 12. В настоящее время поддержка ограничена устройствами с CUDA (в Windows и Linux) и HIP (в Windows). Поддержка устройств SYCL появится в одном из будущих выпусков.
• Добавлен флаг OIDN_EXTERNAL_MEMORY_TYPE_FLAG_DEDICATED для импорта специализированной внешней памяти.

1. Главная ссылка к новости
2. OpenNews: Intel опубликовал программу 3D-визуализации OSPRay Studio 1.0 и движок 3D-рендеринга OSPRay 3.1
3. OpenNews: Доступна библиотека устранения шума на изображениях Open Image Denoise 2.2
4. OpenNews: Intel выпустил движок распределённой трассировки лучей OSPRay 3.0

По мнению сопровождающего ScanCode успешному созданию клона способствовало наличие у проекта исчерпывающего автоматизированного тестового набора, включающего более 90 тысяч тестов, из которых 40 тысяч посвящены обнаружению использования тех или иных лицензий в коде. Авторы переписанной версии заявили о существенном повышении производительности (в 10-100 раз), но, по словам сопровождающего ScanCode, ценой ускорения стало неполное прохождение тестового набора, а также снижение корректности работы и полноты предоставляемой информации (клон выдавал некорректные результаты и находил не всю информацию при анализе).

Если в специальных тестах производительности Rust-порт существенно опережал ScanCode, то при прохождении стандартного тестового набора клон оказался медленнее, несмотря на то, что в нём пропускались некоторые проверки. После внесения в ScanCode оптимизаций, таких как кэширование, производительность ScanCode при сканировании кода стала не хуже, чем в клоне на Rust, при полном сохранении корректности работы.

Авторам клона также вменяется нарушение авторских прав и лицензии Apache 2.0, под которой распространяется код ScanCode. Отмечается, что в процессе переписывания были нарушены 4 основных требования лицензии: оставление оригинального файла с примечанием (NOTICE), сохранение упоминаний об авторских правах, выделение совершённых изменений и смена имени в производной работе. После замечания авторы клона разместили файл NOTICE и переименовали свой проект, но два нарушения пока остаются неустранёнными.

Сопровождающий ScanCode считает, что сообщество должно выработать критерии для разделения того, что при использовании AI считать производной работой, а что независимой реализацией. По его мнению, после переписывания кода на другом языке с сохранением алгоритмов и структуры результат продолжает оставаться производной работой, даже если в процессе были переименованы переменные и переделаны или удалены комментарии. Заявления авторов Rust-порта о независимой переработке, лишь вдохновлённой проектом ScanCode, в этом случае некорректно, так как работа нацелена на создание видимости оригинальной разработки, что даже хуже чем прямое копирование, так как подобные манипуляции сложнее обнаружить.

Значительной проблемой при генерации кода через AI называется отсутствие отслеживания происхождения кода, который был использован для получения результата. По умолчанию AI-агенты, использующие код из открытых проектов, игнорируют информацию об авторах, если специально не реализованы средства выявления и сохранения метаданных о лицензиях и авторстве. Проблема атрибуции затрагивает не только работу по переписыванию кода с одного языка на другой, но и генерацию кода в общем виде - результат в этом случае может достаточно точно повторять шаблоны из существующего открытого кода, используемого в процессе обучения модели.

1. Главная ссылка к новости
2. OpenNews: Переписывание кода при помощи AI для перелицензирования открытых проектов
3. OpenNews: Компоненты браузера Ladybird начали переписывать на Rust при помощи AI
4. OpenNews: Платформа Cal.com прекратила публиковать код из-за опасения выявления уязвимостей через AI
5. OpenNews: Служба здравоохранения Великобритании намерена закрыть свои репозитории с открытым кодом из-за AI
6. OpenNews: Компания Cloudflare представила EmDash, альтернативу WordPress с изоляцией плагинов

Окружение формируется из независимых подключаемых элементов, оформляемых в виде SDK, которыми можно делиться с другими пользователями через каталог SDK Store. Комбинируя свои и уже существующие SDK разработчик может задействовать в окружении желаемые языки программирования, библиотеки и инструменты. Например, предоставляются SDK для использования Ollama, OpenCode, NVIDIA CUDA и AMD ROCm. Для низкоуровневого управления окружениями в workshop задействован инструментарий управления контейнерами LXD 6.8.

