В утилите smb4k, применяемой в KDE для обнаружения и монтирования SMB-разделов, выявлены уязвимости, позволяющие получить root-доступ к системе. Проблемы устранены в выпуске Smb4K 4.0.5. Проверить состояние новой версии пакета или подготовки исправления в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Fedora, SUSE/openSUSE, Gentoo, Arch и FreeBSD.

Началось тестирование первого кандидата в релизы Wine 11.0, открытой реализации WinAPI. Кодовая база переведена на стадию заморозки перед релизом, который ожидается во второй половине января. По сравнению с выпуском Wine 10.20 закрыто 17 отчётов об ошибках и внесено 175 изменений.

Спустя две недели с момента прошлого глобального сбоя сеть доставки контента Cloudflare, обслуживающая около 20% всего мирового web-трафика, вчера частично оказалась недоступной на 25 минут. Во время инцидента примерно треть запросов через Cloudflare завершалось возвращением пустой страницы с кодом ошибки 500. На этот раз, причиной стала остававшаяся много лет незамеченной проблема в коде на языке Lua, применяемом в системе фильтрации трафика WAF (Web Application Firewall) для блокирования вредоносных запросов.

Опубликован выпуск пакетного фильтра nftables 1.1.6, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). Одновременно опубликован выпуск сопутствующей библиотеки libnftnl 1.3.1, предоставляющей низкоуровневый API для взаимодействия с подсистемой nf_tables.

Компания Proxmox, известная разработкой продуктов Proxmox Virtual Environment, Proxmox Backup Server и Proxmox Mail Gateway, представила первый стабильный релиз нового дистрибутива - Proxmox Datacenter Manager, включающий интерфейс пользователя и инструментарий для централизованного управления несколькими независимыми кластерами на базе Proxmox Virtual Environment. Серверный бэкенд, утилиты командной строки и новый web-интерфейс написаны на языке Rust и распространяются под лицензией AGPLv3. Для создания web-интерфейса использован собственный набор виджетов, основанный на web-фреймворке Yew. Размер установочного iso-образа 1.5 ГБ.

Компания Wiz опубликовала результаты анализа следов деятельности червя Shai-Hulud 2, в ходе активности которого в репозитории NPM были опубликованы вредоносные выпуски более 800 пакетов, насчитывающих в сумме более 100 млн загрузок. После установки поражённого пакета, активизировавшийся червь выполняет поиск конфиденциальных данных, публикует новые вредоносные релизы (при обнаружении токена подключения к каталогу NPM) и размещает в открытом доступе найденные в системе конфиденциальные данные через создание новых репозиториев в GitHub.

Проект GrapheneOS, разрабатывающий альтернативную свободную прошивку на базе Android, нацеленную на усиление безопасности и обеспечение конфиденциальности, столкнулся с угрозой преследования со стороны правоохранительных органов Франции из-за невозможности анализа содержимого смартфонов арестованных преступников.

В написанной на языке Rust библиотеке async-tar, предоставляющей функции для чтения и записи tar-архивов, выявлена уязвимость (CVE-2025-62518, кодовое имя TARmageddon), позволяющая при распаковке специально оформленного tar-архива не только извлечь размещённые в нём файлы, но и файлы, содержащиеся во вложенном tar-архиве. Уязвимость может быть использована для обхода систем верификации архивов и распаковки файлов, для которых не выполнялась проверка.

Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 7.2.4, в котором устранено 8 уязвимостей, подробности о которых пока не раскрываются. Указано только, что наиболее серьёзная проблема имеет уровень опасности 8.2 из 10. Кроме уязвимостей в новой версии представлено 6 изменений.

Намджэ Чон (Namjae Jeon), участник проекта Samba, сопровождающий драйвер EXFAT и сервер KSMBD в ядре Linux, предложил включить в ядро новую реализацию файловой системы NTFS - ntfsplus. Предполагается, что более качественный и сопровождаемый NTFS-драйвер позволит улучшить совместимость Linux-систем с Windows-устройствами и упростить работу пользователей.

