Повышение цен на реселлерские тарифы
С 9 августа 2024 года стоимость реселлерских тарифов увеличится в среднем на 25%. Изменение коснется как действующих, так и архивных тарифов.
Хостинг FirstVDS, Россия
Поиск
С 9 августа 2024 года стоимость реселлерских тарифов увеличится в среднем на 25%. Изменение коснется как действующих, так и архивных тарифов.
Июль — уязвимости в GitLab и Exim, новые статьи в Базе знаний и День сисадмина
Сотрудники FirstVDS разделились на два лагеря: на тех, кто уже сходил в отпуск и сверкает на созвонах загаром, и тех, кто вот-вот туда уйдёт — этих коллег почти не видно, видимо, стараются не отсвечивать.
А тот, кто не успел вовремя уйти в отпуск — писал этот дайджест :)
Статьи и инструкции
SSH-туннели: настройка и примеры использования
Служба SSH (Secure Shell) — ключевой инструмент для администраторов на серверах под управлением Linux и Unix-подобных систем, используемый для управления удалёнными компьютерами. Протокол SSH стал стандартом администрирования благодаря своей надёжности и безопасности. Он также позволяет монтировать удалённые файловые системы (SSHFS), передавать файлы по SFTP и SCP.
В статье обсуждаем возможность создания защищённых туннелей для безопасной передачи интернет-трафика.
firstvds.ru/technology/ssh-tunnels
Установка, настройка и примеры синхронизации rsync
Важность обмена информацией в современном мире невозможно переоценить. От сохранности данных зачастую зависит не только IT-бизнес, но и частная жизнь.
В статье рассмотрим утилиту командной строки rsync (Remote Synchronization, удаленная синхронизация) — программу с открытым исходным кодом, предназначенную для передачи файлов и синхронизации данных между удалёнными компьютерами, с помощью которой можно легко и быстро сохранить и восстановить данные на сервере или персональном компьютере.
firstvds.ru/technology/primery-sinhronizacii-rsync-v-linux
Habr: самое интересное за июль
Новости июля
SysAdmin Day: поздравляем сисадминов новой акцией!
Системные администраторы — настоящие супергерои, спасающие мир от цифровых катастроф. Без них вообще никуда!
Обойти такой день стороной мы не могли и запустили акцию с промокодом на скидку 25% для заказа новых VDS.
Забрать подарки можно на странице акции, там же все условия.
firstvds.ru/actions/sysadmin-day-2024
Бесплатный месяц ispmanager 6 lite при заказе VDS
Возобновили совместную акцию с партнёрами из ispmanager!
При аренде нового сервера на панель управления ispmanager 6 lite в первый месяц будет действовать скидка 100%. В акции участвуют почти все тарифы — как готовые, так и гибкие конфигурации. За исключением VDS ARM, VDS Storage и серверов для Windows.
Лето — время писать статьи!
Если вы разбираетесь в сфере IT, регулярно пишете статьи, ведёте аккаунт на Хабре или хотите попробовать свои писательские силы — то у нас отличное предложение!
До 29 августа присылайте статьи для нашего блога на Хабре и получайте до 22 000 ₽ за каждый материал.
firstvds.ru/actions/summertime
Повышение цен на VDS и автобэкапы
С 9 июля 2024 года стоимость аренды VDS и резервного копирования увеличится. Изменение коснётся всех VDS, кроме всех версий спецтарифов «Freddy», «Jason», «First John», «Восток» и VDS ARM. Также с 9 августа повысится стоимость тарифов группы реселлинга. Посмотреть новые цены можно в новостях.
Топ новостей из мира безопасности: уязвимость в RADIUS, GitLab и Exim
Сегодня атаки и уязвимости мало кого могут удивить, однако следить за событиями необходимо — таков путь. В начале месяца мы писали об уязвимости в OpenSSH, позволяющей удалённо выполнить код с правами root без аутентификации. А сегодня расскажем, какие ещё уязвимости наши специалисты отметили, как важные.
Уязвимость в протоколе RADIUS, позволяющая подделать ответ при аутентификации
Группа исследователей из США разработала атаку на протокол RADIUS под названием Blast-RADIUS, позволяющую обойти аутентификацию без пароля.
