Стефан Грабер (Stéphane Graber), лидер проекта Linux Containers и бывший технический руководитель проекта LXD, [ объявил ]( https://stgraber.org/2026/05/05/announcing-incus-6-23-2/ ) о выходе [ Incus 7.0 LTS ]( https://linuxcontainers.org/incus/ ) , форка системы управления контейнерами и виртуальными машинами LXD, созданного сообществом после [ перехода ]( https://www.opennet.ru/opennews/art.shtml?num=59386 ) оригинального проекта под крыло Canonical и смены лицензии. Код проекта [ распространяется ]( https://github.com/lxc/incus ) под лицензией Apache 2.0. Для ознакомления доступен [ онлайн-демонстрация ]( https://linuxcontainers.org/incus/try-it/ ) .

Incus 7.0 LTS будет поддерживаться до июня 2031 года. Первые два года планируется выпуск корректирующих обновлений с исправлением ошибок и мелкими улучшениями, после чего проект перейдёт на стадию сопровождения c исправлением только критических уязвимостей. Текущая ветка Incus 6.0 LTS переведена в режим поддержки, при котором публикуются только исправления, связанные с безопасностью.

( [ читать дальше... ]( https://www.linux.org.ru/news/opensource/18285768#cut ) )

После трёх месяцев разработки представлен релиз свободной реализации API OpenGL и Vulkan - Mesa 26.1.0. Первый выпуск ветки Mesa 26.1.0 имеет экспериментальный статус - после проведения окончательной стабилизации кода будет выпущена стабильная версия 26.1.1.

https://www.opennet.ru/opennews/art.shtml?num=65390

В ядре Linux выявлены две уязвимости, по своей сути аналогичные несколько дней назад раскрытой уязвимости Copy Fail, но проявляющиеся в других подсистемах - xfrm-ESP и RxRPC. Серии уязвимостей присвоено кодовое имя Dirty Frag (также встречается упоминание Copy Fail 2). Уязвимости позволяют непривилегированному пользователю получить права root, перезаписав данные процесса в страничном кэше. Доступен эксплоит, работающий во всех актуальных дистрибутивах Linux. Информация об уязвимости раскрыта до публикации исправлений, но есть обходной метод блокирования проблемы.

https://www.opennet.ru/opennews/art.shtml?num=65395

Представлен корректирующий выпуск дистрибутива OpenWrt 25.12.3, развиваемого для сетевых устройств, таких как маршрутизаторы, коммутаторы и точки доступа. OpenWrt поддерживает более 2200 устройств и предлагает систему сборки, упрощающую кросс-компиляцию и создание собственных сборок. Подобные сборки позволяют формировать готовые прошивки с желаемым набором предустановленных пакетов, оптимизированные под конкретные задачи. Готовые сборки опубликованы для 41 целевой платформы.

https://www.opennet.ru/opennews/art.shtml?num=65400

7 мая вышла OpenWrt 25.12.3 – операционная система на базе ядра Linux, предназначенная для встраиваемых устройств.

Исправления безопасности:

• Ядро Linux: исправлена уязвимость [ CVE-2026-31431 ]( https://www.linux.org.ru/news/security/18278962 ) («Copy Fail»). В предыдущих выпусках это затрагивало только пользователей платформы StarFive и тех, у кого был установлен модуль kmod-crypto-user.

• mbedtls: обновление до версии 3.6.6 (исправления нескольких CVE).

• OpenSSL: обновление до версии 3.5.6 (исправления нескольких CVE).

• wolfSSL: обновление до версии 5.9.1 (исправления нескольких CVE).

( [ читать дальше... ]( https://www.linux.org.ru/news/opensource/18287020#cut ) )

Представлено обновление прошивки Ubuntu Touch 24.04-1.3, основанной на пакетной базе Ubuntu 24.04. Прошивка развивается проектом UBports, взявшим в свои руки разработку мобильной платформы Ubuntu Touch, после того как от неё отстранилась компания Canonical. Проектом также развивается экспериментальный порт рабочего стола Unity 8, который переименован в Lomiri.

https://www.opennet.ru/opennews/art.shtml?num=65401

В ядре Linux выявлены [ две уязвимости ]( https://github.com/V4bel/dirtyfrag ) , по своей сути аналогичные несколько дней назад раскрытой уязвимости [ Copy Fail ]( https://www.opennet.ru/opennews/art.shtml?num=65325 ) , но проявляющиеся в других подсистемах - xfrm-ESP и RxRPC. Серии уязвимостей присвоено кодовое имя [ Dirty Frag ]( https://dirtyfrag.io/ ) (также встречается упоминание Copy Fail 2). Уязвимости позволяют непривилегированному пользователю получить права root, перезаписав данные процесса в страничном кэше. Доступен [ эксплоит ]( https://github.com/V4bel/dirtyfrag/blob/master/exp.c ) , работающий во всех актуальных дистрибутивах Linux. Информация об уязвимости раскрыта до публикации исправлений, но есть обходной метод блокирования проблемы.

Dirty Frag охватывает две разные уязвимости: первая в модуле [ xfrm-ESP ]( https://docs.kernel.org/networking/xfrm/index.html ) , используемом для ускорения операций шифрования в IPsec с использованием протокола ESP (Encapsulating Security Payload), а вторая в драйвере [ RxRPC ]( https://docs.kernel.org/networking/rxrpc.html ) , реализующем семейство сокетов AF_RXRPC и одноимённый RPC-протокол, работающий поверх UDP. Каждая из уязвимостей по-отдельности позволяет добиться получения прав root. Уязвимость в xfrm-ESP проявляется в ядре Linux с [ января 2017 года ]( https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=cac2661c53f3 ) , а уязвимость в RxRPC - с [ июня 2023 года ]( https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=2dc334f1a63a ) . Обе проблемы вызваны оптимизациями, допускающими прямую запись в страничный кэш.

