В написанной на языке Rust библиотеке async-tar, предоставляющей функции для чтения и записи tar-архивов, выявлена уязвимость (CVE-2025-62518, кодовое имя TARmageddon), позволяющая при распаковке специально оформленного tar-архива не только извлечь размещённые в нём файлы, но и файлы, содержащиеся во вложенном tar-архиве. Уязвимость может быть использована для обхода систем верификации архивов и распаковки файлов, для которых не выполнялась проверка.

https://www.opennet.ru/opennews/art.shtml?num=64093

[ Foot ]( https://codeberg.org/dnkl/foot )  — быстрый, легковесный и активно развиваемый эмулятор терминала для композиторов, использующий протокол Wayland.

Ключевые особенности:

• Минимум зависимостей. Установка foot в систему со Sway WM приводит к добавлению 3 мегабайт зависимостей.

• Ручная отрисовка. Foot не использует OpenGL или Vulkan и полагается исключительно на API, предоставляемые композитором Wayland.

( [ читать дальше... ]( https://www.linux.org.ru/news/opensource/18118664#cut ) )

Состоялся выпуск дистрибутива OpenWrt 24.10.4, развиваемого для сетевых устройств, таких как маршрутизаторы, коммутаторы и точки доступа. OpenWrt поддерживает 2815 устройств и предлагает систему сборки, упрощающую кросс-компиляцию и создание собственных сборок. Подобные сборки позволяют формировать готовые прошивки с желаемым набором предустановленных пакетов, оптимизированные под конкретные задачи. Готовые сборки опубликованы для 39 целевых платформ.

https://www.opennet.ru/opennews/art.shtml?num=64097

В написанной на языке Rust библиотеке [ async-tar ]( https://github.com/dignifiedquire/async-tar ) , предоставляющей функции для чтения и записи tar-архивов, [ выявлена ]( https://edera.dev/stories/tarmageddon ) уязвимость (CVE-2025-62518, кодовое имя TARmageddon), позволяющая при распаковке специально оформленного tar-архива не только извлечь размещённые в нём файлы, но и файлы, содержащиеся во вложенном tar-архиве. Уязвимость может быть использована для обхода систем верификации архивов и распаковки файлов, для которых не выполнялась проверка.

Уязвимость также проявляется в форках библиотеки [ async-tar ]( https://crates.io/crates/async-tar ) , таких как [ tokio-tar ]( https://crates.io/crates/tokio-tar ) , [ krata-tokio-tar ]( https://crates.io/crates/krata-tokio-tar ) и [ astral-tokio-tar ]( https://crates.io/crates/astral-tokio-tar ) , а также в утилитах на их основе, например, в пакетном менеджере [ uv ]( https://github.com/astral-sh/uv ) , развиваемом в качестве высокопроизводительной замены «pip» для проектов на языке Python. Из популярных проектов, использующих уязвимые библиотеки, также отмечаются инструментарий [ testcontainers ]( https://crates.io/crates/testcontainers ) для запуска docker-контейнеров и WebAssembly runtime [ wasmCloud ]( https://crates.io/crates/wasmcloud ) . В репозитории crates.is за последние 90 дней библиотека async-tar насчитывает 1.3 млн загрузок, tokio-tar - 2.2 млн, testcontainers - 2.9 млн.

Уязвимость вызвана некорректным выбором позиции при разборе разных значений размера в заголовках ustar и PAX. В tar-архивах в формате PAX для каждого файла внутри архива указываются два заголовка - классический ustar и расширенный PAX. Проблема вызвана тем, что уязвимые библиотеки при распаковке файлов вместо вычисления смещения на основе размера из расширенного заголовка PAX, брали размер из устаревшего заголовка ustar. При нулевом значении размера в заголовке ustar, идущее за ним содержимое файла обрабатывалось как корректный блок TAR-заголовков для следующего файла.

Уязвимости в библиотеках [ присвоен ]( https://github.com/astral-sh/tokio-tar/security/advisories/GHSA-j5gw-2vrg-8fgx ) уровень опасности 8.1 из 10, так как проблема может использоваться для перезаписи распаковываемых файлов (в уязвимых реализациях будут распакованы не те файлы, что были видны в архиве). При этом уязвимость в пакетном менеджере uv [ отмечена ]( https://github.com/astral-sh/uv/security/advisories/GHSA-w476-p2h3-79g9 ) как неопасная, так как если атакующий может влиять на содержимое исходного архива, нет смысла усложнять атаку и эксплуатировать уязвимость через вложенный архив, когда можно добиться выполнения кода через сборочные сценарии в основном архиве.

