Опубликован второй кандидат в релизы инсталлятора следующего значительного релиза Debian 13 "Trixie". Релиз Debian 13 ожидается в середине июля. В настоящее время насчитывается 136 критических ошибок, блокирующих релиз, что соответствует уровню, наблюдаемому во время публикации прошлых релизов.

Команда, отвечающая за формирование релизов GNOME, одобрила включение в основной состав GNOME нового просмотрщика документов Papers. Начиная с выпуска GNOME 49, программа Papers будет поставляться вместо Evince под именем Document Viewer в качестве просмотрищика документов по умолчанию. Изменения, связанные с заменой Evince на Papers, приняты в репозиторий GNOME. В Ubuntu 25.04 приложение Papers уже поставляется вместо Evince.

В Bluetooth-устройствах, использующих SoC от компании Airoha Systems, выявлены уязвимости, позволяющие получить контроль над устройством через отправку специально оформленных данных по Bluetooth Classic или BLE (Bluetooth Low Energy). Атака может быть совершена без аутентификации и без предварительного сопряжения, при наличии устройства жертвы в зоне досягаемости сигнала Bluetooth (примерно 10 метров). Уязвимости затрагивают некоторые модели беспроводных наушников, колонок и микрофонов от Sony, Marshall, Beyerdynamic и менее известных компаний.

В пакете sudo, применяемом для организации выполнения команд от имени других пользователей, выявлена уязвимость (CVE-2025-32463), позволяющая любому непривилегированному пользователю выполнить код с правами root, даже если пользователь не упомянут в конфигурации sudoers. Проблеме подвержены дистрибутивы, использующие файл конфигурации /etc/nsswitch.conf, например, возможность эксплуатации уязвимости продемонстрирована в Ubuntu 24.04 и Fedora 41.

В Ubuntu решено перейти по умолчанию на поставку пакета intel-compute-runtime, собранного с флагом NEO_DISABLE_MITIGATIONS, отключающим защиту от атак класса Spectre. По оценке разработчиков Ubuntu наличие подобной защиты приводит к снижению производительности пакета примерно на 20%.

В пакетных менеджерах GNU Guix, Nix и Lix выявлены уязвимости (Nix, Guix, Lix), позволяющие выполнить код с правами пользователей, под которыми запускаются сборочные задания (например, nixbld* в Nix/Lix), что может использоваться для записи своих данных в сборочное окружение и внесения изменений в сборочный процесс. Проблемы присутствуют в фоновых процессах guix-daemon и nix-daemon, применяемых для организации доступа непривилегированных пользователей к сборочным операциям.

В платформе совместной разработки Gogs выявлена уязвимость, которой присвоен критический уровень опасности (10 из 10). Уязвимость позволяет непривилегированному пользователю Gogs изменить исходный код других пользователей сервиса, а также выполнить произвольные команды на сервере с правами пользователя, указанного через параметр RUN_USER в конфигурации Gogs. Уязвимость устранена в обновлении Gogs 0.13.3. Проблема является следствием неполного исправления уязвимости CVE-2024-39931, раскрытой в декабре. Уязвимость не затрагивает платформы Forgejo и Gitea, продолжающие развитие форка Gogs, созданного в 2016 году.

Ник Велнхофер (Nick Wellnhofer), сопровождающий библиотеку libxml2, объявил, что отныне будет трактовать уязвимости как обычные ошибки. Сообщения об уязвимостях не будут рассматриваться в приоритетном порядке, а станут исправляться по мере появления свободного времени. Информация о сути уязвимости будет размещаться в публичном доступе сразу, не дожидаясь формирования патча и распространения исправления в дистрибутивах и операционных сиcтемах. Ник также снял с себя полномочия сопровождающего библиотеку libxslt и высказал сомнения в том, что найдётся кто-то готовый взять на себя её поддержку.