( [ читать дальше... ]( https://www.linux.org.ru/news/security/18287090#cut ) )

Следом за DDoS-атакой на инфраструктуру компании Canonical злоумышленникам удалось получить контроль над каналом Ubuntu в социальной сети X.com (Twitter). В канале Ubuntu был размещён анонс AI-агента Numbat, который преподносился как децентрализованный AI, созданный на базе блокчейна и технологий криптовалюты Solana. Заявлялось, что AI-гент можно протестировать на сайте ai-ubuntu.com, который был зарегистрирован за несколько часов до размещения объявления. Оформление сайта было стилизовано под страницу ubuntu.com/ai, а в тексте использовались факты из анонсированного вице-президентом компании Canonical проекта по интеграции AI-технологий в Ubuntu.

https://www.opennet.ru/opennews/art.shtml?num=65402

Доступен корректирующий выпуск Firefox 150.0.2, в котором устранено 27 уязвимостей (10 уязвимостей собрано под CVE-2026-8093 и 16 под CVE-2026-8092). Все уязвимости вызваны проблемами при работе с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Всем уязвимостям присвоен высокий уровень опасности.

https://www.opennet.ru/opennews/art.shtml?num=65405

После трёх месяцев разработки  [ представлен ]( https://lists.freedesktop.org/archives/mesa-announce/2026-May/000849.html )  релиз свободной реализации API OpenGL и Vulkan -  [ Mesa 26.1.0 ]( http://mesa3d.org/ ) . Первый выпуск ветки Mesa 26.1.0 имеет экспериментальный статус - после проведения окончательной стабилизации кода будет выпущена стабильная версия 26.1.1.

В Mesa 26.1 доступна поддержка графического API  [ Vulkan 1.4 ]( https://www.opennet.ru/opennews/art.shtml?num=62331 )  в драйверах ANV для GPU Intel, RADV для GPU AMD, NVK для GPU NVIDIA, HoneyKrisp (hk) для GPU Apple, Turnip для GPU Qualcomm, PanVK для GPU ARM Mali, в программном растеризаторе lavapipe (lvp) и в режиме эмулятора (vn). В драйверах v3dv (GPU Broadcom VideoCore для Raspberry Pi 4+) и dzn (реализация Vulkan поверх Direct3D 12) поддерживается Vulkan 1.0, в драйвере kk (KosmicKrisp, Vulkan поверх Metal) - Vulkan 1.1, а драйвере pvr (GPU Imagination PowerVR) - Vulkan 1.2.

В Mesa также  [ обеспечивается ]( https://mesamatrix.net/ )  полная поддержка OpenGL 4.6 для драйверов iris (GPU Intel Gen 8+), radeonsi (AMD), Crocus (старые GPU Intel Gen4-Gen7), AMD (r600), zink, llvmpipe, virgl (виртуальный GPU  [ Virgil3D ]( https://www.opennet.ru/opennews/art.shtml?num=37456 )  для QEMU/KVM), freedreno (Qualcomm Adreno), d3d12 (прослойка для организации работы OpenGL поверх DirectX 12) и asahi (GPU AGX, используемый в чипах Apple M1 и M2). Поддержка OpenGL 4.5 доступна для GPU NVIDIA (nvc0). Поддержка OpenGL 3.3 присутствует в драйверах softpipe (программный растеризатор) и nv50 (NVIDIA NV50). В драйверах panfrost (GPU ARM Mali) и v3d (GPU Broadcom VideoCore) поддерживается OpenGL 3.1.

( [ читать дальше... ]( https://www.linux.org.ru/news/hardware/18287231#cut ) )

Грэм Гелденхейс (Graeme Geldenhuys), разработчик графического пользовательского интерфейса [ fpGUI ]( https://fpgui.sourceforge.net/ ) , системы сборки [ PasBuild ]( https://github.com/graemeg/PasBuild ) , системы тестирования [ FPTest ]( https://github.com/graemeg/fptest ) и отладчика [ opdebugger ]( https://github.com/graemeg/opdebugger ) представил [ Blaise ]( https://github.com/graemeg/blaise ) - компилятор для диалекта языка программирования Object Pascal.

( [ читать дальше... ]( https://www.linux.org.ru/news/development/18287312#cut ) )

Саша Левин (Sasha Levin) из компании NVIDIA, занимающийся сопровождением LTS-веток ядра Linux и входящий в консультативный совет организации Linux Foundation, подготовил набор патчей с реализацией механизма killswitch для ядра Linux. Предложенная возможность позволяет мгновенно отключить доступ к определённой функциональности работающего ядра. Предполагается, что killswitch будет полезен для временного блокирования уязвимостей на время до установки обновления ядра с исправлением.

https://www.opennet.ru/opennews/art.shtml?num=65407

После семи месяцев разработки состоялся выпуск 0.2.0 фреймворка [ OpenZL ]( https://openzl.org ) , предназначенного для создания компрессоров данных без потерь.

Фреймворк состоит из базовой библиотеки и инструментов для создания специализированных компрессоров, описанных на языке [ SDDL ]( https://openzl.org/sddl ) .
Для создания хорошего специализированного компрессора есть два этапа:

• Анализ данных для извлечения структуры.

• Использование хороших бэкенд-компрессоров, которые используют полученную структуру для достижения хорошего сжатия.

OpenZL предоставляет инструменты для обоих этапов.

Проект написан на языках C и C++ и распространяется по лицензии BSD.

( [ читать дальше... ]( https://www.linux.org.ru/news/opensource/18286976#cut ) )

Вышло обновление fidoip 2.0.5 — комплекта программ для работы в сети Фидонет. Комплект содержит набор последних версий классических программ ФИДО (только свободное ПО): мейлер для получения почты через Интернет, тоссер для обработки сообщений и редактор сообщений.

Кратко об основных изменениях в этой версии:

•

улучшена загрузка обновлений нодлистов и поинтлистов, комплект использует более 10 зеркал. Если доступ в Интернет ограничен, комплект способен загружать обновления, используя традиционный для Фидонет канал, — файловые конференции;

•

улучшен вывод статистики трафика для файловых конференций, передающих большие аудио– и видеофайлы. В зависимости от объема переданных по эхам данных, статистика по трафику в отчетах отображается в килобайтах, мегабайтах и гигабайтах, а не байтах, как это было ранее;

•

новые утилиты экспорта и импорта позволяют экспортировать и импортировать конфигурацию узла или поинта при обновлении версий комплекта, а также легко перемещать установку fidoip в другой каталог/на другой компьютер;

•

в разделе загрузок linux ( [ https://sf.net/projects/fidoip/files/linux/fidoslax-retro-edition/iso/ ]( https://sf.net/projects/fidoip/files/linux/fidoslax-retro-edition/iso/ ) ) выложены два новых образа дистрибутива FIDOSlax Retro Edition 1.1.5, — в дистрибутив включены последние изменения, перенесенные из комплекта fidoip.