Атакующий проводит MITM-атаку, перехватывая UDP-пакеты и заменяя Access-Reject на Access-Accept. Уязвимость связана с алгоритмом MD5, уязвимым к коллизиям, что позволяет создать поддельный хэш за 3-6 минут.
Код атаки не опубликован, но в проект hashclash переданы изменения для улучшения коллизий MD5. Уязвимость в RADIUS-сервере FreeRADIUS устранена в версиях 3.0.27 и 3.2.5 путём применения атрибута Message-Authenticator и настройки ограничения обработки пакетов с атрибутом Proxy-State.
www.opennet.ru/opennews/art.shtml?num=61517
Критическая уязвимость в GitLab
Опубликованы обновления GitLab 17.1.2, 17.0.4 и 16.11.6, которые устраняют 6 уязвимостей. Одна из проблем (CVE-2024-6385) имеет критический уровень опасности и позволяет запускать конвейеры CI под произвольным пользователем.
Это даёт атакующему доступ к внутренним репозиториям и закрытым проектам. Информация об уязвимости передана в GitLab через программу на HackerOne. Подробнее о проблеме станет известно через 30 дней после публикации исправления.
www.opennet.ru/opennews/art.shtml?num=61525
1,5 миллиона почтовых серверов оказались под угрозой взлома из-за уязвимости в Exim
Специалисты по кибербезопасности обнаружили уязвимость CVE-2024-39929 в почтовом сервере Exim, позволяющую отправлять вредоносные письма.
Из 6,5 миллионов SMTP-серверов, 4,8 миллиона работают на Exim, 1,5 миллиона используют уязвимые версии. Уязвимость имеет критичность 9,1 по CVSS.
Хотя активного использования ещё не зафиксировано, эксперты предупреждают о вероятных атаках. Рекомендуется обновить Exim до версии 4.98 для защиты. Уязвимость затрагивает версии до 4.97.1 включительно.
3dnews.ru/1107854/uyazvimost-v-exim-ugrogaet-bezopasnosti-15-milliona-pochtovih-serverov
А тот, кто не успел вовремя уйти в отпуск — писал этот дайджест :)
Статьи и инструкции
SSH-туннели: настройка и примеры использования
Служба SSH (Secure Shell) — ключевой инструмент для администраторов на серверах под управлением Linux и Unix-подобных систем, используемый для управления удалёнными компьютерами. Протокол SSH стал стандартом администрирования благодаря своей надёжности и безопасности. Он также позволяет монтировать удалённые файловые системы (SSHFS), передавать файлы по SFTP и SCP.
В статье обсуждаем возможность создания защищённых туннелей для безопасной передачи интернет-трафика.
firstvds.ru/technology/ssh-tunnels
Установка, настройка и примеры синхронизации rsync
Важность обмена информацией в современном мире невозможно переоценить. От сохранности данных зачастую зависит не только IT-бизнес, но и частная жизнь.
В статье рассмотрим утилиту командной строки rsync (Remote Synchronization, удаленная синхронизация) — программу с открытым исходным кодом, предназначенную для передачи файлов и синхронизации данных между удалёнными компьютерами, с помощью которой можно легко и быстро сохранить и восстановить данные на сервере или персональном компьютере.
firstvds.ru/technology/primery-sinhronizacii-rsync-v-linux
Habr: самое интересное за июль
- Подборка эргономичных мышек для работы и игр
- «Трон» — пионер компьютерной графики в кино
- Почему цифровые покупки нам не принадлежат
Новости июля
SysAdmin Day: поздравляем сисадминов новой акцией!
Системные администраторы — настоящие супергерои, спасающие мир от цифровых катастроф. Без них вообще никуда!
Обойти такой день стороной мы не могли и запустили акцию с промокодом на скидку 25% для заказа новых VDS.
Забрать подарки можно на странице акции, там же все условия.
firstvds.ru/actions/sysadmin-day-2024
Бесплатный месяц ispmanager 6 lite при заказе VDS
Возобновили совместную акцию с партнёрами из ispmanager!
При аренде нового сервера на панель управления ispmanager 6 lite в первый месяц будет действовать скидка 100%. В акции участвуют почти все тарифы — как готовые, так и гибкие конфигурации. За исключением VDS ARM, VDS Storage и серверов для Windows.
