Если вы ждёте весны также сильно, как и мы, есть хорошие новости. Март не за горами! А это значит, что пришла пора подводить итоги февраля и рассказывать о том, как прошел этот месяц.
В этот раз собрали свежие статьи и инструкции, интересные и важные обновления, которые вы могли пропустить. И добавили лёгкий и приятный анонс — возможно, он поднимет вам настроение в разгар рабочих будней.
Статьи и инструкции
Как установить Docker на Ubuntu
Docker — открытая платформа для разработки, доставки и запуска приложений в контейнерах. Контейнеризация позволяет объединять приложение со всеми его зависимостями в единый автономный модуль, что обеспечивает одинаковую работу в любой среде: от разработки до тестирования и эксплуатации.
В статье рассказываем, как установить Docker на Ubuntu и начать работать с контейнерами. Вы узнаете, сколько ресурсов требуется для работы, разберетесь с основными командами и вместе с нами пройдете основные шаги по запуску контейнеров и загрузке образов.
firstvds.ru/technology/kak-ustanovit-docker-na-ubuntu
Habr: самое интересное за февраль
Что общего у квантового чипа от Microsoft и трансатлантического кабеля? Верный ответ — технологии, меняющие мир. В нашу подборку вошли статьи на самую разную тематику, но все они рассказывают о том, как наука, инженерия и творчество помогают расширять границы возможного.
- 3D для каждого: DIY-текстуры
- Microsoft представила квантовый чип Majorana 1 с топологическими кубитами
- Магия полупроводниковых диодов: начало
- От мечты к реальности: история трансатлантических кабелей
Новости февраля
Скоро! Старт акции на День хостера… и котиков
Всеми силами приближаем весну — время обновления и свежих стартов! Тем более, что первый день марта — наш профессиональный праздник, День хостера, и одновременно День кошек. Совпадение? Не думаем. Наши пушистые коллеги заслуживают особого внимания, ведь столько нам помогают.
Поэтому завтра, не дожидаясь официальной даты, начнём праздновать и раздавать подарки:
- Промокод со скидкой 25% на заказ новых VDS для всех желающих.
- И сертификаты на пополнение баланса номиналом 150 рублей для тех, кто с нами больше года.
Количество сертификатов ограничено.
Акция продлится до 12 марта 2025. Следите за новостями в нашем телеграм-канале, чтобы не пропустить начало праздника.
t.me/TakeFirstNews
Обновили условия сотрудничества для внештатных авторов
Бывает душа просит творчества, а куда направить этот порыв — неясно. Особенно если хочется, чтобы не просто так, а с пользой для себя и для дела. Выход есть!
В феврале мы обновили условия для наших внештатных авторов — повысили размер гонораров и добавили кое-что интересное для пишущих в блог на Хабре.
Так, например, можно получить повышенный гонорар за статьи, которые попадают в одну из специальных тематик (действуют постоянно) или тему месяца. В марте стартует новая тема — DIY или Сделай Сам. И будет действовать до начала апреля.
firstvds.ru/blog/vremya-pisat-stati-ischem-avtorov-dlya-blogov-i-bz
Топ новостей из мира безопасности
Февраль не особо баловал нас новостями из мира безопасности первые пару недель. Но потом ситуация изменилась. И хотя речь пойдет о критических уязвимостях, которые затрагивают многих, мы настроены оптимистично. Почти для всех из них уже выпущены обновления с исправлениями.
Школьник запустил Linux внутри PDF-файла
Старшеклассник Аллен Динг, ранее запускавший Doom в PDF, представил новый проект — LinuxPDF, встроенную в PDF операционную систему Linux. Проект использует JavaScript и работает в браузерах на базе Chromium (Chrome, Edge, Opera). Исходный код доступен на GitHub. LinuxPDF работает на эмуляторе RISC-V через TinyEMU. Управление осуществляется через виртуальную клавиатуру. Несмотря на то, что PDF создан для текста и изображений, поддержка JavaScript позволила реализовать такой необычный проект.