•

выпущена новая версия утилиты sysmon ( [ https://sf.net/projects/sysmon/files/2.0/ ]( https://sf.net/projects/sysmon/files/2.0/ ) ), sysmon 2.0, используемая в отчетах fidoip. Она выводит информацию о текущем состоянии операционной системы и не требует для работы привилегий суперпользователя.

Комплект fidoip прост в настройке. Используя его, вы можете легко подключиться к Фидонет (предварительно нужно связаться с системными операторами сети, список которых приведен в документации), а также быстро поднять свой узел ФИДО.

https://www.linux.org.ru/news/opensource/18287493

Модуль crypto-gost-tls13 содержит реализацию TLS 1.3 (RFC 8446 + RFC 9367) с ГОСТ-криптографией.
Данный релиз является начальной версией библиотеки и готов для внутреннего использования.

Особенностью библиотеки является реализация на чистой Java. Все криптографические операции выполняются встроенными средствами библиотеки — без внешних зависимостей.

Это в своем роде одна из первых открытых реализаций TLS 1.3 с ГОСТ на Java, поэтому interop-тестирование выполнено в минимально доступном объеме.

( [ читать дальше... ]( https://www.linux.org.ru/news/java/18287174#cut ) )

Библиотека распространяется под свободной лицензией.

Во FreeBSD выявлена уязвимость (CVE-2026-7270), позволяющая непривилегированному пользователю выполнить код с правами ядра и получить root-доступ к системе. Уязвимость затрагивает все выпуски FreeBSD, сформированные с 2013 года. В открытом доступе размещён эксплоит, работа которого проверена на системах с FreeBSD 11.0 по 14.4. Уязвимость устранена в обновлениях FreeBSD 15.0-RELEASE-p7, 14.4-RELEASE-p3, 14.3-RELEASE-p12 и 13.5-RELEASE-p13. Для более старых веток можно использовать патч.

https://www.opennet.ru/opennews/art.shtml?num=65408

Состоялся выпуск радиального виджета Kando menu версии 2.3.0.

( [ читать дальше... ]( https://www.linux.org.ru/news/opensource/18287879#cut ) )

Большая часть кода проекта написана на TypeScript. Для работы требуется NodeJS.

[ Видео, где автор сам показывает и рассказывает о новых возможностях версии 2.3.0 ]( https://www.youtube.com/watch?v=I5SCWVLgv3E )

[ Представлено ]( https://ubports.com/blog/ubports-news-1/ubuntu-touch-24-04-1-3-release-and-updates-on-ubuntu-touch-24-04-2-0-3996 ) обновление прошивки Ubuntu Touch 24.04-1.3, основанной на пакетной базе Ubuntu 24.04. Прошивка развивается проектом [ UBports ]( https://ubports.com/ ) , взявшим в свои руки разработку мобильной платформы Ubuntu Touch, после того как от неё [ отстранилась ]( https://www.opennet.ru/opennews/art.shtml?num=46326 ) компания Canonical. Проектом также [ развивается ]( https://unity8.io/ ) экспериментальный порт рабочего стола [ Unity 8 ]( https://github.com/ubports/unity8 ) , который [ переименован ]( https://www.opennet.ru/opennews/art.shtml?num=52451 ) в Lomiri.

Обновление Ubuntu Touch 24.04-1.3 в ближайшие дни будет [ сформировано ]( https://devices.ubuntu-touch.io/ ) для устройств
Asus Zenfone Max Pro M1, F(x)tec Pro1 X, Fairphone 3/3+/4/5, Google Pixel 3a/3a XL, JingPad A1, Oneplus 5/5T/6/6T, OnePlus Nord N10 5G/N100, Sony Xperia X, Vollaphone X/22/X23, Xiaomi Poco X3 NFC / X3, Xiaomi Poco M2 Pro, Xiaomi Redmi Note 9 Pro/Pro Max/9S, Volla Phone Quintus, Volla Tablet, Lenovo Tab M10 HD 2nd Gen, Rabbit R1 и Xiaomi Redmi 9/9 Prime.

( [ читать дальше... ]( https://www.linux.org.ru/news/ubuntu/18287822#cut ) )

Опубликован очередной еженедельный отчёт о разработке KDE, в котором представлены изменения для ветки KDE Plasma 6.7, релиз которой ожидается в июне. Ветка KDE Plasma 6.7 находится на стадии мягкой заморозки. Среди принятых за неделю изменений.

https://www.opennet.ru/opennews/art.shtml?num=65410

Во FreeBSD [ выявлена ]( https://blog.calif.io/p/cve-2026-7270-how-i-get-root-on-freebsd ) уязвимость ( [ CVE-2026-7270 ]( https://www.cve.org/CVERecord?id=CVE-2026-7270 ) ), позволяющая непривилегированному пользователю выполнить код с правами ядра и получить root-доступ к системе. Уязвимость [ затрагивает ]( https://www.freebsd.org/security/advisories/FreeBSD-SA-26:13.exec.asc ) все выпуски FreeBSD, сформированные с 2013 года. В открытом доступе размещён [ эксплоит ]( https://github.com/califio/publications/tree/main/MADBugs/freebsd-CVE-2026-7270 ) , работа которого проверена на системах с FreeBSD 11.0 по 14.4. Уязвимость устранена в обновлениях FreeBSD 15.0-RELEASE-p7, 14.4-RELEASE-p3, 14.3-RELEASE-p12 и 13.5-RELEASE-p13. Для более старых веток можно использовать [ патч ]( https://www.freebsd.org/security/patches/SA-26:13/exec.patch ) .

