Май — файловый менеджер S3, техническое сопровождение проектов и обзор популярных антивирусов
Май — это время, когда work-life balance приобретает особый смысл. Горящие дедлайны меркнут на фоне сгоревших шашлыков, а ноутбуки нагреваются не от нагрузок, а от солнца. Лето неумолимо приближается, и пока одни планируют отпуск, другим предстоит совмещать созвоны с видом на мангал.
Статьи и инструкции
Обзор популярных бесплатных антивирусов 2025
Количество кибератак растет — в 2024 году было зарегистрировано более 1,8 млрд инцидентов без учета DDoS-атак и фишинга. Поэтому каждому стоит задуматься о том, как защитить свои устройства от вредоносного ПО.
В статье рассказали, зачем нужен антивирус, как его выбрать, и собрали топ-10 бесплатных программ.
firstvds.ru/blog/top-besplatnykh-antivirusov
Habr: самое интересное за апрель
Провожаем в цифровое небытие некогда незаменимый Skype («лучший файлообменник» своего времени), заглядываем в аналоговое прошлое вместе с транзисторными радиопередатчиками, открываем цикл публикаций о создании open-source веб-приложения и рассказываем про пределы предсказуемости и демона Лапласа. Настраивайтесь на волну — будет интересно :)
Ищем авторов для блога на Хабр
Подготовьте статью на одну из специальных тем или отправьте материал на тему месяца. И если ваша статья подойдёт для блога, вы получите повышенный гонорар. Тема июня: высокая производительность.
firstvds.ru/blog/vremya-pisat-stati-ischem-avtorov-dlya-blogov-i-bz
Новости мая
Новая услуга «Техническое сопровождение проектов»
Наступает долгожданная пора отпусков. Однако проекты не уходят на каникулы — они требуют внимания, даже когда вы наслаждаетесь заслуженным отдыхом.
Поэтому перед началом лета мы запустили услугу технического сопровождения проектов. Она обеспечивает стабильную работу серверов 24/7, круглосуточный мониторинг, контроль использования ресурсов и оперативную реакцию на критические ситуации.
Стоимость минимального тарифа — 5000 ₽ в месяц, итоговая стоимость услуг рассчитывается индивидуально после оценки проекта.
firstvds.ru/services/server_support
Объектное хранилище S3: запуск дополнения к услуге и новые статьи
Недавно мы запустили «Объектное хранилище S3». В нём можно держать что угодно: от фотографий котиков до важных рабочих документов. А в мае у нас вышло дополнение к услуге — файловый менеджер.
firstvds.ru/blog/faylovyy-menedzher-s3
Кстати, до 10 июня (включительно) файловый менеджер находится на стадии тестирования. Вы можете помочь нам сделать его лучше — участвуйте, отправляйте фидбэк и получайте сертификат на пополнение баланса. Узнать подробнее.
Для тех, кто только знакомится с объектным хранилищем, мы подготовили несколько полезных статей и инструкций:
Защита сервера и сайта с помощью BitNinja
Теперь ваш хостинг и сайты могут быть под надёжной охраной 24/7, ведь мы запустили новую услугу — BitNinja. Это комплексное решение для защиты серверов от современных киберугроз.
Система работает в автоматическом режиме, круглосуточно анализирует угрозы и самостоятельно обучается новым методам защиты, блокирует SQL-инъекции и DDoS-атаки, защищает от взлома и вирусов, а также обнаруживает вредоносный код.
Установка займёт всего 15-20 минут. Минимальные требования: 1 ядро CPU, 1 Гб RAM и 1 Гб на диске.
firstvds.ru/blog/zapustili-uslugu-bitninja
Как начать работу с BitNinja на виртуальном сервере
Подготовили инструкцию, чтобы вам было проще разобраться с управлением. Из неё вы узнаете, как начать работу с BitNinja: от автоматической установки до базовых настроек безопасности для вашего сервера. А это статья для тех, кто не ищет лёгких путей в виде готовых решений.
firstvds.ru/technology/kak-nachat-rabotu-s-bitninja-na-virtualnom-servere
firstvds.ru/technology/bitninja-ruchnaya-ustanovka-i-rabota-cherez-cli
Топ новостей из мира технологий и безопасности
Волна новых угроз: от уязвимостей в процессорах Intel и GNU screen до критических дыр в OpenPGP.js, GitHub и бага в GNU sort, от атак веб-ботов через Magento до поддельных пакетов в PyPI. Безопасность данных оказалась под серьёзной угрозой, причём многие из этих уязвимостей остаются неисправленными месяцами, а то и годами, требуя срочных мер защиты.
