Kurgan-Telecom Ru | Информационные технологии

Опубликован выпуск основной ветки nginx 1.29.8, в которой продолжается развитие новых возможностей. В параллельно поддерживаемую стабильную ветку 1.28.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В дальнейшем на базе основной ветки 1.29.x будет сформирована стабильная ветка 1.30. Код проекта написан на языке Си и распространяется под лицензией BSD.

В новом выпуске:

• Добавлена директива max_headers, ограничивающая максимальное число HTTP-заголовков в запросе. При превышении лимита возвращается ошибка 400 (Bad Request). Возможность перенесена из FreeNginx.
• Обеспечена совместимость с библиотекой OpenSSL 4.0, находящейся на стадии альфа-тестирования.
• Разрешено использовать маски в директиве include, указанной внутри блока «geo».
• Исправлена ошибка в обработке HTTP-ответов с кодом 103 (Early Hints), возвращаемых проксируемым бэкендом.
• Устранено невыставление переменных $request_port и $is_request_port в подзапросах.

Дополнительно можно отметить публикацию релиза проекта FreeNginx 1.29.7, развивающего форк Nginx. Разработку форка ведёт Максим Дунин, один из ключевых разработчиков Nginx. FreeNginx позиционируется как некоммерческий проект, обеспечивающий разработку кодовой базы Nginx без корпоративного вмешательства. Код FreeNginx продолжает поставляться под лицензией BSD. В новой версии обеспечена совместимость с OpenSSL 4.0. Устранено переполнение буфера (CVE-2026-27654) в модуле ngx_http_dav_module, возникающее при обработке WebDAV-запросов COPY и MOVE при использовании в блоках location директивы alias. Устранена возможность манипуляции с PTR-записями в DNS для подстановки данных атакующего (CVE-2026-28753) в запросы auth_http и команду XCLIENT в SMTP-соединении к бэкенду.

 nginx, веб сервер

В опубликованном несколько часов назад корректирующем выпуске системы самодостаточных пакетов Flatpak 1.16.4, а также в экспериментальном выпуске 1.17.4, устранена уязвимость (CVE-2026-34078), позволяющая вредоносному или скомпрометированному приложению в формате Flatpak, обойти установленный режим sandbox-изоляции, получить доступ к файлам в основной системе и выполнить произвольный код вне режима изоляции. Проблеме присвоен критический уровень опасности (9.3 из 10).

( читать дальше... )

 flatpak, sandbox, безопасность, уязвимость

Организация The Document Foundation (TDF), курирующая разработку офисного пакета LibreOffice, приняла решение исключить из своего состава всех сотрудников компании Collabora. Данный шаг затронул также участников, связанных с Collabora, и отражает обострение разногласий внутри сообщества.

Решение объясняется стремлением TDF обеспечить независимость управления проектом и устранить потенциальные конфликты интересов, связанные с влиянием коммерческих структур. В организации подчеркнули важность сохранения нейтральности и открытого характера разработки LibreOffice.

Ситуация стала продолжением длительного напряжения между TDF и Collabora, которое ранее проявлялось в вопросах развития экосистемы LibreOffice и распределения ролей между коммерческими и некоммерческими участниками проекта.

Ключевая причина конфликта заключается в расхождении подходов к развитию проекта LibreOffice: The Document Foundation настаивает на строгом соблюдении принципов независимого, общественного управления и равного участия сообщества, тогда как Collabora, являясь коммерческим игроком, продвигает собственные инициативы и влияет на развитие продукта через корпоративные ресурсы. Это противоречие усилилось на фоне конкуренции за влияние на техническую повестку и модель монетизации, что в итоге привело к организационному разрыву и исключению представителей компании из структуры TDF.

 collabora, libreoffice, tdf

Компания OpenVMS Software, которая выкупила права на OpenVMS и сейчас продолжает разработку этой ОС для x86, выпустила комплект инструментария разработчика для VMS для Linux. Устанавливается на Linux/x86-64 и Windows/WSL.

VMS/XDE — это набор компиляторов и библиотек, нативно исполняемых на Linux, он позволяет компилировать и запускать файлы, бинарно и программно совместимые с VMS.

VMS/XDE не является эмулятором: сисколлы транслируются нативно в линуксовые. В этом смысле, его прямой аналог — wine с набором кросс-компиляторов.