Производительность низкая: загрузка ядра занимает около минуты из-за отсутствия JIT-компиляции в движке V8 Chromium. По умолчанию система 32-битная, но можно создать 64-битную версию, которая будет работать ещё медленнее.
Проект демонстрирует нестандартное использование JavaScript, расширяя возможности PDF.
3dnews.ru/1118227/starsheklassnik-zapustil-linux-vnutri-pdffayla
Исправлена уязвимость в PostgreSQL, задействованная при атаке на BeyondTrust
Для всех поддерживаемых версий PostgreSQL (17.3, 16.7, 15.11, 14.16, 13.19) выпущены обновления, устраняющие более 70 ошибок, включая уязвимость CVE-2025-1094. Эта уязвимость была использована в атаке на BeyondTrust и Министерство финансов США в декабре 2024 года. Проблема связана с библиотекой libpq, которая предоставляет API для взаимодействия с СУБД PostgreSQL.
Уязвимость позволяет злоумышленникам внедрять произвольный SQL-код через функции экранирования спецсимволов (PQescapeLiteral, PQescapeIdentifier, PQescapeString, PQescapeStringConn). В BeyondTrust уязвимость эксплуатировалась через утилиту psql, где некорректные Unicode-символы в UTF-8 обходили экранирование кавычек.
В результате атаки злоумышленники получили доступ к API для удалённой поддержки клиентов BeyondTrust. Как следствие, они смогли загрузить конфиденциальные данные и получить доступ к рабочим станциям.
Дополнение: Исправление в libpq вызвало регрессию — функция PQescapeIdentifier перестала учитывать поле с размером. Внеплановое обновление для устранения этой проблемы запланировано на 20 февраля.
www.opennet.ru/opennews/art.shtml?num=62722
В OpenSSH устранены уязвимости, угрожающие безопасным соединениям
Разработчики OpenSSH выпустили обновление 9.9p2, устраняющее две критические уязвимости, которые могли привести к атакам типа «человек посередине» (MiTM) и отказам в обслуживании (DoS). Обе проблемы были обнаружены специалистами компании Qualys.
Первая уязвимость, CVE-2025-26465, существует с 2014 года и затрагивает клиенты с включенной опцией VerifyHostKeyDNS. Она позволяет злоумышленникам перехватывать SSH-соединения, обходя проверку ключей сервера. Атака возможна даже при нехватке памяти на стороне клиента, что вынуждает его принять поддельный ключ. Хотя опция по умолчанию отключена, она была активна в FreeBSD с 2013 по 2023 год.
Вторая уязвимость, CVE-2025-26466, появилась в OpenSSH 9.5p1 (август 2023 года) и связана с утечкой памяти при обработке пакетов SSH2_MSG_PING. Атакующие могут отправлять множество небольших пакетов, что приводит к перегрузке памяти и процессора, вызывая сбои в работе системы.
Разработчики настоятельно рекомендуют пользователям обновиться до версии 9.9p2 и отключить VerifyHostKeyDNS, если её использование не является необходимым. Также для защиты от DoS-атак предлагается настроить ограничения с помощью директив LoginGraceTime, MaxStartups и PerSourcePenalties.
www.opennet.ru/opennews/art.shtml?num=62742
Уязвимости в процессорах AMD позволяют запускать код в режиме SMM
Компания AMD устранила 6 уязвимостей в процессорах EPYC и Ryzen. Наиболее опасные (CVE-2023-31342, CVE-2023-31343, CVE-2023-31345) позволяют выполнять код в режиме SMM (System Management Mode), который имеет приоритет выше гипервизора и нулевого кольца защиты. Если кратко, то это дает доступ ко всей системной памяти и контроль над ОС. Проблема связана с недостаточной проверкой входных данных в обработчике SMM, что дает возможность атакующему с привилегиями изменять содержимое SMRAM. Детали эксплуатации уязвимостей пока не раскрываются.
