Фонд свободного ПО сообщил о выявлении критической уязвимости в хостинге свободного кода GNU Savannah, позволяющей скомпрометировать размещённые репозитории проектов. Продемонстрирован рабочий эксплоит. Следов использования уязвимости для атаки на код, подстановки вредоносных зависимостей или получения доступа к учётным записям не выявлено, но разработчикам, использующим GNU Savannah, рекомендуется убедиться в отсутствии подозрительной активности в их репозиториях.

Состоялся выпуск интегрированной среды разработки Qt Creator 20, предназначенной для создания кроссплатформенных приложений с использованием библиотеки Qt. Поддерживается как разработка классических программ на языке C++, так и использование языка QML, в котором для определения сценариев используется javascript, а структура и параметры элементов интерфейса задаются CSS-подобными блоками. Готовые сборки сформированы для Linux, Windows и maсOS.

В JCE (Joomla Content Editor), одном из старейших и популярнейших расширений в экосистеме Joomla, устранена критическая уязвимость (CVE-2026-48907), позволяющая импортировать свой профиль без аутентификации. Атакующий может использовать уязвимость для размещения профиля, отключающего проверку MIME-типов и реализующего загрузку PHP-скриптов на сервер. Зафиксировано использование уязвимости злоумышленниками для установки webshell, предоставляющего удалённый доступ к системе.

Сформирован выпуск основной ветки nginx 1.31.2, в рамках которой продолжается развитие новых возможностей, а также выпуск параллельно поддерживаемой стабильной ветки nginx 1.30.3, в которую вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В обновлениях устранено 3 уязвимости.

Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В июньском обновлении устранена 245 уязвимостей.

После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 7.1. Среди наиболее заметных изменений: новый драйвер ntfsplus, первая стадия прекращения поддержки CPU i486, удаление старых Ethernet-адаптеров, удаление протоколов ISDN и AX.25, включение по умолчанию механизма Intel FRED, поддержка BPF-обработчиков в io_uring, оптимизация подсистемы подкачки, поддержка субпланировщиков в sched_ext, ввод/вывод в режиме zero-copy в драйвере ublk, ioctl-операция "shutdown" в Btrfs, динамическое переключение режима производительности в драйвере amd-pstate, поддержка xattr для Unix-сокетов.

Компания Anthropic объявила об отключении доступа к AI-моделям Fable 5 и Mythos 5 для всех пользователей после получения от правительства США директивы об экспортном контроле, изданной с упоминанием полномочий в области национальной безопасности и без предоставления детальных пояснений. Директива запрещает доступ к моделям Fable 5 и Mythos 5 любым иностранным гражданам, как на территории США, так и за её пределами, включая иностранных сотрудников компании Anthropic, в результате чего для соблюдения требований компания была вынуждена полностью отключить модели. Выполнение требования не повлияло на доступ к остальным моделям Anthropic.

Удостоверяющий центр GlobalSign, зарегистрированный в Бельгии и принадлежащий японской корпорации GMO Group, начал отзыв SSL-сертификатов, ранее выданных российским компаниям, подпадающим под действующие в Евросоюзе санкции. В письме к партнёрам компании GlobalSign, отправленном директором российского представительства, сказано, что отзыв сертификатов начался 13 июня в 04:10 (MSK) и будет проводиться поэтапно. В качестве причины указано утверждение консорциумом CA/Browser Forum, выступающим площадкой для совместного принятия решений с учётом интересов производителей браузеров и удостоверяющих центров, новых требований по проверке организаций при выдаче сертификатов.

Зафиксирована массовая компрометация пакетов в репозитории AUR (Arch User Repository), применяемом в Arch Linux для распространения приложений от сторонних разработчиков. Атакующие получили контроль над 469 1577 пакетами и смогли внедрить в них вредоносный код для кражи паролей и ключей доступа с систем пользователей. Среди прочего, вредоносный код был интегрирован в поставляемый через AUR пакет ALVR, популярный у любителей компьютерных игр.