Вице-президент Google, курирующий проект Privacy Sandbox, объявил о сворачивании разработки и исключении из Chrome и Android части технологий, развиваемых для достижения компромисса между потребностью пользователей сохранить конфиденциальность и желанием рекламных сетей и сайтов отслеживать предпочтения посетителей. Большинство API, разработанных проектом Privacy Sandboх, предназначались для использования вместо сторонних Cookie, поддержку которых планировали прекратить в Chrome.

Официальный сайт дистрибутива Xubuntu скомпрометирован неизвестными злоумышленниками, которые на странице загрузки дистрибутива поменяли ссылки, ведущие на торренты, на файл "https://xubuntu.org/wp-content/Xubuntu-Safe-Download.zip". В итоге на странице загрузки остались только ссылки на вредоносный архив и доступные зеркала. Разработчики Xubuntu пока не прокомментировали ситуацию, но несколько часов назад удалили вредоносный архив и заблокировали доступ к разделу "xubuntu.org/download/", организовав перенаправление на главную страницу сайта.

Опубликованы корректирующие выпуски пакета Samba 4.23.2, 4.22.5 и 4.21.9 с устранением уязвимости (CVE-2025-10230) в реализации сервера разрешения имён WINS, позволяющей добиться удалённого выполнения своего кода на сервере без прохождения аутентификации. Проблеме присвоен наивысший уровень опасности - 10 из 10.

Опубликован седьмой выпуск среды рабочего стола Orbitiny Desktop, написанной с нуля с использованием фреймворка Qt. Проект пытается совместить некоторые инновационные идеи, которые раньше не встречались в пользовательских окружениях, с традиционными элементами, такими как панель, меню и размещение пиктограмм на рабочем столе. Работа пока сосредоточена на запуск в окружениях на базе X-сервера, но в будущем не исключается добавление поддержки Wayland. Код написан на языке C++ и распространяется под лицензией GPL.

Раскрыты сведения об уязвимостях в обработчиках GitHub Actions, автоматически вызываемых при отправке pull-запросов в репозиторий пакетов Nixpkgs, применяемый в дистрибутиве NixOS и в экосистеме, связанной с пакетным менеджером Nix. Уязвимость позволяла постороннему извлечь токен, предоставляющий доступ на запись и чтение к исходному коду всех пакетов, размещённых в Nixpkgs. Данный токен позволял напрямую вносить изменения в любой пакет через Git-репозиторий проекта, в обход процессов проверки и рецензирования изменений.

Проект GNOME прекратил разработку, сопровождение и поддержку расширения "org.gnome.Platform.i386.Compat", применяемого в GNOME Flatpak Runtime для обеспечения совместимости с 32-разрядными приложениями. В расширении предлагались 32-разрядные версии GTK и библиотек GNOME, используемые для поставки 32-разрядных приложений во flatpak-пакетах, пригодных для установки в 64-разрядных дистрибутивах, прекративших поставку 32-разрядных библиотек (multilib). GNOME Flatpak Runtime теперь доступен только для архитектур x86_64 и AArch64.

Стартовал конкурс по открытому программному обеспечению - Open OS Challenge 2025, участникам которого предложено решать задачи в области системного программного обеспечения, администрирования и разработки под Linux. Конкурс проводят сообщество разработчиков Linux-дистрибутива OpenScaler, компания Сбербанк-Технологии (СберТех), сервис GitVerse и АНО Центр развития инновационных технологий «ИТ-Планета». Соревнования нацелены на популяризацию системной разработки и открытого программного обеспечения.

Технический комитет, принимающий конечные решения в отношении спорных технических вопросов в проекте Debian, утвердил внесение изменения в пакет с systemd, меняющего поведение при работе с каталогом /var/lock. Системный менеджер systemd начиная с выпуска 258 ограничил возможность записи в каталог /var/lock только для пользователей с правами root, в то время как технический комитет Debian одобрил оставление старого поведения, разрешающего запись в /var/lock любым пользователям.