Лето — время писать статьи!
Если вы разбираетесь в сфере IT, регулярно пишете статьи, ведёте аккаунт на Хабре или хотите попробовать свои писательские силы — то у нас отличное предложение!
До 29 августа присылайте статьи для нашего блога на Хабре и получайте до 22 000 ₽ за каждый материал.
firstvds.ru/actions/summertime
Повышение цен на VDS и автобэкапы
С 9 июля 2024 года стоимость аренды VDS и резервного копирования увеличится. Изменение коснётся всех VDS, кроме всех версий спецтарифов «Freddy», «Jason», «First John», «Восток» и VDS ARM. Также с 9 августа повысится стоимость тарифов группы реселлинга. Посмотреть новые цены можно в новостях.
Топ новостей из мира безопасности: уязвимость в RADIUS, GitLab и Exim
Сегодня атаки и уязвимости мало кого могут удивить, однако следить за событиями необходимо — таков путь. В начале месяца мы писали об уязвимости в OpenSSH, позволяющей удалённо выполнить код с правами root без аутентификации. А сегодня расскажем, какие ещё уязвимости наши специалисты отметили, как важные.
Уязвимость в протоколе RADIUS, позволяющая подделать ответ при аутентификации
Группа исследователей из США разработала атаку на протокол RADIUS под названием Blast-RADIUS, позволяющую обойти аутентификацию без пароля.
Атакующий проводит MITM-атаку, перехватывая UDP-пакеты и заменяя Access-Reject на Access-Accept. Уязвимость связана с алгоритмом MD5, уязвимым к коллизиям, что позволяет создать поддельный хэш за 3-6 минут.
Код атаки не опубликован, но в проект hashclash переданы изменения для улучшения коллизий MD5. Уязвимость в RADIUS-сервере FreeRADIUS устранена в версиях 3.0.27 и 3.2.5 путём применения атрибута Message-Authenticator и настройки ограничения обработки пакетов с атрибутом Proxy-State.
www.opennet.ru/opennews/art.shtml?num=61517
Критическая уязвимость в GitLab
Опубликованы обновления GitLab 17.1.2, 17.0.4 и 16.11.6, которые устраняют 6 уязвимостей. Одна из проблем (CVE-2024-6385) имеет критический уровень опасности и позволяет запускать конвейеры CI под произвольным пользователем.
Это даёт атакующему доступ к внутренним репозиториям и закрытым проектам. Информация об уязвимости передана в GitLab через программу на HackerOne. Подробнее о проблеме станет известно через 30 дней после публикации исправления.
www.opennet.ru/opennews/art.shtml?num=61525
1,5 миллиона почтовых серверов оказались под угрозой взлома из-за уязвимости в Exim
Специалисты по кибербезопасности обнаружили уязвимость CVE-2024-39929 в почтовом сервере Exim, позволяющую отправлять вредоносные письма.
Из 6,5 миллионов SMTP-серверов, 4,8 миллиона работают на Exim, 1,5 миллиона используют уязвимые версии. Уязвимость имеет критичность 9,1 по CVSS.
Хотя активного использования ещё не зафиксировано, эксперты предупреждают о вероятных атаках. Рекомендуется обновить Exim до версии 4.98 для защиты. Уязвимость затрагивает версии до 4.97.1 включительно.
3dnews.ru/1107854/uyazvimost-v-exim-ugrogaet-bezopasnosti-15-milliona-pochtovih-serverov
Идея, как провести пятницу
В последнюю пятницу июля свой праздник отмечают системные администраторы. Мимо этого события мы никак не можем пройти, поэтому уже вовсю готовимся!
Ждём всех 26 июля 2024 года в 10:00 по мск на сайте и в тг-канале FirstVDS. Будем дарить скидку 25% на заказ VDS и сертификаты на баланс на 150 рублей.
t.me/TakeFirstNews
Бесплатный месяц ispmanager 6 lite
Возобновляем совместную акцию с партнёрами из ispmanager!
При аренде нового сервера на панель управления ispmanager 6 lite в первый месяц будет действовать скидка 100%. В акции участвуют почти все тарифы — как готовые, так и гибкие конфигурации. За исключением VDS ARM, VDS Storage и серверов для Windows.
firstvds.ru/#vds-tariffs
Лето — время писать статьи!
