В GNOME Help и GIMP нашли критические уязвимости, позволяющие запустить чужой код через файлы. Вот что известно:

▪️ GNOME Help (Yelp):
— Уязвимость CVE-2025-3155 — открыли page-файл → JavaScript украл ваш .ssh/id_rsa.
— Атака через ghelp:// + поддельный документ с SVG-скриптом.
▪️ GIMP:
— CVE-2025-2761/2760 — открыли картинку XWD/FLI → выполнился код злоумышленника.
— Исправлено в версии 3.0.0.

Как это работает? (на примере Yelp)
1. Шаг 1: жертва скачивает вредоносный index.page (например, через фишинговую ссылку).
2. Шаг 2: файл использует XInclude, чтобы встроить ваш SSH-ключ в документ.
3. Шаг 3: SVG-скрипт через fetch() отправляет данные на сервер хакера.

Фишка атаки: Yelp преобразует XML в HTML через WebKitGtk, а <svg:script> не фильтруется.

Linux / Линукс 🥸

Linux / Линукс 🥸

Выпуск Wayland-Protocols 1.43

Что нового?
— Теги для окон:
В Wayland-Protocols 1.43 добавлен новый протокол "xdg-toplevel-tag", позволяющий Wayland-клиентам прикреплять теги к поверхностями верхнего уровня, которые композитный сервер может использовать для идентификации окон после перезапуска приложения (например, приложение может выставить теги "main window" и "settings" для основного окна и окна с настройками).

— Ограничения:
В xdg-shell добавили сведения об ограничениях операций с краями поверхности верхнего уровня, которые могут использоваться композитным менеджером для информирования Wayland-клиентов об имеющихся ограничениях, например, могут ли окна изменять свои размеры или нет.

Linux / Линукс 🥸

#предложка от aur

Linux / Линукс 🥸

Спасение ноутбука 15-летней давности 💃

Linux / Линукс 🥸

Релиз операционной системы FreeDOS 1.4

После трёх лет разработки вышла FreeDOS 1.4. Доступны сборки от 17 МБ до 638 МБ.

Основные возможности:
— Поддержка FAT32 и длинных имен файлов.;
— Сеть: браузеры, BitTorrent и даже mtcp для хардкорного ping;
— Поддержка сети, веб-браузеры Links и Dillo, BitTorrent-клиент;
— В комплекте имеется медиаплеер MPXPLAY с поддержкой mp3, ogg и wmv.;
— Утилиты для работы с архивами 7Zip, INFO-ZIP zip и unzip..

Что нового в 1.4?
— В командной оболочке FreeCOM улучшена совместимость с классическим command.com.;
— В Fdisk решены критические проблемы, которые могли привести к потере данных при работе с некоторыми разделами.;
— mTCP стал стабильнее;
— OpenGEM — единственная графическая оболочка (Seal и oZone вылетели за баги);
— Live CD похудел с 400 МБ до 301 МБ;
— Новое ядро в разработке: пока запускает Windows 3.1, но не WfW 3.11.

Linux / Линукс 🥸

Linux / Линукс 🥸

Альфа-выпуск пакетного менеджера RPM 6.0

Сформирован первый альфа-выпуск пакетного менеджера RPM 6.0, который будет задействован в осеннем выпуске дистрибутива Fedora Linux 43.

Основные изменения в RPM 6.0:

— Поддержка нового формата пакетов RPM 6, позволяющего создавать пакеты размером более 4 ГБ. В формате RPM 6 задействованы 64-разрядные поля с размерами, модернизированы структуры, связанные с криптографией, и добавлены MIME-сведения о файлах.
— Прекращена поддержка формата RPM 3. Поддержка формата RPM 4, использующего cpio, будет сохранена в полном объёме - дистрибутивы на своё усмотрение смогут остаться на формате RPM 4.
— По умолчанию включены проверки подлинности пакетов с использованием цифровой подписи.
— В утилиту rpmbuild добавлена поддержка автоматического формирования локальных подписей во время сборки, а в утилиту rpm добавлена опция "--nosignature" для принудительной установки пакета без проверки подписи.
— Предоставлена возможность использования вместо GnuPG инструментария Sequoia-sq, написанного на Rust.
— В разработке разрешено использование языка C++ (C++20), а не только языка Си.
— Реализована возможность использования нескольких подписей OpenPGP для каждого пакета.
— Прекращена поддержка хэшей MD5, SHA1 и DSA.
— Расширены возможности утилиты rpmkeys по работе с ключами, например, для обновления OpenPGP-ключей можно использовать команду "rpmkeys --import".
— Задействованы только полные идентификаторы и хеш-отпечатки (fingerprint) ключей OpenPGP.
— Добавлена возможность обновления уже импортированных ключей.

Linux / Линукс 🥸

Linux / Линукс 🥸

Релиз OpenSSH 10.0

Опубликован релиз OpenSSH 10.0, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Основные изменения:

▪️ Удалена поддержка цифровых подписей на базе алгоритма DSA, уровень защиты которых не соответствует современным требованиям.
▪️ Продолжено разделение sshd на несколько отдельных исполняемых файлов.
▪️ В ssh по умолчанию задействован гибридный алгоритм обмена ключами "mlkem768x25519-sha256", стойкий к подбору на квантовом компьютере и представляющий собой комбинацию из X25519 ECDH и алгоритма ML-KEM (CRYSTALS-Kyber), стандартизированных Национальным институтом стандартов и технологий США (NIST).
▪️ В ssh_config в директивы SetEnv и User добавлена поддержка подстановки "%-token" и раскрытия переменных окружения.
▪️ В ssh_config и sshd_config добавлена поддержка выражения "Match version", позволяющего применять настройки в зависимости от имеющейся версии OpenSSH, например, для привязки к OpenSSH 10 можно указать "Match version OpenSSH_10.*".
И другие изменения.

Linux / Линукс 🥸

Linux / Линукс 🥸

Аукцион памятных вещей FSF прошёл успешно: рисунок головы GNU принёс 40 тысяч долларов

Аукцион был частью празднования 40-летия Фонда свободного программного обеспечения.

Linux / Линукс 🥸

Linux / Линукс 🥸

Дистрибутив openSUSE опубликовал альтернативный инсталлятор Agama 13

Разработчики проекта openSUSE представили инсталлятор Agama 13, разрабатываемый для замены классического интерфейса установки SUSE и openSUSE, и примечательный отделением пользовательского интерфейса от внутренних компонентов YaST. Agama поддерживает использование различных фронтэндов, например, фронтэнда для управления установкой через web-интерфейс.

Инсталлятор будет поставляться в составе openSUSE 16 (доступна альфа-версия) и SUSE Linux Enterprise Server 16 (бета-выпуск ожидается в мае).

Инсталлятор предоставляет такие функции, как выбор начального набора приложений, настройка сетевого подключения, языка, клавиатуры, часового пояса и параметров локализации, подготовка устройства хранения и разбивка разделов, добавления пользователей в систему.

Linux / Линукс 🥸

🛡 Linux первым закрыл дыру в AMD Zen 5

Разработчики ядра Linux оперативно выпустили патч для уязвимости EntrySign, которая позволяла загружать вредоносный микрокод в процессоры AMD. Пока производитель рассылает обновления BIOS, защита уже доступна в свежих сборках ядра.

Что за уязвимость?
- EntrySign (AMD-SB-7033)
- Уровень угрозы: высокий (требуются права администратора)
- Суть: обход проверки подписи микрокода → возможность внедрения вредоносных инструкций
- Затронутые процессоры:
- Все поколения Zen (1-5)
- Включая новейшие Ryzen 9000 и EPYC Turin
- Linux получил исправление раньше официальных обновлений AMD

Риски:
- Возможность атаки на технологии SEV/SEV-SNP
- Угроза целостности виртуальных машин
- Особенность Zen 5: Новые чипы уязвимы, несмотря на архитектурные улучшения

Linux / Линукс 🥸