Применение метода zip-бомбы для защиты от вредоносных веб-ботов
В последнее время увеличилась активность веб-ботов, которые занимаются индексацией сайтов. Помимо стандартных ботов, которые работают корректно, появились «агрессивные» боты, которые игнорируют правила индексирования robots.txt, используют десятки тысяч разных IP-адресов. Эти боты создают чрезмерную нагрузку на серверы, нарушают нормальную работу систем и отнимают время администраторов. Многие воспринимают активность таких ботов как вредоносную.
Для замедления работы подобных ботов, а также ботов, сканирующих уязвимости в типовых веб-приложениях, один из администраторов предложил метод «zip-бомбы». Его суть заключается в том, что веб-боту в ответ на запрос страницы передаётся содержимое, эффективно сжатое методом «deflate», размер которого при распаковке значительно превышает размер переданных по сети данных.
Однако этот метод не рекомендуется использовать, так как сайт может быть занесён в чёрный список Google и начать помечаться как вредоносный в браузере Chrome с включённым режимом «Safe Browsing».
xakep.ru/2025/05/06/pypi-malware-gmail/
На PyPI обнаружены вредоносные пакеты, использующие Gmail и веб-сокеты
Специалисты обнаружили в PyPI семь вредоносных программ, которые использовали SMTP-серверы Gmail и веб-сокеты для кражи данных и удалённого выполнения команд.
После обнаружения все программы были удалены. Однако некоторые из них находились в PyPI более четырёх лет, а одна программа была загружена более 18 000 раз.
Программы Coffin выдавали себя за легитимный пакет Coffin, который представляет собой лёгкий адаптер для интеграции шаблонов Jinja2 в проекты Django. Вредоносные функции программ были направлены на скрытый удалённый доступ и кражу данных через Gmail. Они использовали жёстко закодированные учётные данные для входа на SMTP-сервер Gmail и отправляли своим операторам информацию, собранную на компьютерах жертв. Поскольку Gmail является доверенным ресурсом, брандмауэры и системы EDR вряд ли сочтут такую активность подозрительной.
Исследователи полагают, что программы в основном были нацелены на кражу криптовалюты.
www.opennet.ru/opennews/art.shtml?num=63165
В ядре Linux обнаружена уязвимость, позволяющая получить повышенные права через VSOCK
Была продемонстрирована возможность создания эксплойта для уязвимости CVE-2025-21756 в ядре Linux, которая приводит к обращению к памяти после её освобождения. Эта проблема затрагивает сокеты с адресацией AF_VSOCK, используемые для сетевого взаимодействия между гостевыми системами и хостами.
Эксплойт работает на системах с ядром версии 6.6.75, для других версий требуется модификация. Уязвимость была устранена в ядрах 6.14 и февральских/мартовских обновлениях веток 6.12.16, 6.6.79 и 6.1.131.
Уязвимость была исправлена в SUSE/openSUSE, Ubuntu и Debian 12, но остаётся в Debian 11 и RHEL. Причина — некорректное уменьшение счётчика ссылок на объект vsock при переназначении транспорта.
xakep.ru/2025/05/05/old-magento-backdoors/
В сотнях магазинов на платформе Magento обнаружены уязвимости шестилетней давности
Специалисты Sansec обнаружили сложную атаку на цепочку поставок. В 2019 году 21 расширение для Magento было заражено бэкдором, который активировался в апреле 2025 года, взломав от 500 до 1000 онлайн-магазинов.
Злоумышленники получили контроль над ecommerce-серверами через PHP-бэкдор, добавленный в файлы проверки лицензии (License.php или LicenseApi.php). Бэкдор позволял загружать и выполнять PHP-код, что включало кражу данных, установку веб-скиммеров и создание новых учётных записей.