Если вы разбираетесь в сфере IT, регулярно пишете статьи, ведёте аккаунт на Хабре или хотите попробовать свои писательские силы — то у нас отличное предложение!
До 29 августа присылайте статьи для нашего блога на Хабре и получайте до 22 000 ₽ за каждый материал.
Ваша статья должна быть уникальной, хорошо проработанной и попадать под одну из тематик:
- хостинг
- программирование
- системное, серверное администрирование
- настройка Linux
- хранение данных, накопители
- серверное оборудование
- компьютерное железо
- тестирование IT-систем
- open source
- серверная оптимизация
Кстати, если вы активно ведёте Хабр, мы можем опубликовать статью в блоге FirstVDS под вашим аккаунтом.
Интересно?
Тогда переходите на страницу акции и заполняйте форму для участия.
firstvds.ru/actions/summertime
Или сразу отправляйте свои статьи на почту content@firstvds.ru и ждите фидбэка от наших редакторов.
Продлили акцию по кешбэку до конца лета!
Акция остаётся! На платежи с рекомендованными суммами и выше кешбэк 10% будет начисляться до конца лета.
Пополнять баланс можно любым доступным способом, количество платежей в течение акции не ограничено. Посмотреть рекомендованную сумму можно через форму пополнения баланса на сайте или в Личном кабинете.
https://firstvds.ru
Уязвимость в OpenSSH позволяет выполнить код с правами суперпользователя на серверах с Glibc
1 июля эксперты из компании Qualys заявили о том, что найдена критическая уязвимость (CVE-2024-6387) в OpenSSH. Она позволяет удаленно выполнить код с правами root без аутентификации. Уязвимость, известная как regreSSHion, проявляется в конфигурации по умолчанию с OpenSSH 8.5 на системах с Glibc.
Атака была успешно проведена на 32-разрядной системе с Glibc и включенной защитой ASLR. Для атаки хватило 6-8 часов — в течение этого периода с сервером непрерывно устанавливались соединения с максимально допустимой в конфигурации sshd интенсивностью. Совершение атаки упрощается и требует меньше времени на системах без ASLR или в дистрибутивах, использующих модифицированный OpenSSH, в котором отключена повторная рандомизация ASLR для каждого соединения.
www.opennet.ru/opennews/art.shtml?num=61470
Затронутые версии отличаются в зависимости от используемой ОС. Рабочего эксплоита для 64-битных систем нет, но его появление не исключено. Рабочий эксплоит уязвимости не публикуется, но доступно подробное описание проблемы, что также не исключает появления сторонних эксплоитов.
Патч против уязвимости представлен в выпуске OpenSSH 9.8. Проблема связана с регрессивным изменением в OpenSSH 8.5, приводящим к состоянию гонки в коде обработки сигналов. OpenBSD не подвержен уязвимости, а системы с Musl не подвержены технике эксплуатации, используемой в Glibc.
lists.mindrot.org/pipermail/openssh-unix-dev/2024-July/041430.html
Мы, в свою очередь, также обновили репозитории. Паниковать не стоит, но рекомендуем запланировать обновление. Если остались вопросы — обратитесь в нашу службу поддержки.
Атака была успешно проведена на 32-разрядной системе с Glibc и включенной защитой ASLR. Для атаки хватило 6-8 часов — в течение этого периода с сервером непрерывно устанавливались соединения с максимально допустимой в конфигурации sshd интенсивностью. Совершение атаки упрощается и требует меньше времени на системах без ASLR или в дистрибутивах, использующих модифицированный OpenSSH, в котором отключена повторная рандомизация ASLR для каждого соединения.
www.opennet.ru/opennews/art.shtml?num=61470
Затронутые версии отличаются в зависимости от используемой ОС. Рабочего эксплоита для 64-битных систем нет, но его появление не исключено. Рабочий эксплоит уязвимости не публикуется, но доступно подробное описание проблемы, что также не исключает появления сторонних эксплоитов.
