В опубликованном несколько часов назад корректирующем выпуске системы самодостаточных пакетов Flatpak 1.16.4, а также в экспериментальном выпуске 1.17.4, устранена уязвимость (CVE-2026-34078), позволяющая вредоносному или скомпрометированному приложению в формате Flatpak, обойти установленный режим sandbox-изоляции, получить доступ к файлам в основной системе и выполнить произвольный код вне режима изоляции. Проблеме присвоен критический уровень опасности (9.3 из 10).
Ошибка вызвана автоматической обработкой содержимого каталога a .git/, когда он размещён в одном каталоге с открываемым файлом. В этом случае Emacs при открытии файла запускает команды git ls-files и git status, выполняемые в контексте содержимого .git/. Для выполнения кода достаточно открыть в Emacs файл из каталога, в котором имеется подкаталог .git/ с файлом конфигурации config, включающим опцию core.fsmonitor с указанной атакующим командой для запуска.
Сопровождающие GNU Emacs отцы отказались устранять уязвимость, считая, что проблема на стороне git.
В библиотеке libinput обнаружено несколько уязвимостей:
CVE-2026-35093: Выход за пределы песочницы в плагинах. Ошибка в загрузчике плагинов позволила загружать предварительно скомпилированный байт-код, который не проходит проверку во время выполнения и таким образом не ограничивается песочницей. Это создает возможность для атаки, позволяющей вредоносному плагину получить неограниченный доступ к системе, в зависимости от привилегий пользователя.
CVE-2026-35094: Использование после освобождения памяти, ведущие к утечке конфиденциальной информации. Плагин, вызывающий функцию Lua __gc() оставляет «висячий» указатель в имени устройства, который можно вывести в лог. В зависимости от значения в ячейке памяти это может привести к раскрытию конфиденциальной информации.
Уязвимости затрагивают все дистрибутивы с libinput версии 1.30.0 и новее. Однако использование Lua-плагинов возможно только в том случае, если композитор загружает их. В данный момент это касается GNOME 50’s mutter, KWin (git) и Niri (git). wlroots, sway и river не подвержены атаке.
Дистрибутивы Fedora 43 и 44 используют опцию -Dautoload-plugins, которая приводит к загрузке плагинов независимо от поддержки композитора. Arch, OpenSuSE, Ubuntu, Debian и
NixOS не имеют этой опции и/или используют более старые версии libinput.
Состоялся очередной релиз десктоп-ориентированной операционной системы MidnightBSD 4.0.4. Новая версия включает важные исправления безопасности, улучшенную поддержку современных процессоров AMD, а также систему возрастной верификации и контроля доступа. MidnightBSD позиционируется как дружественная к пользователю операционная система на базе кодовой базы FreeBSD, ориентированная на рабочие станции.
Ключевым нововведением стал демон возрастной верификации aged (Age daemon) и утилита управления agectl. Система позволяет привязать к учётным записям пользователей возрастную категорию, которая затем учитывается при работе пакетного менеджера mport и запуске приложений.
20 марта состоялся выпуск 1.0.0 «Intel Optimization Zone – Intel Tuning Guides» — репозиторий, посвящённый оптимизации программного обеспечения для Intel, от настроек BIOS для конкретных рабочих нагрузок до рекомендуемых параметров программного обеспечения приложений/серверов для достижения максимальной производительности на оборудовании Intel.
Репозиторий содержит руководства по настройке, рецепты оптимизации и наиболее известные методы и рекомендации по анализу производительности и оптимальной конфигурации оборудования.
В некоторых из последних материалов рассматриваются Apache Kafka, Cassandra, Redis, Spark и другие. Раздел Intel Optimization Zone размещён в репозитории GitHub.