Разработчики не рекомендуют использовать полученные бинарные файлы в продакшене, поскольку среда исполнения имеет ряд ограничений. Однако модули, скомпилированные на Линуксе, исполняются на VMS без пересборки.

По замыслу разработчиков предназначено это все для тех, кто желает вести разработку для VMS в привычном для себя окружении.

Ну и да, это за деньги и по лицензии.

 commercial, development, linux, openvms

На Гитхабе выложен компилятор C89 в ELF64 на языке shell (sh, не bash). 7796 строк, лицензия ISC (isc.org) (эквивалентна MIT).

>>> Новость на opennet.ru

 c, shell, компилятор

Ошибка вызвана автоматической обработкой содержимого каталога a .git/, когда он размещён в одном каталоге с открываемым файлом. В этом случае Emacs при открытии файла запускает команды git ls-files и git status, выполняемые в контексте содержимого .git/. Для выполнения кода достаточно открыть в Emacs файл из каталога, в котором имеется подкаталог .git/ с файлом конфигурации config, включающим опцию core.fsmonitor с указанной атакующим командой для запуска.

Сопровождающие GNU Emacs отцы отказались устранять уязвимость, считая, что проблема на стороне git.

 emacs, git, безопасность, уязвимость

В тексте release notes на предстоящий выпуск Ubuntu 26.04 (последнее обновление 27.03.2026) появилась информация, что теперь новая Ubuntu Desktop с окружением, основанным на Gnome, требует как минимум 6 ГБ оперативной памяти и 25 ГБ дискового пространства.

Серверная версия 26.04 теперь требует 1.5 ГБ оперативной памяти, в то время как 22.04 требовала всего 1 ГБ, а 18.04 — всего 512 МБ.

На фоне подорожания оперативной памяти и дисковых накопителей это может увеличить затраты компаний на инфраструктуру, основанную на Ubuntu, и в конечном итоге ударить по карманам их пользователей.

Для сравнения, Windows 11 требует минимум 4 ГБ ОЗУ.

Планируемая дата выхода Ubuntu 26.04 — 23 апреля 2026 года.

 gnome, ubuntu

В библиотеке libinput обнаружено несколько уязвимостей:

1. CVE-2026-35093: Выход за пределы песочницы в плагинах. Ошибка в загрузчике плагинов позволила загружать предварительно скомпилированный байт-код, который не проходит проверку во время выполнения и таким образом не ограничивается песочницей. Это создает возможность для атаки, позволяющей вредоносному плагину получить неограниченный доступ к системе, в зависимости от привилегий пользователя.

2. CVE-2026-35094: Использование после освобождения памяти, ведущие к утечке конфиденциальной информации. Плагин, вызывающий функцию Lua __gc() оставляет «висячий» указатель в имени устройства, который можно вывести в лог. В зависимости от значения в ячейке памяти это может привести к раскрытию конфиденциальной информации.

Уязвимости затрагивают все дистрибутивы с libinput версии 1.30.0 и новее. Однако использование Lua-плагинов возможно только в том случае, если композитор загружает их. В данный момент это касается GNOME 50’s mutter, KWin (git) и Niri (git).
wlroots, sway и river не подвержены атаке.

Дистрибутивы Fedora 43 и 44 используют опцию -Dautoload-plugins, которая приводит к загрузке плагинов независимо от поддержки композитора. Arch, OpenSuSE, Ubuntu, Debian и NixOS не имеют этой опции и/или используют более старые версии libinput.

Затронутые версии: libinput 1.31.0, 1.30.[0-2]
Исправленные версии: libinput 1.31.1, 1.30.3

 cve, libinput, безопасность

Рад представить вам мою поделку — простенький WebRTC-чат. «Поднимается» тремя командами.

Под капотом ReactJS (это фронт + завернут в ElectronJS если хотите приложение, чтобы был звук из системы во время стрима экрана и глобально работали горячие клавиши).

На бэкенде чисто WebSocket на Node.js + Mediasoup.js в качестве SFU-сервера. Лицензия — MIT.

Я не особо планирую поддерживать этот проект, но если будут серьезные баги и все такое, то я поправлю.

 sfu, webrtc, от автора