Выявившие уязвимость исследователи предложили несколько гипотетических сценариев атак, позволяющих обойти проверки безопасности и добиться выполнения кода через замену файлов конфигурации или вмешательство в сборочный процесс. Подразумевается, что присланный архив сможет пройти автоматизированную проверку сканером безопасности и ручной аудит, в ходе которого проверяющий не обратит внимание на странный вложенный архив с другими файлами, после чего при распаковке при помощи Rust-библиотек из архива будет извлечено иное содержимое, чем ожидалось.

Например, атакующий может загрузить модифицированный архив в репозиторий PyPI, который пройдёт проверку на основе анализа содержимого основного архива, содержащего легитимный файл pyproject.toml. При обработке данного пакета при помощи утилиты uv легитимный pyproject.toml будет заменён на вредоносный вариант из вложенного архива, содержащий команды, которые будут выполнены при сборке на компьютере разработчика или в системе непрерывной интеграции. Аналогично, можно организовать перезапись файлов контейнера при извлечении образа контейнера при помощи инструментария testcontainers.

https://www.linux.org.ru/news/security/18118692

Состоялся релиз СУБД Valkey 9.0, в прошлом году ответвившейся от СУБД Redis. Форк был образован после перевода Redis 7.4 на проприетарную лицензию. В выпуске Redis 8.0 код был возвращён на свободную лицензию AGPLv3, но это не повлияло на разработку проекта Valkey. Valkey развивается на нейтральной площадке под покровительством организации Linux Foundation при участии разработчиков из таких компаний, как Amazon, Google, Oracle, Ericsson и Snap. Код проекта написан на языке Си и распространяется под лицензией BSD. Поддерживается работа в Linux, macOS, OpenBSD, NetBSD и FreeBSD.

https://www.opennet.ru/opennews/art.shtml?num=64096

Представлен выпуск свободной UNIX-подобной операционной системы OpenBSD 7.8. Проект OpenBSD был основан Тэо де Раадтом (Theo de Raadt) в 1995 году после конфликта с разработчиками NetBSD, в результате которого для Тэо был закрыт доступ к CVS репозиторию NetBSD. После этого Тэо де Раадт с группой единомышленников создал на базе дерева исходных текстов NetBSD новую открытую операционную систему, главными целями развития которой стали переносимость (поддерживается 13 аппаратных платформ), стандартизация, корректная работа, проактивная безопасность и интегрированные криптографические средства. Размер полного установочного ISO-образа базовой системы OpenBSD 7.8 составляет 597 МБ.

https://www.opennet.ru/opennews/art.shtml?num=64101

Компания Apple опубликовала исходный код низкоуровневых системных компонентов операционной системы macOS 26.0 (Tahoe), в которых используется свободное программное обеспечение, включая составные части Darwin, компоненты, программы и библиотеки, не связанные с GUI. Всего опубликован 171 пакет с исходными текстами.

https://www.opennet.ru/opennews/art.shtml?num=64104

Управляющий совет проекта Fedora утвердил правила, регламентирующие применение AI-инструментов при разработке Fedora Linux. AI-инструменты рассматриваются как потенциальная возможность сделать платформу лучше, но при этом имеются опасения, связанные с конфиденциальностью, безопасностью, этикой и качеством. Решено не запрещать использование AI-ассистентов при обязательном человеческом контроле за результатом их работы и несении разработчиком ответственности за код.

https://www.opennet.ru/opennews/art.shtml?num=64102

Разработчики проекта AlmaLinux, развивающего редакцию дистрибутива Red Hat Enterprise Linux (RHEL), объявили о добавлении поддержки файловой системы Btrfs и реализации в инсталляторе возможности разметки накопителей с использованием Btrfs. В качестве причины упоминается прогресс в разработке Btrfs и продвинутые возможности, такие как контрольные суммы для обнаружения повреждения данных и метаданных, снапшоты, удобное управление томами, прозрачное сжатие и поддержка операции reflink для создания копии файлов через клонирование метаданных.

https://www.opennet.ru/opennews/art.shtml?num=64103

Фонда STF (Sovereign Tech Fund) представил новые открытые проекты, которым решено предоставить финансирование. Организация учреждена в Германии для стимулирования развития открытой цифровой инфраструктуры и экосистем с открытым исходным кодом. Фонд создан на средства, предоставленные Министерством экономики и защиты климата Германии, и курируется Федеральным агентством подрывных инноваций SPRIND. Отмечается, что инвестирование в открытое ПО способствует развитию инноваций в Германии и Европе, а также повышает конкурентоспобность, продуктивность и возможность продвижения инноваций в малых и средних предприятиях.

https://www.opennet.ru/opennews/art.shtml?num=64105

У [ легендарного ]( https://www.kvant.digital/about/history/ ) журнала «Квант» открылся новый [ сайт ]( https://www.kvant.digital/ ) – там и свежий номер, и архив старых, созданных под руководством Андрея Колмогорова и других крупнейших математиков.

