Состоялся выпуск 0.9.0 библиотеки для языка C++ (стандарт C++20) libunicode. Проект разрабатывается командой разработчиков эмулятора терминала Contour и оболочки Endo (в активной разработке), и распространяется по лицензии Apache 2.0.
( читать дальше... )
Состоялся первый публичный выпуск 0.1.0 кроссплатформенной интерактивной командной оболочки и интерпретатора функционального языка в стиле F# Endo.
Проект создан автором и основным разработчиком эмулятора терминала Contour на языке C++ (стандарт C++23) и распространяется по лицензии Apache 2.0.
( читать дальше... )
В опубликованном несколько часов назад корректирующем выпуске системы самодостаточных пакетов Flatpak 1.16.4, а также в экспериментальном выпуске 1.17.4, устранена уязвимость (CVE-2026-34078), позволяющая вредоносному или скомпрометированному приложению в формате Flatpak, обойти установленный режим sandbox-изоляции, получить доступ к файлам в основной системе и выполнить произвольный код вне режима изоляции. Проблеме присвоен критический уровень опасности (9.3 из 10).
( читать дальше... )
Ошибка вызвана автоматической обработкой содержимого каталога a .git/, когда он размещён в одном каталоге с открываемым файлом. В этом случае Emacs при открытии файла запускает команды git ls-files и git status, выполняемые в контексте содержимого .git/. Для выполнения кода достаточно открыть в Emacs файл из каталога, в котором имеется подкаталог .git/ с файлом конфигурации config, включающим опцию core.fsmonitor с указанной атакующим командой для запуска.
Сопровождающие GNU Emacs отцы отказались устранять уязвимость, считая, что проблема на стороне git.
>>> Подробности
В библиотеке libinput обнаружено несколько уязвимостей:
CVE-2026-35093: Выход за пределы песочницы в плагинах. Ошибка в загрузчике плагинов позволила загружать предварительно скомпилированный байт-код, который не проходит проверку во время выполнения и таким образом не ограничивается песочницей. Это создает возможность для атаки, позволяющей вредоносному плагину получить неограниченный доступ к системе, в зависимости от привилегий пользователя.
CVE-2026-35094: Использование после освобождения памяти, ведущие к утечке конфиденциальной информации. Плагин, вызывающий функцию Lua __gc() оставляет «висячий» указатель в имени устройства, который можно вывести в лог. В зависимости от значения в ячейке памяти это может привести к раскрытию конфиденциальной информации.
Уязвимости затрагивают все дистрибутивы с libinput версии 1.30.0 и новее. Однако использование Lua-плагинов возможно только в том случае, если композитор загружает их. В данный момент это касается GNOME 50’s mutter, KWin (git) и Niri (git).
wlroots, sway и river не подвержены атаке.
Дистрибутивы Fedora 43 и 44 используют опцию -Dautoload-plugins, которая приводит к загрузке плагинов независимо от поддержки композитора. Arch, OpenSuSE, Ubuntu, Debian и
NixOS не имеют этой опции и/или используют более старые версии libinput.
Затронутые версии: libinput 1.31.0, 1.30.[0-2]
Исправленные версии: libinput 1.31.1, 1.30.3
>>> Подробности