( [ читать дальше... ]( https://www.linux.org.ru/news/bsd/18288262#cut ) )

Доступен композитный сервер Hyprland 0.55, использующий протокол Wayland. Проект ориентирован на мозаичную (tiling) компоновку окон, но поддерживает и классическое произвольное размещение окон, группировку окон в форме вкладок, псевдомозаичный режим и полноэкранное раскрытие окон. Код написан на языке С++ и распространяется под лицензией BSD.

https://www.opennet.ru/opennews/art.shtml?num=65413

9 мая Microsoft выпустила очередную версию Azure Linux 3.0.20260506 с большим количеством исправлений для системы безопасности за последние несколько недель, затрагивающие такие компоненты как Avahi, GNU Binutils, libssh, Node.js, Ruby, ядро Linux, Rust и другие.

Azure Linux это специализированный дистрибутив Linux, разработанный Microsoft, предназначенный для работы в облачной инфраструктуре, edge-системах и сервисах Microsoft. Целью проекта является унификация Linux-решений, используемых внутри Microsoft, что должно упростить их поддержку и обновление. Azure Linux содержит лишь базовый набор пакетов, необходимый для работы в облаке, и оптимизирован для минимального потребления ресурсов. Подробности можно посмотреть на [ англоязычной странице Википедии ]( https://en.wikipedia.org/wiki/Azure_Linux ) и на [ официальном сайте Microsoft ]( https://azure.microsoft.com/ru-ru/solutions/linux-on-azure ) .

https://www.linux.org.ru/news/linux-general/18288427

Опубликован проект lay, помогающий исправлять слова, набранные с использованием не той раскладки клавиатуры, в GNOME-окружении на базе Wayland. Утилита исправляет последнее слово, набранное в неправильной русской или английской раскладке, по двойному нажатию клавиши Shift. Код написан на языке Rust и распространяется под лицензией MIT. На данной стадии развития программа имеет качество бета-версии - приветствуется отправка отчётов об ошибках.

https://www.opennet.ru/opennews/art.shtml?num=65414

Представлен первый бета выпуск языка программирования Mojo 1.0, который ознаменовал стабилизацию языка и реализацию всех базовых возможностей. Выпуск оценивается как почти готовый к повсеместному использованию. Финальный релиз Mojo 1.0 ожидается в начале осени. Использование данной ветки позволит начать разрабатывать крупные проекты, не опасаясь появления в языке изменений, нарушающих совместимость.

https://www.opennet.ru/opennews/art.shtml?num=65415

Проект lay — небольшой помощник раскладки для GNOME/Wayland.

Главный сценарий простой: если слово набрано не в той раскладке из сочетания RU/EN, нажимаешь Shift два раза, и оно перепечатывается в другой раскладке.

( [ читать дальше... ]( https://www.linux.org.ru/news/opensource/18288596#cut ) )

Состоялся выпуск Nocturne 1.0.0, современного свободного музыкального проигрывателя для рабочего стола GNOME. Приложение построено с использованием GTK 4 и libadwaita и предназначено для объединения музыкальной коллекции из нескольких источников: локальных файлов, серверов Jellyfin, OpenSubsonic и Navidrome. Код проекта распространяется под лицензией GPL-3.0.

Nocturne позволяет просматривать композиции, исполнителей, альбомы, радиостанции и списки воспроизведения, управлять списками, загружать музыку для автономного прослушивания, получать тексты песен автоматически, использовать звуковой эквалайзер и визуализацию. Также реализована интеграция с MPRIS, благодаря чему воспроизведением можно управлять через стандартные элементы управления рабочего окружения.

В версии 1.0.0 добавлена возможность задавать максимальный битрейт, появилась поддержка выравнивания воспринимаемой громкости через ReplayGain, добавлен вариант отображения проигрывателя в боковой панели, реализована совместимость с текстами песен, синхронизированными по словам. Интерфейс, по словам разработчиков, стал быстрее и стабильным.

Кроме того, в Nocturne 1.0.0 реализовано бесшовное воспроизведение без пауз между дорожками, группировка композиций в альбомах по дискам и возможность включить динамический фон в главном окне. Эти изменения делают программу ближе к полноценному клиенту для личной музыкальной коллекции, а не просто к минималистичному проигрывателю локальных файлов.

Установить Nocturne в Linux можно через Flathub:

flatpak install flathub com.jeffser.Nocturne

Также проект доступен в AUR для Arch Linux, а исходный код размещён на GitHub. Среди зависимостей указаны Python 3.13 или новее, GTK 4, libadwaita 1.9 или новее, GLib 2.84, libsecret, GStreamer и blueprint-compiler.

На момент подготовки материала в Flathub уже отображается следующая корректирующая версия 1.0.1, где добавлены имитация пословной синхронизации текста при отсутствии таких данных, оптимизации расхода памяти и несколько исправлений для боковой панели, радиостанций и отдельных серверов OpenSubsonic.

<p class="tags"> nocturne

https://www.linux.org.ru/news/multimedia/18288632

Представлен выпуск Nocturne 1.0, музыкального проигрывателя с возможностями управления музыкальной библиотекой и подключения к сетевым музыкальным сервисам. Код проекта написан на языке Python с использованием виджетов libadwaita и мультимедийной библиотеки gstreamer, и распространяется под лицензией GPLv3. Готовые сборки доступны в формате Flatpak.

https://www.opennet.ru/opennews/art.shtml?num=65416

Команда, отвечающая за формирование релизов Debian, объявила о переводе воспроизводимой пересборки пакетов в число обязательных возможностей. Вчера в сборочную систему внесены изменения, блокирующие перенос в репозиторий новых пакетов, не поддерживающих воспроизводимую сборку. В репозитории testing также запрещено обновление существующих пакетов, в которых выявлены регрессии с воспроизводимостью сборки.

https://www.opennet.ru/opennews/art.shtml?num=65418

Тихо и незаметно опубликован релиз специализированного дистрибутива Parrot OS 7.2, ориентированного на пентест, цифровую криминалистику, реверсивную разработку и задачи приватности. Новая версия уже доступна для загрузки; на странице проекта для Security Edition указаны образы ISO, OVA, UTM, VMDK и QCOW2, а также версия 7.2 с датой выпуска в мае 2026.