Другие исправленные уязвимости:
- CVE-2023-31352 – ошибка в AMD SEV (применяется для защиты VM), позволяющая администратору хост-системы читать незашифрованную память гостевой системы.
- CVE-2023-20582 – обход проверок RMP в SEV-SNP, что может нарушить целостность памяти виртуальных машин.
- CVE-2023-20581 – ошибка в IOMMU, позволяющая обойти проверку RMP и повлиять на память гостевой системы.
Уязвимости затрагивают процессоры AMD EPYC 3-го и 4-го поколений, Ryzen Embedded серий R1000, R2000, 5000, 7000, V2000, V3000, а также десктопные Ryzen 3000-8000 и Athlon 3000.
www.opennet.ru/opennews/art.shtml?num=62734
Уязвимость в OpenH264 приводит к выполнению произвольного кода при обработке видео
В открытой реализации видеокодека H.264, OpenH264, найдена уязвимость (CVE-2025-27091). Она возникает в режимах SVC (Scalable Video Coding) и AVC (Advanced Video Coding) из-за состояния гонки, которое приводит к выходу за границы выделенного буфера памяти. Проблема устранена в версии OpenH264 2.6.0. Информацию о доступности обновлений можно отслеживать на страницах популярных дистрибутивов: Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD.
OpenH264 разрабатывается и поддерживается компанией Cisco. Эта библиотека позволяет использовать технологии сжатия H.264 в сторонних приложениях без лицензионных ограничений и выплат, так как Cisco имеет лицензию от MPEG-LA. Однако право на использование запатентованных технологий распространяется только на сборки, предоставляемые Cisco, например, загруженные с их официального сайта. Это позволяет таким проектам, как Firefox, openSUSE и Fedora, легально использовать кодек H.264. Дистрибутивы включают пакет-обёртку, а Firefox — плагин, который автоматически загружает готовую сборку OpenH264 с сайта ciscobinary.openh264.org.
www.opennet.ru/opennews/art.shtml?num=62775
Обнаружены критические уязвимости в загрузчике GRUB2
21 февраля 2025 года специалисты по безопасности сообщили о 21 уязвимости в популярном загрузчике GRUB2. Эти проблемы могут быть использованы для обхода защиты UEFI Secure Boot путём переполнения буфера. На данный момент исправления доступны только в виде патчей.
Статус устранения проблем можно проверить на страницах ведущих дистрибутивов: Debian, Ubuntu, SUSE, RHEL, Fedora. Обновление GRUB2 требует не только установки новых версий пакетов, но и создания пересоздания подписей, а также обновления связанных компонентов — ядра, инсталляторов, прошивок fwupd и прослойки shim.
Список выявленных проблем включает:
- несанкционированную запись за пределы буфера при обработке изображений в формате JPEG,
- целочисленные переполнения при работе с mo-файлами и различными файловыми системами (BFS, UFS, HFS и др.),
- уязвимости при сетевой загрузке и обработке клавиатурного ввода,
- возможность выполнения кода через неправильно обработанные модули,
- обход режима Lockdown и извлечение данных памяти.
Для защиты от атак используется механизм SBAT (Secure Boot Advanced Targeting), разработанный совместно с Microsoft. Этот подход позволяет блокировать конкретные версии уязвимых компонентов без отзыва сертификатов подписантов. Это значительно упрощает процесс обновления по сравнению с традиционным использованием списка отозванных сертификатов dbx.
Проблемы затрагивают цепочку доверия Secure Boot, позволяя потенциальному злоумышленнику внедрять произвольный код после проверки shim, но до запуска ОС. Для полноценной защиты требуется комплексное обновление всех связанных компонентов загрузочной цепочки.
www.opennet.ru/opennews/art.shtml?num=62771