Патч против уязвимости представлен в выпуске OpenSSH 9.8. Проблема связана с регрессивным изменением в OpenSSH 8.5, приводящим к состоянию гонки в коде обработки сигналов. OpenBSD не подвержен уязвимости, а системы с Musl не подвержены технике эксплуатации, используемой в Glibc.
lists.mindrot.org/pipermail/openssh-unix-dev/2024-July/041430.html
Мы, в свою очередь, также обновили репозитории. Паниковать не стоит, но рекомендуем запланировать обновление. Если остались вопросы — обратитесь в нашу службу поддержки.
Важные новости! Повышение стоимости аренды VDS
С 9 июля 2024 года стоимость аренды VDS и резервного копирования увеличится в среднем на 25%. Изменение коснётся всех VDS, в том числе и архивных тарифов. Исключение составят VDS ARM и спецтарифы «Freddy», «Jason», «First John» и «Восток» во всех версиях.
Автоматическое резервное копирование тоже будет рассчитываться по новой стоимости. Цена услуги, как и сейчас, будет зависеть от тарифа и объёма накопителя.
Также изменения коснутся и программы реселлинга, стоимость таких тарифов увеличится в среднем на 25%. Но немного позднее — 9 августа 2024 года.
firstvds.ru
Июнь — 10 лучших конструкторов сайтов, кешбэк на пополнение баланса и новости из мира IT
Судя по тому, что это июньский дайджест, 30% лета уже пройдено. И пройдено не зря — за нашими плечами множество выполненных задач, написанных статей и запланированных проектов.
Остался один нерешённый вопрос: успеют ли эти плечи загореть до конца лета. Но об этом мы расскажем вам в конце августа.
Статьи и инструкции
10 лучших конструкторов сайтов в 2024 году
Для создания сайта с нуля нужно много времени и ресурсов — найти специалистов, продумать структуру, выбрать стиль, разместить сайт на домене и подключить сервисы оплаты. Если нужна простая страница для рекламы или акции, лучше использовать современные конструкторы сайтов, где можно быстро и легко создать сайт без навыков веб-дизайна и разработки.
В статье расскажем о лучших, по нашему мнению, конструкторах сайтов — опишем их плюсы, минусы, особенности и стоимость.
firstvds.ru/blog/top-luchshikh-konstruktorov-saytov
В конце месяца истекла поддержка ОС Centos 7
Официальная оболочка от компании 1С-Битрикс — «1С-Битрикс: Веб-окружение» (BitrixEnv) и «1С-Битрикс: Битрикс24» (BitrixCRM) при этом доступна только для Centos 7. На сегодняшний день анонсов о выпуске оболочки для других операционных систем не публиковалось.
Поэтому мы добавили свой рецепт — Bitrix Setup. С его помощью вы сможете установить всё необходимое ПО для работы сайтов на CMS Битрикс. Рецепт доступен на Debian 11 и 12 версий.
Больше полезных статей и инструкций вы можете найти в нашей Базе знаний.
firstvds.ru/technology
Habr: самое интересное за июнь
Несмотря на сезон отпусков, наши авторы продолжают радовать вас новыми материалами на Хабре. Лучшие, как всегда, попадают в дайджест.
Колонизация Марса: 10 проблем, с которыми столкнется человечество
Самый дешёвый радиоконструктор с Али
Wolfenstein 3D: Начало эры шутеров от первого лица
Стань автором FirstVDS
Ищем технических писателей для блога на Хабре
Откликнуться firstvds.ru/blog/ischem-avtorov-dlya-bloga-firstvds-na-habr-i-vc
Новости мая
Кешбэк 10% на платежи с рекомендованной суммой
До 11 июля на платежи с рекомендованными суммами и выше будет начисляться кешбэк 10%. Пополнить баланс можно любым доступным способом, количество платежей в течение акции не ограничено.
firstvds.ru/actions/kanikuly-s-keshbekom
Кешбэк зачислится на баланс аккаунта сразу же после поступления основных средств.
DNS-хостинг: изменение условий предоставления
25 июня изменились условия размещения доменов на наших серверах имён. Теперь бесплатно можно разместить до 10 доменов, а каждый следующий домен будет стоить 2 рубля в месяц.