Главным изменением Parrot OS 7.2 стал переход на ядро Linux 6.19.13, в котором закрыта уязвимость CVE-2026-31431, известная как Copy Fail. Ошибка затрагивала криптографическую подсистему ядра и могла использоваться локальным непривилегированным пользователем для повышения прав до root.

Обновлён набор инструментов для аудита безопасности и пентеста. Среди заметных версий упоминаются Metasploit 6.4.127, BloodHound 9.0, OWASP ZAP 2.16.1, sqlmap 1.10.3, NetExec 1.5.1, Certipy AD 5.0.4, Evilginx 3.3, Evil-WinRM-py 1.6, GDB GEF 2026.01, Legion 0.7 и другие пакеты. Security Edition по-прежнему позиционируется как полный комплект для пентестеров, криминалистов, реверс-инжениренга и исследователей безопасности, включающий более 800 инструментов.

Десктопная часть в Parrot OS 7.2 продолжает использовать KDE: заявлены Plasma 6.3.6, KDE Frameworks 6.13, KDE Gear 25.04.3 и Qt 6.8.2. Также продолжается перевод parrot-menu на новую кодовую базу на Go, добавлены новые приложения, обновлены оформление и инструменты.

Из системных изменений отмечены встроенная в parrot-core проверка пакетов, установленных через Flatpak, с автоматической обработкой их обновлений, доработка post-install-логики для более стабильной синхронизации домашнего каталога при переходе с Parrot 6 «Lory», а также синхронизация с актуальными обновлениями Debian, включая исправления безопасности и стабильности.

Для Hack The Box Edition добавлена поддержка генерации образов в форматах ISO и VM, а кодовая база для виртуальных машин была переработана для повышения модульности, читаемости и упрощения сборки через CI/CD. Разработчики рассчитывают, что это позволит расширять набор редакций и вариантов Parrot, в том числе для ARM-архитектуры.

Образы Parrot OS 7.2 доступны на сайте проекта. Для Security Edition указана архитектура AMD64/x86_64, размер ISO — 7,8 ГБ, минимальные требования включают четырёхъядерный процессор, 4 ГБ памяти, 40 ГБ свободного места и экран с разрешением не ниже 1024×768.

Полезные ссылки:

• [ Обзор ]( https://linuxiac.com/parrot-os-7-2-ships-with-linux-kernel-6-19-and-copy-fail-fix/ )

• [ Страница загрузки ]( https://parrotsec.org/download/ )

https://www.linux.org.ru/news/security/18288616

Компания Microsoft опубликовала ежемесячное обновление дистрибутива Azure Linux 3.0.20260506. Дистрибутив развивается в качестве универсальной базовой платформы для Linux-окружений, используемых в облачной инфраструктуре, edge-системах и различных сервисах Microsoft. Собственные наработки проекта распространяются под лицензией MIT. Сборки пакетов формируются для архитектур aarch64 и x86_64. Размер установочного образа 770 МБ.

https://www.opennet.ru/opennews/art.shtml?num=65419

[ Доступен ]( https://hypr.land/news/update55/ ) композитный сервер [ Hyprland 0.55 ]( https://hyprland.org/ ) , использующий протокол Wayland. Проект ориентирован на мозаичную (tiling) компоновку окон, но поддерживает и классическое произвольное размещение окон, группировку окон в форме вкладок, псевдомозаичный режим и полноэкранное раскрытие окон. Код написан на языке С++ и [ распространяется ]( https://github.com/hyprwm/Hyprland/ ) под лицензией BSD.

Предоставляются возможности для создания визуально привлекательных интерфейсов: градиенты в обрамлении окон, размытие фона, анимационные эффекты и тени. Для расширения функциональности могут подключаться плагины, а для внешнего управления работой предоставляется IPC на базе сокетов. Настройка осуществляется через файл конфигурации, изменения в котором подхватываются на лету без перезапуска. Из функций также выделяются: динамически создаваемые виртуальные рабочие столы; режимы компоновки элементов на экране; глобальная обработка горячих клавиш; управление жестами на тачпаде/сенсорном экране.

( [ читать дальше... ]( https://www.linux.org.ru/news/bsd/18288603#cut ) )

Компания Google анонсировала новое поколение системы отсеивания ботов reCAPTCHA, применяемой на многих сайтах для проверки обращения человеком. В новой реализации reCAPTCHA вместо выбора картинок, соответствующих заданному вопросу, применяется подтверждение через сканирование QR-кода смартфоном. Проблема в том, что в числе требований к смартфонам, которые могут использоваться для прохождения капчи, заявлены относительно новые версии iPhone/iPad, а также устройства с платформой Android c установленным проприетарным пакетом Google Play Services.

https://www.opennet.ru/opennews/art.shtml?num=65420

[ Доступен ]( https://hypr.land/news/update55/ ) композитный сервер [ Hyprland 0.55 ]( https://hyprland.org/ ) , использующий протокол Wayland. Проект ориентирован на мозаичную (tiling) компоновку окон, но поддерживает и классическое произвольное размещение окон, группировку окон в форме вкладок, псевдомозаичный режим и полноэкранное раскрытие окон. Код написан на языке С++ и [ распространяется ]( https://github.com/hyprwm/Hyprland/ ) под лицензией BSD.

Предоставляются возможности для создания визуально привлекательных интерфейсов: градиенты в обрамлении окон, размытие фона, анимационные эффекты и тени. Для расширения функциональности могут подключаться плагины, а для внешнего управления работой предоставляется IPC на базе сокетов. Настройка осуществляется через файл конфигурации, изменения в котором подхватываются на лету без перезапуска. Из функций также выделяются: динамически создаваемые виртуальные рабочие столы; режимы компоновки элементов на экране; глобальная обработка горячих клавиш; управление жестами на тачпаде/сенсорном экране.

( [ читать дальше... ]( https://www.linux.org.ru/news/opensource/18288603#cut ) )

Команда, отвечающая за формирование релизов Debian, [ объявила ]( https://lists.debian.org/debian-devel-announce/2026/05/msg00001.html ) о переводе [ воспроизводимой пересборки ]( https://reproduce.debian.net/ ) пакетов в число обязательных возможностей. Вчера в сборочную систему внесены изменения, блокирующие перенос в репозиторий новых пакетов, не поддерживающих воспроизводимую сборку. В репозитории testing также запрещено обновление существующих пакетов, в которых выявлены регрессии с воспроизводимостью сборки.