Сайт позволяет искать по автоматически распознанным изображениям представленных номеров журнала. Попробуйте на странице [ «Архив номеров» ]( https://www.kvant.digital/issues/ ) ввести интересующее вас словосочетание. В качестве примера: [ кубик Рубика ]( https://www.kvant.digital/issues/?query=%D0%BA%D1%83%D0%B1%D0%B8%D0%BA+%D0%A0%D1%83%D0%B1%D0%B8%D0%BA%D0%B0 ) . По клику на номер с жёлтым фоном открывается страница номера с подсвеченными найденными словами. А если вы школьником отправляли решения в «Задачник „Кванта“», то можете попробовать найти свою фамилию в списках читателей, приславших решения.

( [ читать дальше... ]( https://www.linux.org.ru/news/opensource/18120089#cut ) )

После четырёх месяцев разработки [ опубликован ]( https://kde.org/announcements/plasma/6/6.5.0/ ) релиз среды рабочего стола [ KDE Plasma 6.5 ]( https://community.kde.org/Plasma/ ) . Для оценки работы новых выпусков KDE [ можно ]( https://kde.org/distributions/ ) [ воспользоваться ]( https://community.kde.org/Distributions ) сборками от проектов [ KDE Neon ]( https://neon.kde.org/ ) и [ openSUSE ]( http://download.opensuse.org/repositories/KDE:/Medias/images/iso/ ) (Argon, основанный на openSUSE Leap, и Krypton, основанный на openSUSE Tumbleweed).

Основные [ изменения ]( https://community.kde.org/Plasma/Plasma_6#Plasma_6.5 ) в KDE Plasma 6.5:

( [ читать дальше... ]( https://www.linux.org.ru/news/kde/18119070#cut ) )

>>> [ Полный список изменений по сравнению с корректирующим выпуском 6.4.5 от 9 сентября ]( https://kde.org/announcements/changelogs/plasma/6/6.4.5-6.5.0/ )

Компания Oracle сформировала новую ветку СУБД MySQL 9.5.0. Сборки MySQL Community Server 9.5.0 подготовлены для всех основных дистрибутивов Linux, FreeBSD, macOS и Windows. В соответствии с внедрённой в 2023 году моделью формирования релизов, MySQL 9.5 отнесён к веткам "Innovation". Innovation-ветки рекомендованы для тех, кто хочет раньше получать доступ к новой функциональности, публикуются каждые 3 месяца и поддерживаются только до публикации следующего значительного релиза (например, после появления ветки 9.5 прекращена поддержка ветки 9.4). Зимой планируют сформировать LTS-релиз 9.6, рекомендованный для внедрений, которым необходима предсказуемость и длительное сохранение неизменного поведения. Следом за LTS-веткой будет сформирована новая Innovation-ветка - MySQL 10.0.

https://www.opennet.ru/opennews/art.shtml?num=64100

В день 16-летия вышла новая версия открытой операционной системы реального времени Embox

Embox предназначена для встраиваемых систем. Главной идей является использование Linux-ПО без Linux. ОС является POSIX-совместимой и кроссплатформенной (ARM, MIPS, x86, RISC-V, Microblaze, SPARC, PowerPC, E2K), имеет аналог ./configure; make; make install, поддерживает C++. Есть поддержка ряда файловых систем: FAT, ext2/3/4, поддержка сетевого, графического и остальных системных стеков. Доступны популярные ЯП: Python, Lisp TCL, Ruby, Lua, JS, Scheme.

ОС написана на языке C, отличается гибкой конфигурируемостью на уровне исходных текстов и распространяется на условиях двухпунктной лицензии BSD.

( [ читать дальше... ]( https://www.linux.org.ru/news/opensource/18120719#cut ) )

Как всегда осенью, вышел очередной релиз OpenBSD

( [ читать дальше... ]( https://www.linux.org.ru/news/bsd/18120280#cut ) )