Максимальный лимит на одном сервере — 1000 доменов. У пользователей с большим количеством доменов лимит был автоматически увеличен.
firstvds.ru/services/dns-hosting
Новости из мира IT
Как говорят, предупреждён — значит, вооружён. Поэтому счастье неведения оставим для кого-то другого. А для тех, кто согласен с поговоркой, собрали топ новостей об уязвимостях июня. На десерт — приятная новость об OpenSSH, так что советуем дочитать до конца.
Уязвимость в PHP позволяет выполнить код при работе в режиме CGI
В PHP найдена уязвимость (CVE-2024-4577), которая позволяет выполнить собственный код на сервере или просмотреть исходный код PHP-скрипта в режиме CGI на Windows (mod_php, php-fpm и FastCGI не затрагивает). Сама уязвимость связана с проблемой CVE-2012-1823, которая была исправлена в 2012 году. Правда, добавленной защиты от атак на Windows оказалось в этот раз недостаточно. Атака основана на подмене аргумента командной строки при запуске PHP-интерпретатора через запрос к скрипту. Старая уязвимость позволяла указывать опции командной строки вместо параметров запроса, новая использует автоматическое преобразование символов в Windows, что позволяет обойти защиту и использовать запросы с символами, заменяемыми на "-", для атаки.
Проблема в конфигурации проявляется по умолчанию в XAMPP и других Apache-конфигурациях с php-cgi в качестве обработчика CGI-скриптов. В обновлениях PHP 8.3.8, 8.2.20 и 8.1.29 устранены уязвимости CVE-2024-5458, CVE-2024-5585 и CVE-2024-1874.
www.opennet.ru/opennews/art.shtml?num=61332
Уязвимость в UEFI-прошивках Phoenix затрагивает устройства с CPU Intel
В UEFI-прошивках Phoenix SecureCore на устройствах с процессорами Intel обнаружена уязвимость (CVE-2024-0762), позволяющая выполнить код на уровне прошивки и установить бэкдор, обходящий защиту ОС. Уязвимость вызвана некорректным использованием переменной TCG2_CONFIGURATION в конфигурации TPM, что приводит к переполнению буфера и выполнению кода на уровне SMM. Проблема проявляется в прошивках Phoenix SecureCore на устройствах с процессорами Intel, включая семейства AlderLake, CoffeeLake, CometLake, и другие. Уязвимость устранена в последних обновлениях прошивок от Technologies и Lenovo.
www.opennet.ru/opennews/art.shtml?num=61432
Уязвимость в GitLab позволяет запустить pipeline-работы под другим пользователем
Опубликованы обновления GitLab 17.1.1, 17.0.3, 16.11.5, и другие, устраняющие 14 уязвимостей, включая CVE-2024-5655. Эта уязвимость, начиная с версии 15.8, позволяет запускать pipeline jobs от имени другого пользователя, что может привести к доступу к внутренним репозиториям и закрытым проектам. Информацию об уязвимости обещают раскрыть через 30 дней после публикации исправления. Также в обновлениях устранены три уязвимости с высоким уровнем опасности: XSS-атаки, CSRF и утечка данных через использование поиска в открытых проектах.
www.opennet.ru/opennews/art.shtml?num=61445
OpenSSH получила встроенную защиту от автоматизированных атак по подбору паролей
В файл конфигурации sshd_config добавлен параметр PerSourcePenalties для блокировки IP-адресов с множеством неудачных попыток соединения. Новый механизм защиты будет включен по умолчанию в OpenBSD 7.6. Процесс sshd теперь отслеживает статус завершения дочерних процессов для обнаружения подбора паролей и эксплуатации уязвимостей. Параметр PerSourcePenalties задает минимальный порог аномальных событий для блокировки IP-адресов, а PerSourceNetBlockSize позволяет блокировать целые подсети. Для исключения блокировки определенных подсетей предлагается параметр PerSourcePenaltyExemptList.
www.opennet.ru/opennews/art.shtml?num=61331
Остался один нерешённый вопрос: успеют ли эти плечи загореть до конца лета. Но об этом мы расскажем вам в конце августа.
Статьи и инструкции
10 лучших конструкторов сайтов в 2024 году
Для создания сайта с нуля нужно много времени и ресурсов — найти специалистов, продумать структуру, выбрать стиль, разместить сайт на домене и подключить сервисы оплаты. Если нужна простая страница для рекламы или акции, лучше использовать современные конструкторы сайтов, где можно быстро и легко создать сайт без навыков веб-дизайна и разработки.