Разработчики мобильной платформы KDE Plasma Mobile подвели итоги развития проекта с момента формирования релиза KDE Plasma Mobile 6.0 в марте прошлого года. Готовые сборки KDE Plasma Mobile 6 можно загрузить из тестового репозитория дистрибутива postmarketOS. Опробовать KDE Plasma Mobile также можно воспользовавшись сборкой Fedora KDE Plasma Mobile Spin.

В библиотеке Libxml2, разрабатываемой проектом GNOME и применяемой для разбора содержимого в формате XML, выявлено 5 уязвимостей, две из которых потенциально могут привести к выполнению кода при обработке специально оформленных внешних данных. Библиотека Libxml2 широко распространена в открытых проектах и, например, используется как зависимость в более чем 800 пакетах из состава Ubuntu.

Компания Cisco опубликовала новые выпуски свободного антивирусного пакета ClamAV 1.4.3 и 1.0.98, в которых устранены уязвимости, одна из которых может привести к выполнению кода атакующего при проверке специально оформленного содержимого.

Доступен выпуск ONLYOFFICE DocumentServer 9.0 с реализацией сервера для online-редакторов ONLYOFFICE и организации совместной работы. Редакторы можно использовать для работы с текстовыми документами, таблицами и презентациями. Для совместной работы на своих мощностях также можно использовать платформу Nextcloud Hub, в которой обеспечена полная интеграция с ONLYOFFICE. Готовые сборки сформированы для Linux, Windows и macOS. Код проекта написан на javascript с использованием web-технологий и распространяется под свободной лицензией AGPLv3.

Опубликован выпуск интегрированной среды разработки Qt Creator 17, предназначенной для создания кроссплатформенных приложений с использованием библиотеки Qt. Поддерживается как разработка классических программ на языке C++, так и использование языка QML, в котором для определения сценариев используется javascript, а структура и параметры элементов интерфейса задаются CSS-подобными блоками. Новая версия доступна в виде обновления в Qt Online Installer (коммерческий, opensource). Offline-установщики под коммерческой лицензией можно найти на Qt Account Portal, а opensource-пакеты - на соответствующей странице загрузок. Это бесплатное обновление для всех пользователей.

Компания Qualys выявила уязвимость (CVE-2025-6019) в библиотеке libblockdev, позволяющую через манипуляции с фоновым процессом udisks получить права root в системе. Работа прототипа эксплоита продемонстрирована в Ubuntu, Debian, Fedora и openSUSE Leap 15.

Опубликованы корректирующие выпуски X.Org Server 21.1.17 и DDX-компонента (Device-Dependent X) xwayland 24.1.7, обеспечивающего запуск X.Org Server для организации выполнения X11-приложений в окружениях на базе Wayland. В новой версии X.Org Server устранено 6 уязвимостей. Проблемы потенциально могут быть эксплуатированы для повышения привилегий в системах, в которых X-сервер выполняется с правами root, а также для удалённого выполнения кода в конфигурациях, в которых для доступа используется перенаправление сеанса X11 при помощи SSH.

Разработчики дистрибутива Arch Linux объявили о сборке по умолчанию Wine и Wine-Staging в режиме Wow64 (64-bit Windows-on-Windows), обеспечивающем выполнение 32-разрядных Windows-приложений в 64-разрядных Unix-системах. Поставка 64-разрядных сборок Wine позволила прекратить использовать для пакетов wine и wine-staging репозиторий multilib с 32-разрядными версиями библиотек.

Опубликован выпуск распределенной системы управления исходными текстами Git 2.50. Git отличается высокой производительностью и предоставляет средства нелинейной разработки, базирующиеся на ответвлении и слиянии веток. Для обеспечения целостности истории и устойчивости к изменениям "задним числом" используются неявное хеширование всей предыдущей истории в каждом коммите, а также удостоверение цифровыми подписями разработчиков отдельных тегов и коммитов. Код Git распространяется под лицензией GPLv2+.

В развиваемом проектом KDE эмуляторе терминала Konsole выявлена уязвимость (CVE-2025-49091), позволяющая организовать выполнение кода в системе при открытии в браузере специально оформленной страницы.