( [ читать дальше... ]( https://www.linux.org.ru/news/debian/18289106#cut ) )

Опубликован Kdenlive 26.04.1, первый корректирующий выпуск свободного нелинейного видеоредактора из ветки 26.04. Разработчики называют обновление плановым обслуживающим релизом со стандартным набором исправлений стабильности и улучшений рабочего процесса, но отдельно подчёркивают: в эту версию включено важное исправление безопасности, поэтому пользователям рекомендуется обновиться до 26.04.1.

Главная причина выпуска — закрытие серьёзной уязвимости, найденной в ходе аудита безопасности, проведённого Radically Open Security при поддержке гранта NLnet/NGI0. Ошибка проявлялась при открытии специально подготовленного файла проекта .kdenlive и могла привести к удалённому выполнению кода. Исправление включено в Kdenlive 26.04.1. Разработчики отмечают, что сведений об эксплуатации уязвимости пока нет; риск возникает при открытии чужих проектов, полученных от других людей или загруженных из сети. Если обновиться сразу нельзя, рекомендуется не открывать файлы проектов, созданные не вами.

В базах уязвимостей проблема также проходит как CVE-2026-45184: в описании указано, что версии Kdenlive до 26.04.1 допускают опасные параметры для промежуточных файлов при использовании проекта, контролируемого атакующим. Для записи указан уровень Medium и базовая оценка CVSS 3.1 — 6.5.

Кроме самого исправления, разработчики уже добавили дополнительный уровень проверок для будущей версии Kdenlive 26.08.0: программа должна будет предупреждать пользователя, если при загрузке проекта обнаружится неожиданный ввод. Это не заменяет исправление в 26.04.1, а должно стать дополнительной защитой при открытии файлов проекта.

Изменения в Kdenlive 26.04.1

• исправлена обработка прав доступа в macOS;

• исправлена минимальная поддерживаемая версия macOS в Info.plist;

• предотвращён доступ к неинициализированному устройству записи;

• предотвращён доступ к звуковому устройству до подтверждения разрешений;

• добавлено предупреждение о недопустимой заготовке при открытии документа;

• исправлено зависание позиции монитора клипа при переключении между клипами;

• исправлен бесконечный запрос подтверждения изменения размера последовательности;

• для macOS добавлен явный запрос доступа к микрофону;

• исправлен порядок перехода между элементами в диалоге создания цветного клипа;

• исправлено добавление последовательности без звука на монтажную шкалу;

• исправлено открытие недавнего проекта с неверным профилем из начального экрана;

• исправлена архивация титровых файлов с изображениями;

• исправлен сбой при разрезании субтитров на слоях выше нулевого;

• предпросмотр переходов переключён на GIF, так как большинство сборок Kdenlive не кодируют WebP;

• исправлена генерация предпросмотра переходов;

• исправлен сбой при многократном переключении между видом значков и списком в перечне переходов;

• исправлена попытка доступа к неинициализированному основному профилю при открытии документа;

• исправлен сбой набора тестов отрисовки при неизвестном профиле вывода;

• очищены параметры промежуточных файлов;

• ограничено число поддерживаемых слоёв субтитров;

• исправлено зависание при отмене восстановления проекта;

• исправлена работа списков воспроизведения с разными профилями;

• исправлено создание промежуточных файлов для клипов из списка воспроизведения;

• исправлен возможный сбой при добавлении первого клипа;

• исправлен сбой при закрытии приложения через кнопку закрытия на приветственном экране.

Kdenlive — свободный видеоредактор с открытым кодом, входящий в экосистему KDE. Проект работает на Linux, Windows, macOS и BSD; документация указывает, что программа распространяется как свободное ПО под лицензией GPL. Для Linux команда Kdenlive официально поддерживает прежде всего сборки AppImage и Flatpak, но обновление также может появляться через пакетные менеджеры дистрибутивов. ([Kdenlive][3])

[ Описание уязвимости ]( https://www.tenable.com/cve/CVE-2026-45184 )

https://www.linux.org.ru/news/multimedia/18288619

Опубликован выпуск Giada 1.4.1 Korrigan, петлевой машины (loop machine) и сэмплера для живых выступлений. Программа предназначена для музыкантов, диджеев и исполнителей электронной музыки: в ней можно собирать выступление из звуковых дорожек и MIDI-событий, запускать звуковые фрагменты с клавиатуры или MIDI-контроллера, записывать живой звук, редактировать композиции и использовать модули расширения. Код распространяется под GPL, сборки доступны для Linux, Windows, macOS и FreeBSD.

( [ читать дальше... ]( https://www.linux.org.ru/news/multimedia/18288617#cut ) )

Компания Google объявила о расширении программы выплаты вознаграждений за выявление уязвимостей в платформе Android, браузере Chrome и лежащих в их основе компонентах. Максимальный размер премии за создание экплоита для платформы Android, позволяющего добиться выполнения кода на уровне чипа Pixel Titan M2 без выполнения специальных действий пользователем (zero-click), установлен в 1.5 миллиона долларов, если атакующему удастся закрепиться в системе, и 750 тысяч долларов для атак, не устанавливающих постоянный контроль над системой. Дополнительно учреждены премии за извлечение защищённых конфиденциальных данных (до $375 тысяч) и программный обход экрана блокировки (до $150 тысяч).

https://www.opennet.ru/opennews/art.shtml?num=65422

9-го мая состоялся выпуск 1.21.0 кроссплатформенной консольной утилиты [ leaf ]( https://leaf.rivolink.mg ) , предназначенной для просмотра файлов в формате Markdown.

Основные возможности:

• подсветка синтаксиса;

• поддержка математических формул LaTeX;

• поддержка диаграмм [ Mermaid ]( https://mermaid.ai/web ) ;

• TUI c возможностью полного переопределения оформления;

• полнотекстовый поиск текста в TUI;

• 4 встроенные темы оформления с возможностью использования пользовательских тем;

• интеграция с редактором;

• слежение за изменениями редактируемого файла.