В статье расскажем о лучших, по нашему мнению, конструкторах сайтов — опишем их плюсы, минусы, особенности и стоимость.
firstvds.ru/blog/top-luchshikh-konstruktorov-saytov
В конце месяца истекла поддержка ОС Centos 7
Официальная оболочка от компании 1С-Битрикс — «1С-Битрикс: Веб-окружение» (BitrixEnv) и «1С-Битрикс: Битрикс24» (BitrixCRM) при этом доступна только для Centos 7. На сегодняшний день анонсов о выпуске оболочки для других операционных систем не публиковалось.
Поэтому мы добавили свой рецепт — Bitrix Setup. С его помощью вы сможете установить всё необходимое ПО для работы сайтов на CMS Битрикс. Рецепт доступен на Debian 11 и 12 версий.
Больше полезных статей и инструкций вы можете найти в нашей Базе знаний.
firstvds.ru/technology
Habr: самое интересное за июнь
Несмотря на сезон отпусков, наши авторы продолжают радовать вас новыми материалами на Хабре. Лучшие, как всегда, попадают в дайджест.
Колонизация Марса: 10 проблем, с которыми столкнется человечество
Самый дешёвый радиоконструктор с Али
Wolfenstein 3D: Начало эры шутеров от первого лица
Стань автором FirstVDS
Ищем технических писателей для блога на Хабре
Откликнуться firstvds.ru/blog/ischem-avtorov-dlya-bloga-firstvds-na-habr-i-vc
Новости мая
Кешбэк 10% на платежи с рекомендованной суммой
До 11 июля на платежи с рекомендованными суммами и выше будет начисляться кешбэк 10%. Пополнить баланс можно любым доступным способом, количество платежей в течение акции не ограничено.
firstvds.ru/actions/kanikuly-s-keshbekom
Кешбэк зачислится на баланс аккаунта сразу же после поступления основных средств.
DNS-хостинг: изменение условий предоставления
25 июня изменились условия размещения доменов на наших серверах имён. Теперь бесплатно можно разместить до 10 доменов, а каждый следующий домен будет стоить 2 рубля в месяц.
Максимальный лимит на одном сервере — 1000 доменов. У пользователей с большим количеством доменов лимит был автоматически увеличен.
firstvds.ru/services/dns-hosting
Новости из мира IT
Как говорят, предупреждён — значит, вооружён. Поэтому счастье неведения оставим для кого-то другого. А для тех, кто согласен с поговоркой, собрали топ новостей об уязвимостях июня. На десерт — приятная новость об OpenSSH, так что советуем дочитать до конца.
Уязвимость в PHP позволяет выполнить код при работе в режиме CGI
В PHP найдена уязвимость (CVE-2024-4577), которая позволяет выполнить собственный код на сервере или просмотреть исходный код PHP-скрипта в режиме CGI на Windows (mod_php, php-fpm и FastCGI не затрагивает). Сама уязвимость связана с проблемой CVE-2012-1823, которая была исправлена в 2012 году. Правда, добавленной защиты от атак на Windows оказалось в этот раз недостаточно. Атака основана на подмене аргумента командной строки при запуске PHP-интерпретатора через запрос к скрипту. Старая уязвимость позволяла указывать опции командной строки вместо параметров запроса, новая использует автоматическое преобразование символов в Windows, что позволяет обойти защиту и использовать запросы с символами, заменяемыми на "-", для атаки.
Проблема в конфигурации проявляется по умолчанию в XAMPP и других Apache-конфигурациях с php-cgi в качестве обработчика CGI-скриптов. В обновлениях PHP 8.3.8, 8.2.20 и 8.1.29 устранены уязвимости CVE-2024-5458, CVE-2024-5585 и CVE-2024-1874.