1. Главная ссылка к новости
2. OpenNews: Сервисы Ubuntu и Canonical оказались недоступны из-за DDoS-атаки
3. OpenNews: Марк Шаттлворт анонсировал MAAS, инструментарий для быстрого развертывания конфигураций Ubuntu
4. OpenNews: Canonical прекратит поддержку Bazaar в платформе Launchpad
5. OpenNews: В 2024 году выручка компании Canonical составила 291 млн. долларов
6. OpenNews: Компания Canonical опубликовала MicroCloud 3, инструментарий для развёртывания кластеров

Исправленные уязвимости (CVE-идентификаторы не назначены):

• Переполнение буфера при обработке альтернативных названий шрифтов. Проблема вызвана разными ограничениями на размер имени шрифта в библиотеке libXfont2 и X-сервере - сервер выделял под имя 256 байт, а библиотека допускала передачу имён размером до 1024 байта.
• Обращения к памяти после её освобождения в функциях miSyncDestroyFence(), FreeCounter() и SyncChangeCounter() из-за ошибок обновления счётчиков ссылок.
• Переполнение буфера при обработке определённых типов клавиш в XKB. Проблема возникает из-за неверного вычисления размера таблицы кодов символов.
• Переполнение буфера в XKB, возникающее при обработке запросов SetMap из-за отсутствия должной проверки размера переданных клиентом данных.
• Запись и чтение данных за области вне границы буфера в GLX из-за неверной проверки размера получаемых от пользователя атрибутов в функции ChangeDrawableAttributes.
• Обращение к памяти после её освобождения, возникающее после изменения атрибутов окна и принудительного вызова хранителя экрана. Проблема может привести к утечке содержимого из памяти процесса.
• Запись в память за пределами выделенного буфера в DRI2-функциях DRIGetBuffers и DRIGetBuffersWithFormat, возникающая при запросе нескольких экземпляров DRI2BufferBackLeft, но одного экземпляра DRI2BufferFrontLeft.
  1. Главная ссылка к новости
  2. OpenNews: Обновление X.Org Server 21.1.22 с устранением 5 уязвимостей
  3. OpenNews: Обновление X.Org Server 21.1.20 с устранением 3 уязвимостей
  4. OpenNews: Обновление X.Org Server 21.1.18 с устранением 6 уязвимостей
  5. OpenNews: Обновление X.Org Server 21.1.16 с устранением 8 уязвимостей
  6. OpenNews: Обновление X.Org Server 21.1.14 с устранением уязвимости

Червь размещался в файле index.js и активировался через preinstall-обработчик, вызываемый при установке поражённого пакета. После активации червь выполнял поиск в системе токенов к NPM (~/.npmrc), PyPI, CircleCI, AWS, GCP, Docker, Azure, HashiCorp и KubernetesK8s, а также закрытых ключей SSH. Найденные данные отправлялись злоумышленникам. В случае обнаружения токена для подключения к каталогу NPM червь автоматически публиковал новые вредоносные релизы для разрабатываемых в текущем окружении пакетов, поражая дерево зависимостей.

Доступ к GitHub Actions был получен в результате компрометации учётной записи одного из сотрудников Red Hat, что позволило атакующим напрямую отправить коммиты в репозитории javascript-clients, frontend-components и platform-frontend-ai-toolkit, без прохождения стадии рецензирования. Через коммиты в систему непрерывной интеграции подставлялся файл ci.yaml, который при запуске сборочной работы запускал при помощи платформы bun скрипт _index.js. Скрипт использовал полномочие "id-token: write" для запроса у GitHub токена OIDC (OpenID Connect), который затем применялся для аутентификации в NPM при помощи механизма "trusted publishing".

NPM-пакеты, содержащие вредоносный код:

• @redhat-cloud-services/chrome (2.3.1, 2.3.2)
• @redhat-cloud-services/compliance-client (4.0.3, 4.0.4)
• @redhat-cloud-services/config-manager-client (5.0.4, 5.0.5)
• @redhat-cloud-services/entitlements-client (4.0.11, 4.0.12)
• @redhat-cloud-services/eslint-config-redhat-cloud-services (3.2.1, 3.2.2)
• @redhat-cloud-services/frontend-components (7.7.2, 7.7.3)
• @redhat-cloud-services/frontend-components-advisor-components (3.8.2)
• @redhat-cloud-services/frontend-components-config (6.11.3, 6.11.4)
• @redhat-cloud-services/frontend-components-config-utilities (4.11.2, 4.11.3)
• @redhat-cloud-services/frontend-components-notifications (6.9.2, 6.9.3)
• @redhat-cloud-services/frontend-components-remediations (4.9.2, 4.9.3)
• @redhat-cloud-services/frontend-components-testing (1.2.1, 1.2.2)
• @redhat-cloud-services/frontend-components-translations (4.4.1, 4.4.2)
• @redhat-cloud-services/frontend-components-utilities (7.4.1, 7.4.2)
• @redhat-cloud-services/hcc-feo-mcp (0.3.1, 0.3.2)
• @redhat-cloud-services/hcc-kessel-mcp (0.3.1, 0.3.2)
• @redhat-cloud-services/hcc-pf-mcp (0.6.1, 0.6.2)
• @redhat-cloud-services/host-inventory-client (5.0.3, 5.0.4)
• @redhat-cloud-services/insights-client (4.0.4, 4.0.5)
• @redhat-cloud-services/integrations-client (6.0.4, 6.0.5)
• @redhat-cloud-services/javascript-clients-shared (2.0.8, 2.0.9)
• @redhat-cloud-services/notifications-client (6.1.4, 6.1.5)
• @redhat-cloud-services/patch-client (4.0.4, 4.0.5)
• @redhat-cloud-services/quickstarts-client (4.0.11, 4.0.12)
• @redhat-cloud-services/rbac-client (9.0.3, 9.0.4)
• @redhat-cloud-services/remediations-client (4.0.4, 4.0.5)
• @redhat-cloud-services/rule-components (4.7.2, 4.7.3)
• @redhat-cloud-services/sources-client (3.0.10, 3.0.11)
• @redhat-cloud-services/topological-inventory-client (3.0.10, 3.0.11)
• @redhat-cloud-services/tsc-transform-imports (1.2.2)
• @redhat-cloud-services/types (3.6.1, 3.6.2, 3.6.4)
• @redhat-cloud-services/vulnerabilities-client (2.1.8, 2.1.9)

1. Главная ссылка к новости
2. OpenNews: В 42 NPM-пакета TanStack интегрирован самораспространяющийся червь
3. OpenNews: Серверы инфраструктуры Fedora и Red Hat были взломаны
4. OpenNews: Анализ конфиденциальных данных, захваченных червём Shai-Hulud 2
5. OpenNews: При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакетов
6. OpenNews: Взлом внутреннего GitLab-сервера Red Hat

Применение AI допускается в случаях, когда полученная через AI информация в частном порядке используется только одним разработчиком и не распространяется публично. Например, когда разработчик задаёт AI вопросы по коду, формирует для себя сводку по комментариям к PR или issue, привлекает AI для рецензирования изменений, создаёт через AI инструменты для личного использования, консультируется через AI о возможных вариантах выбора решения. Также допускается создание через AI экспериментальных изменений, не подлежащих рецензированию другими участниками.

Запрещено применение AI для формирования комментариев, отчётов о проблемах и описаний изменений, публикуемых от имени участника. При этом разрешено цитирование выдачи от AI с явной пометкой, что контент сформирован через AI (например, прикрепление результатов диагностики через AI). Запрещено создание документации через AI. При рецензировании запрещено рассмотрение выводов AI как достаточных для приёма или отклонения изменений - результаты проверки через AI могут носить только рекомендательный характер.

С оговорками и явным упоминанием, что результат получен через AI, разрешено применение AI для машинного перевода на другие языки, поиска и верификации ошибок, а также внесения незначительных изменений в код и тексты (например, правка опечаток и подбор синонимов).

В рамках эксперимента допускается передача заранее согласованных, некритичных, досконально проверенных и хорошо протестированных изменений, изначально сгенерированных через AI. Перед отправкой pull-запроса c подобным изменением, разработчик должен заранее договориться с рецензирующими. Предлагаемые изменения должны помечаться меткой "ai-assisted" и могут затрагивать вторичные инструменты, такие как tidy и linkchecker, но не должны касаться ключевых возможностей и элементов языка. Для отслеживания результатов эксперимента изменения предписано отправлять в отдельный приватный Zulip-канал, доступ к которому предоставлен только участникам проекта.

1. Главная ссылка к новости
2. OpenNews: Во Flathub запрещено размещение приложений, сгенерированных при помощи AI
3. OpenNews: Каталог GNOME Circle не будет принимать приложения, созданные с использованием AI
4. OpenNews: Благодаря AI для включения в ядро Linux стали присылать на 20% больше изменений
5. OpenNews: При помощи AI-модели Mythos выявлены 23 тысячи уязвимостей в открытом ПО