Кратко о самых интересных новостях первой половины этого месяца. Компания Amazon совершила прорыв в квантовых вычислениях с процессором Ocelot. В трёх популярных библиотеках — JSON Logger, ruby-saml и FreeType — нашли критические уязвимости, обновления уже доступны. А ещё состоялся релиз операционной системы FreeBSD 13.5, который станет последним в ветке FreeBSD 13.x. Далее обо всём этом расскажем подробнее.
Amazon представила квантовый процессор Ocelot
Ocelot решает одну из ключевых проблем квантовых вычислений — снижение аппаратных затрат. Процессор использует гибридную архитектуру, объединяющую два типа кубитов: кошачьи кубиты и трансмоны. Кошачьи кубиты устойчивы к ошибкам переворота бита, а трансмоны корректируют ошибки, связанные с фазовым сдвигом. Такая комбинация обеспечивает стабильность вычислений и снижает количество ошибок.
Процессор Ocelot состоит из двух кристаллов площадью 1 см2 каждый, на которых размещены сверхпроводящие материалы, формирующие квантовые схемы. Чип включает 14 компонентов: пять кошачьих кубитов, пять буферных схем и четыре трансмона для обнаружения ошибок. Осцилляторы, используемые для хранения квантовых состояний, изготовлены из сверхпроводящего тантала, что повышает их производительность.
Компания уверена, что Ocelot ускорит создание практичного квантового компьютера, устойчивого к ошибкам, на пять лет.
Уязвимость в Python-библиотеке, насчитывающей 40 млн загрузок в месяц
В популярной Python-библиотеке JSON Logger, ежемесячно загружаемой более 40 млн раз, обнаружена уязвимость CVE-2025-27607. Она позволяла злоумышленникам подменять зависимость при установке через PyPI, что могло привести к выполнению произвольного кода на системах, использующих этот пакет. Проблема устранена в версии 3.3.0, выпущенной 7 марта 2025 года.
Уязвимость возникла из-за наличия в списке необязательных зависимостей библиотеки msgspec-python313-pre, которая была удалена её авторами из PyPI в декабре 2024 года без предупреждения. Это позволило злоумышленникам загрузить в каталог PyPI пакет с тем же именем, который автоматически подключался при установке JSON Logger с опцией разработки (pip install python-json-logger[dev]). Исследователь, обнаруживший проблему, подтвердил возможность выполнения стороннего кода, зарегистрировав поддельный пакет.
Ранее администраторов PyPI неоднократно предупреждали о рисках, связанных с удалением проектов, чтобы избежать инцидентов, подобных left-pad, и предотвратить атаки через цепочку поставок (supply chain). Однако предложения о запрете удаления пакетов не были реализованы, что оставило возможность для повторной регистрации и эксплуатации уязвимостей.
Релиз FreeBSD 13.5
После шести месяцев разработки выпущен финальный релиз FreeBSD 13.5, завершающий ветку 13.x. Поддержка этой версии продлится до 30 апреля 2026 года. Параллельно развиваются ветки FreeBSD 14 (следующий релиз 14.3 запланирован на 3 июня 2025 года) и FreeBSD 15, первый выпуск которой ожидается в декабре 2025 года.
Основные изменения:
- Jail-окружения: Добавлена возможность запуска утилит sysctl и ip6addrctl в контексте изолированных Jail, что упрощает управление параметрами ядра и сетевых настроек для контейнеров.
- ZFS: В инсталляторе bsdinstall появилась возможность редактирования параметров создания ZFS-пулов, включая выбор алгоритма сжатия.
- LLVM: Компиляторы и инструменты LLVM обновлены до версии 19.1.7.
- UFS1: Решена проблема 2038 года, теперь файловая система поддерживает даты до 2106 года.
- Сетевые драйверы: Добавлена поддержка алгоритма AIM (Adaptive Interrupt Moderation) для драйверов igc и e1000, что улучшает производительность UDP и снижает нагрузку на CPU.
- Облачные платформы: Улучшена поддержка Oracle Cloud Infrastructure (OCI), Amazon EC2 и Vagrant, включая увеличение размера виртуальной памяти до 8 ГБ.
- Обновления ПО: Версии OpenSSH, Unbound, SQLite, libarchive и других компонентов обновлены до последних стабильных выпусков.
Устаревшие функции:
- В FreeBSD 15 прекратится поддержка 32-разрядных платформ (кроме armv7), драйвера AGP и инструментария gvinum.
- Утилита shar для создания самораспаковывающихся архивов признана устаревшей из-за потенциальных рисков безопасности.
- Среда рабочего стола KDE удалена из установочных образов из-за проблем совместимости с OpenSSL 1.1.1.
Архитектуры и образы
FreeBSD 13.5 поддерживает архитектуры amd64, i386, armv6, armv7, aarch64, riscv64 и другие. Также доступны образы для виртуализации (QCOW2, VHD, VMDK) и облачных платформ.
Этот релиз завершает эпоху FreeBSD 13.x, открывая путь к новым возможностям в ветках 14 и 15.
В библиотеке FreeType обнаружена критическая уязвимость
Специалисты Facebook* сообщили о 0-day уязвимости (CVE-2025-27363) в библиотеке FreeType, используемой для рендеринга шрифтов (применяется в Linux, Android, игровых движках, GUI-фреймворках и онлайн-платформах) . Проблема, оцененная в 8,1 балла по шкале CVSS, позволяет злоумышленникам выполнять произвольный код удаленно. Уязвимость затрагивает все версии FreeType до 2.13.0.
Ошибка связана с некорректной обработкой подглифовых структур в шрифтах TrueType GX и переменных файлах. Это приводит к переполнению буфера и возможности записи данных за его пределами, что может быть использовано для выполнения произвольного кода.
Проблема была устранена в версии FreeType 2.13.0, выпущенной в феврале 2023 года. Однако исследователи предупреждают, что уязвимость уже эксплуатировалась в атаках. Рекомендуется обновить библиотеку до актуальной версии 2.13.3.
*признан экстремистским на территории РФ
GitLab устранил опасные уязвимости в библиотеке ruby-saml
Команда GitLab выпустила обновления для своих версий Community Edition (CE) и Enterprise Edition (EE), чтобы устранить критические уязвимости в библиотеке ruby-saml. Проблемы (CVE-2025-25291 и CVE-2025-25292) могли позволить злоумышленникам обходить механизмы аутентификации, использующие SAML Single Sign-On (SSO).
Причиной уязвимостей стали различия в обработке XML-документов парсерами REXML и Nokogiri. Это создавало условия для атаки типа XML Signature Wrapping (XSW), при которой злоумышленник мог подделать SAML-ответ и выдать себя за другого пользователя. Для успешной эксплуатации уязвимости атакующему требовался доступ к одной из действующих учетных записей, что могло привести к компрометации данных или несанкционированному повышению привилегий.
Исправления включены в версии ruby-saml 1.12.4 и 1.18.0, а также в GitLab CE/EE 17.7.7, 17.8.5 и 17.9.2. Пользователям, которые управляют своими инсталляциями (self-managed), рекомендуется не откладывать установку обновлений вручную. Для клиентов GitLab.com и GitLab Dedicated обновления применены автоматически.
GitHub, обнаруживший уязвимости, подчеркнул, что его платформа не пострадала, так как библиотека ruby-saml не используется с 2014 года. Тем не менее проблема актуальна для других проектов, где применяется эта библиотека. Помимо этого, GitLab устранил еще одну серьезную уязвимость (CVE-2025-27407), связанную с возможностью удаленного выполнения кода через функцию Direct Transfer, которая по умолчанию отключена.
Возможно, вам будет интересно