www.opennet.ru/opennews/art.shtml?num=61332
Уязвимость в UEFI-прошивках Phoenix затрагивает устройства с CPU Intel
В UEFI-прошивках Phoenix SecureCore на устройствах с процессорами Intel обнаружена уязвимость (CVE-2024-0762), позволяющая выполнить код на уровне прошивки и установить бэкдор, обходящий защиту ОС. Уязвимость вызвана некорректным использованием переменной TCG2_CONFIGURATION в конфигурации TPM, что приводит к переполнению буфера и выполнению кода на уровне SMM. Проблема проявляется в прошивках Phoenix SecureCore на устройствах с процессорами Intel, включая семейства AlderLake, CoffeeLake, CometLake, и другие. Уязвимость устранена в последних обновлениях прошивок от Technologies и Lenovo.
www.opennet.ru/opennews/art.shtml?num=61432
Уязвимость в GitLab позволяет запустить pipeline-работы под другим пользователем
Опубликованы обновления GitLab 17.1.1, 17.0.3, 16.11.5, и другие, устраняющие 14 уязвимостей, включая CVE-2024-5655. Эта уязвимость, начиная с версии 15.8, позволяет запускать pipeline jobs от имени другого пользователя, что может привести к доступу к внутренним репозиториям и закрытым проектам. Информацию об уязвимости обещают раскрыть через 30 дней после публикации исправления. Также в обновлениях устранены три уязвимости с высоким уровнем опасности: XSS-атаки, CSRF и утечка данных через использование поиска в открытых проектах.
www.opennet.ru/opennews/art.shtml?num=61445
OpenSSH получила встроенную защиту от автоматизированных атак по подбору паролей
В файл конфигурации sshd_config добавлен параметр PerSourcePenalties для блокировки IP-адресов с множеством неудачных попыток соединения. Новый механизм защиты будет включен по умолчанию в OpenBSD 7.6. Процесс sshd теперь отслеживает статус завершения дочерних процессов для обнаружения подбора паролей и эксплуатации уязвимостей. Параметр PerSourcePenalties задает минимальный порог аномальных событий для блокировки IP-адресов, а PerSourceNetBlockSize позволяет блокировать целые подсети. Для исключения блокировки определенных подсетей предлагается параметр PerSourcePenaltyExemptList.
www.opennet.ru/opennews/art.shtml?num=61331
EOL Centos 7 и рецепт для Битрикс на Debian
30 июня 2024 года истекает срок поддержки операционной системы Centos 7.
Официальная оболочка от компании 1С-Битрикс — «1С-Битрикс: Веб-окружение» (BitrixEnv) и «1С-Битрикс: Битрикс24» (BitrixCRM) при этом доступна только для Centos 7. На сегодняшний день анонсов о выпуске оболочки для других операционных систем не публиковалось.
Поэтому мы добавили свой рецепт — Bitrix Setup, созданный на основе инструкции от разработчиков Битрикс. С его помощью вы сможете установить всё необходимое ПО для работы сайтов на CMS Битрикс. Рецепт доступен на Debian 11 и 12 версий.
Подробнее об установке рецепта можно прочитать в инструкции из нашей Базы знаний.
firstvds.ru/technology/nachalo-raboty-s-1s-bitriks-i-bitriks24-posle-avtomaticheskoy-ustanovki-iz-recepta
И напоминаем, что ещё у нас есть рецепт Bitrix GT с оптимальными настройками ПО для высокой оценки производительности сайтов на Битрикс. Bitrix GT теперь также доступен к установке на ОС Debian 11 и 12.
Официальная оболочка от компании 1С-Битрикс — «1С-Битрикс: Веб-окружение» (BitrixEnv) и «1С-Битрикс: Битрикс24» (BitrixCRM) при этом доступна только для Centos 7. На сегодняшний день анонсов о выпуске оболочки для других операционных систем не публиковалось.
Поэтому мы добавили свой рецепт — Bitrix Setup, созданный на основе инструкции от разработчиков Битрикс. С его помощью вы сможете установить всё необходимое ПО для работы сайтов на CMS Битрикс. Рецепт доступен на Debian 11 и 12 версий.
Подробнее об установке рецепта можно прочитать в инструкции из нашей Базы знаний.
firstvds.ru/technology/nachalo-raboty-s-1s-bitriks-i-bitriks24-posle-avtomaticheskoy-ustanovki-iz-recepta
И напоминаем, что ещё у нас есть рецепт Bitrix GT с оптимальными настройками ПО для высокой оценки производительности сайтов на Битрикс. Bitrix GT теперь также доступен к установке на ОС Debian 11 и 12.