Инструментарий etcd-operator, помогающий разворачивать и сопровождать кластеры etcd в Kubernetes, перешёл под управление проекта Cozystack. Вместе с передачей проекта опубликована новая реализация etcd-operator, написанная с нуля и использующая API etcd-operator.cozystack.io/v1alpha2 вместо прежнего etcd.aenix.io/v1alpha1. Новую реализацию написал Тимофей Ларкин, один из мейнтейнеров прежней кодовой базы. Старый вариант сохранён в ветке v1alpha1. Код написан на Go и распространяется под лицензией Apache 2.0. Cozystack является Sandbox-проектом некоммерческой организации CNCF.

Разработчики открытой операционной системы ReactOS, нацеленной на обеспечение совместимости с программами и драйверами Microsoft Windows, объявили достижении возможности запуска игры Half-Life. Запуск был осуществлён в ReactOS, установленном на реальном оборудовании - ПК Dell OptiPlex 990 c CPU Intel Core i5-2400, 1 ГБ ОЗУ и видеокартой NVIDIA GeForce 8400 GS. За несколько дней до этого в ReactOS удалось запустить игру Unreal Tournament 2004.

В свободном движке для создания форумов phpBB выявлена уязвимость, позволяющая через отправку одного HTTP-запроса подключиться к сеансу любого пользователя форума. Уязвимость проявляется в конфигурации phpBB по умолчанию. Проблема устранена в версии phpBB 3.3.17.

Опубликован первый значительный выпуск X11-сервера yserver, написанного с нуля на языке Rust и поддерживающего актуальные расширения протокола X11. Проект не ставит перед собой цель повторить все возможности Xorg Server и ограничивается только функциональностью, необходимой для запуска современных сред рабочего стола, оконных менеджеров, приложений и графических библиотек (GTK, Qt, SDL, GLFW). Из протестированных окружений отмечены MATE, Xfce и Cinnamon, а также оконные менеджеры FVWM3, e16 и wmaker. Код проекта распространяется под лицензией MIT.

Компания ARM раскрыла информацию об уязвимости (CVE-2025-10263) в своих процессорах, позволяющей осуществить запись в ресурсы, принадлежащих более высокому уровню исключений (Exception Level), что потенциально позволяет добиться повышения привилегий в системе. В контексте гипервизора Xen уязвимость даёт возможность из гостевой системы осуществить запись в память, принадлежащую гипервизору.

Адам Уильямсон (Adam Williamson) из компании Red Hat, возглавляющий команду контроля качества в проекте Fеdora, обратил внимание на подозрительную активность Натана Джованнини (Nathan Giovannini), присоединившегося к проекту Fedora в 2016 году и некоторое время участвовавшего в работе команды Fedora Infrastructure Team. Не исключается, что деятельность, совершаемая за последние два месяца от имени Натана, была направлена на завоевание доверия через накопление истории принятых изменений и участие в исправлении ошибок, перед совершением вредоносных действий, как в инциденте с подстановкой бэкдора в пакет xz.

Сообщество энтузиастов развивает Opengram — открытую реализацию серверной части мессенджера Telegram. Проект представляет собой самостоятельный сервер, реализующий протокол MTProto (поддерживается layer до 216), который может использоваться для замены официальной серверной инфраструктуры Telegram при развёртывании на собственном оборудовании. Поддерживаются официальные клиенты Telegram (Telegram Desktop, мобильные приложения) после изменения в них адреса дата-центра и публичного RSA-ключа сервера.

Администраторы почтовых серверов на базе Fedora Linux обратили внимание на возникновение проблем с работой почтового клиента Microsoft Outlook после обновления дистрибутива. Диагностика проблемы показала, что в новой версии пакета с IMAP/POP3-сервером Dovecot 2.4.3 в настройках по умолчанию была запрещена аутентификация по протоколам IMAP и POP3 с передачей пароля в открытом виде в сеансах без применения шифрования.

В библиотеке libinput, предоставляющей унифицированный стек ввода для Wayland и X.Org Server, выявлена уязвимость (CVE-2026-50265), позволяющая добиться выполнения кода с правами root через подключение локальным пользователем виртуального устройства ввода, сэмулированного в пользовательском пространстве через uinput или uhid. Проблема устранена в выпусках 1.31.3 и 1.30.4.