( [ читать дальше... ]( https://www.linux.org.ru/news/opensource/18289423#cut ) )

После двух с половиной лет разработки и почти семи лет с прошлого значительного выпуска опубликован релиз редактора изображений Photoflare 1.7.0, разработчики которого пытаются найти оптимальный баланс между функциональностью и удобством интерфейса. Изначально проект был основан как попытка создания открытой и многоплатформенной альтернативы Windows-приложению PhotoFiltre. Код проекта написан на языке С++ с использованием библиотеки Qt и распространяется под лицензией GPLv3. Готовые сборки сформированы в формах AppImage и Flatpak.

https://www.opennet.ru/opennews/art.shtml?num=65423

Состоялся выпуск NVIDIA-VAAPI-Driver 0.0.17 — открытой реализации VA-API поверх NVIDIA NVDEC, позволяющей использовать аппаратное декодирование видео на системах Linux с проприетарными драйверами NVIDIA.

Проект выступает прослойкой между приложениями, использующими стандартный Linux-интерфейс VA-API, и аппаратным видеодекодером NVDEC. Благодаря этому Firefox, mpv, VLC, Chromium и другие программы могут задействовать аппаратное ускорение воспроизведения видео на видеокартах NVIDIA без необходимости прямой поддержки VDPAU или CUDA.

В новой версии основное внимание уделено совместимости с современными платформами NVIDIA и исправлению ошибок. Среди изменений:

• исправлена работа на системах с платформой GB10;

• улучшена совместимость с новыми выпусками драйверов NVIDIA;

• устранены ошибки при обработке HEVC-потоков;

• исправлены проблемы с управлением видеобуферами;

• снижено количество сбоев при воспроизведении видео в Firefox;

• улучшена работа под Wayland;

• обновлена совместимость с ffmpeg и libva.

Проект особенно востребован среди пользователей Wayland и современных браузеров, где VA-API остаётся основным механизмом аппаратного декодирования видео. Несмотря на наличие собственного интерфейса VDPAU у NVIDIA, многие Linux-приложения ориентированы именно на VA-API, что и делает NVIDIA-VAAPI-Driver фактическим слоем совместимости для экосистемы NVIDIA под Linux.

Код проекта распространяется под лицензией MIT.

https://www.linux.org.ru/news/hardware/18289488

Тихо и незаметно состоялся релиз FEX 2605 — открытого эмулятора и среды совместимости, предназначенной для запуска Linux-приложений, собранных для архитектур x86 и x86-64, на системах ARM64. Проект развивается как альтернатива box64 и qemu-user, ориентированная прежде всего на высокую производительность, поддержку игр и сложного пользовательского ПО.

FEX использует динамическую двоичную трансляцию (JIT) и реализует собственную модель обработки системных вызовов Linux, благодаря чему способен запускать Steam, Wine, Proton и большое количество обычных x86_64-программ на ARM-устройствах. Проект активно развивается в контексте Linux-игр на ARM и поддерживается в том числе разработчиками из Valve.

В выпуске 2605 основное внимание уделено исправлению совместимости и подготовке к появлению новых ARM-платформ. Среди изменений:

• улучшена поддержка процессоров Qualcomm Snapdragon X Elite/X2;

• исправлены ошибки работы Wine и Proton;

• повышена стабильность многопоточных приложений;

• оптимизирована работа JIT-компилятора;

• устранены проблемы совместимости с рядом игр и DRM-компонентов;

• обновлены механизмы обработки AVX и SSE-инструкций;

• улучшена интеграция с Mesa и Vulkan-драйверами;

• сокращены накладные расходы при переключении контекстов.

Разработчики отдельно отмечают продолжающуюся работу над запуском современных игровых проектов на ARM-ноутбуках под Linux. В последние месяцы FEX всё чаще упоминается как один из ключевых компонентов будущей ARM-экосистемы Linux для десктопов и игровых устройств.

Проект распространяется под лицензией MIT. Исходные тексты опубликованы на GitHub.

Исходный код:
[ FEX GitHub ]( https://github.com/FEX-Emu/FEX )

https://www.linux.org.ru/news/hardware/18289460

Программа ориентирована на широкий круг пользователей и предоставляет типовые возможности для редактирования изображений, рисования кистями, наложения фильтров, применения градиентов и корректировки цвета. Поддерживается обработка группы изображений в [ пакетном режиме ]( https://photoflare.github.io/photoflare/batch.html ) . Например. Photoflare позволяет изменять формат и размер, применять фильтры, поворачивать изображение, выравнивать яркость и насыщенность сразу в нескольких выбранных файлах.

( [ читать дальше... ]( https://www.linux.org.ru/news/multimedia/18289728#cut ) )

Опубликованы корректирующие выпуски инструментария Tor 0.4.8.25 и 0.4.9.8, используемого для организации работы анонимной сети Tor. В релизе Tor 0.4.9.8 устранено 6 уязвимостей.

https://www.opennet.ru/opennews/art.shtml?num=65424

Компания NVIDIA опубликовала первый выпуск инструментария CUDA-oxide, позволяющего создавать на языке Rust параллельно исполняемые в GPU ядра CUDA SIMT (Single Instruction, Multiple Threads). Проект позволяет компилировать код на языке Rust, использующий штатную систему типов и модель владения Rust, напрямую в инструкции для выполнения в виртуальной машине CUDA PTX (Parallel Thread Execution) без применения промежуточных предметно-ориентированных языков (DSL) и обвязок. Код инструментария написан на языке Rust и распространяется под лицензией Apache 2.0. Первый выпуск позиционируется как начальная альфа-версия.

https://www.opennet.ru/opennews/art.shtml?num=65426

Руководитель компании GitLab опубликовал обращение к клиентам и акционерам, в котором объявил о грядущем сокращении персонала и реструктуризации компании для перехода в "эру AI-агентов", в которой код будет создаваться, рецензироваться, исправляться и развёртываться при помощи AI, а люди сохранят за собой функции принятия решений и управления архитектурой. Предполагается, что создание программного обеспечения помощи AI-агентов значительно снизит стоимость и время разработки, и приведёт к увеличению числа создаваемых программных продуктов.

https://www.opennet.ru/opennews/art.shtml?num=65427

Разработчики проекта GNOME выпустили обновление справочного приложения Yelp, устраняющее уязвимость, позволявшую выполнить выход из sandbox-окружения Flatpak.

Проблема была связана с обработкой внешних URI и особенностями интеграции Yelp с механизмами запуска приложений. При открытии специально подготовленного документа атакующий мог добиться выполнения команд вне ограничений sandbox, получив доступ к пользовательской системе с привилегиями текущего пользователя.

( [ читать дальше... ]( https://www.linux.org.ru/news/security/18290145#cut ) )

>>> [ Исходный код на GNOME GitLab ]( https://gitlab.gnome.org/GNOME/yelp )

>>> [ Разбор уязвимости от разработчика GNOME Michael Catanzaro ]( https://blogs.gnome.org/mcatanzaro/2026/05/11/flatpak-sandbox-escape-via-yelp/ )

[ Опубликованы ]( https://forum.torproject.org/t/security-release-0-4-8-24-and-0-4-9-7/21551 ) корректирующие выпуски инструментария Tor [ 0.4.8.25 ]( https://gitlab.torproject.org/tpo/core/tor/-/raw/release-0.4.8/ReleaseNotes ) и [ 0.4.9.8 ]( https://gitlab.torproject.org/tpo/core/tor/-/raw/release-0.4.9/ReleaseNotes ) , используемого для организации работы анонимной сети Tor. В релизе Tor 0.4.9.8 устранено 6 уязвимостей:

• TROVE-2026-011 - ошибка, приводившая к чтению данных из области за границей буфера при обработке специально оформленных сообщений ( [ cell ]( https://spec.torproject.org/tor-spec/cell-packet-format.html ) ) END, TRUNCATE и TRUNCATED;

• TROVE-2026-008 - неправильная обработка сообщений BEGIN_DIR при использовании механизма [ conflux ]( https://spec.torproject.org/intro/index.html ) .

• TROVE-2026-010 - в механизме conflux при очистке очереди неупорядоченных сообщений неверно пересчитывались счётчики и переменные состояния.

• TROVE-2026-009 - аварийное завершение клиента, вызванное двойным закрытием цепочки при условии нехватки свободной памяти для работы очередей цепочек.

• TROVE-2026-006 - разыменование нулевого указателя, которое может произойти при обработке специально оформленного сообщения CERT.

• TROVE-2026-007 - чтение из области вне выделенного буфера, возникающее при обработке специально оформленного сообщения BEGIN.

Debian уже выпустил обновление пакета [ tor 0.4.9.8-0+deb13u1 ]( https://security-tracker.debian.org/tracker/source-package/tor ) для стабильной версии дистрибутива и 0.4.9.8-1 для нестабильной. Исправления уязвимостей вошли в состав выпусков [ Tor Browser 15.0.13 ]( https://blog.torproject.org/new-release-tor-browser-15013/ ) и [ Tails 7.7.3 ]( https://blog.torproject.org/new-release-tails-7_7_3/ ) .

Несколько дней назад также [ опубликован ]( https://blog.torproject.org/arti_2_3_0_released/ ) выпуск [ Arti 2.3.0 ]( https://gitlab.torproject.org/tpo/core/arti/ ) , реализации инструментария Tor, написанной на языке Rust. Когда код Arti достигнет уровня, способного полностью заменить вариант на Си, разработчики Tor намерены придать Arti статус основной реализации Tor и постепенно прекратить сопровождение реализации на Си. В новой версии
проложено развитие функциональности для релеев и серверов директорий (Directory Authority), добавлен новый RPC API для инспектирования туннелей, предоставлена поддержка сохранения логов через syslog и добавлена настройка logging.protocol_warnings для отражения в логе предупреждений о некорректном использовании протокола.

https://www.linux.org.ru/news/internet/18290053

Организация Khronos Group опубликовала обновление графического API Vulkan 1.4.351. Релиз носит технический характер и включает шесть новых расширений, исправления спецификаций и очередную порцию подготовки инфраструктуры для будущих GPU и игровых движков.

Наиболее заметным новшеством стало расширение VK_KHR_shader_bfloat16, добавляющее поддержку формата BFloat16 в шейдерах. Формат активно используется в задачах машинного обучения и AI-ускорения, позволяя снизить требования к памяти и увеличить производительность вычислений по сравнению с FP32. Расширение ориентировано прежде всего на современные GPU с аппаратной поддержкой AI-нагрузок.

Также в спецификацию включены:

• VK_KHR_shader_expect_assume — подсказки компилятору для оптимизации ветвлений;

• VK_EXT_image_sliced_view_of_3d — создание 2D-view из 3D-текстур;

• VK_EXT_image_compression_control_swapchain — управление сжатием изображений в swapchain;

• обновления трассировки лучей и SPIR-V-инфраструктуры;

• уточнения поведения memory model и синхронизации.

Разработчики Mesa уже начали интеграцию новых возможностей в RADV и ANV, а NVIDIA и AMD обновили внутренние спецификации драйверов. Часть расширений появится в будущих версиях DXVK, VKD3D-Proton и игровых движках на базе Unreal Engine и Unity.

Отдельно отмечается, что Khronos продолжает курс на постепенное сближение графических и AI-нагрузок внутри Vulkan. Поддержка BFloat16 рассматривается как один из шагов к более тесной интеграции ML-функций без использования отдельных CUDA- или ROCm-API.

https://www.linux.org.ru/news/opensource/18290140

( [ читать дальше... ]( https://www.linux.org.ru/news/opensource/18290167#cut ) )

Дэниел Cтенберг (Daniel Stenberg), автор утилиты для получения и отправки данных по сети curl, подвёл итог применения AI-модели Claude Mythos для анализа уязвимостей в кодовой базе Curl. По мнению Дэниела, анонсированные компанией Anthropic прорывные возможности AI-модели Claude Mythos в области поиска уязвимостей, из-за которых компания ограничила доступ к модели, являются скорее маркетинговым приувеличением, так как при проверке кода Curl модель не показала существенных преимуществ по сравнению с AI-продуктами от других производителей.

https://www.opennet.ru/opennews/art.shtml?num=65428