Компания MGS не ответила на предупреждение; Tigren заявил об отсутствии взлома; Meetanshi признал взлом сервера, но не расширений. Пользователям заражённых расширений рекомендуется проверить сервер и восстановить сайт из чистой резервной копии.
Sansec продолжает расследование и обещает предоставить дополнительную информацию. Одной из жертв стала «40-миллиардная транснациональная корпорация».
3dnews.ru/1122251/udalyonniy-dostup-k-windows-sodergit-diru-kotoruyu-microsoft-ne-sobiraetsya-ispravlyat/#681574a7742eece6148b456c
В удалённом доступе к Windows есть уязвимость, которую компания Microsoft не планирует устранять
Исследователи обнаружили уязвимость в протоколе RDP, позволяющую использовать устаревшие пароли даже после их изменения. Microsoft отказалась устранять проблему из-за риска совместимости, рекомендовав двухфакторную аутентификацию. Уязвимость затрагивает все версии Windows за последние два десятилетия. Независимый эксперт отметил, что поведение RDP нарушает принципы информационной безопасности, а облачные платформы Microsoft не фиксируют угрозу. Эксперты предупреждают, что это ставит под угрозу корпоративные сети, особенно в условиях удалённой работы.
3dnews.ru/1122251/udalyonniy-dostup-k-windows-sodergit-diru-kotoruyu-microsoft-ne-sobiraetsya-ispravlyat/#681574a7742eece6148b456c
Вредоносное ПО в Linux, стирающее все данные с дисков
Специалисты по безопасности обнаружили три вредоносных модуля Go с зашифрованным кодом для загрузки удалённой полезной нагрузки. Эти модули перезаписывают основной диск Linux нулями, делая систему невосстановимой.
Угроза выявлена в следующих пакетах:
Для снижения рисков рекомендуется проверять подлинность пакетов, авторов, ссылки на репозитории, регулярно проводить аудит зависимостей и контролировать доступ к ключам.
xakep.ru/2025/05/06/go-wiper/
Уязвимость в GNU screen
В GNU screen обнаружены пять уязвимостей, одна из которых (CVE-2025-23395) позволяет получить права суперпользователя. Ошибка затрагивает только версию 5.0.0, используемую в Fedora, Arch Linux, NetBSD, OpenBSD и Alpine. Она связана с тем, что при запуске с правами root одна из функций обрабатывает лог-файлы от имени обычного пользователя до сброса привилегий. Это позволяет заменить лог на символическую ссылку и записать данные в произвольный файл от имени root — например, подложить скрипт в системный каталог, который выполнится при следующем входе администратора.
Менее опасные уязвимости позволяют перехватывать терминалы, неправильно выставлять права на PTY-устройства, раскрывать содержимое закрытых каталогов, вызывать сбои через состояние гонки и неправильно обрабатывать строки.
Все проблемы нашли специалисты SUSE в ходе аудита. Разработчики screen не успели вовремя подготовить исправления, и SUSE пришлось выпускать часть патчей самостоятельно. Исследователи считают, что текущие мейнтейнеры проекта плохо ориентируются в его коде и не справляются с безопасностью.
www.opennet.ru/opennews/art.shtml?num=63226
Новые способы эксплуатации уязвимости Spectre-v2 в процессорах Intel
Исследователи из Амстердамского свободного университета обнаружили новый вектор атак класса Spectre-v2 — Training Solo. Эти уязвимости позволяют обходить защиту памяти и извлекать данные из ядра или гипервизора — даже без запуска вредоносного кода на стороне атакуемой системы. Атаки особенно опасны в виртуализированных окружениях: они позволяют гостевой системе читать память хоста.
Training Solo использует уязвимости в предсказании переходов, чтобы «запутать» процессор и получить доступ к чувствительной информации через кэш. В отличие от классического Spectre, здесь задействуется уже существующий привилегированный код, а не пользовательский.
Описаны три техники атаки, включая манипуляции с системным вызовом SECCOMP, коллизии в буфере предсказания переходов и аппаратные сбои в новых чипах Intel (CVE-2024-28956 и CVE-2025-24495). Скорость утечки достигает 17 КБ/с, а примеры эксплойтов опубликованы на GitHub.
Intel уже выпустила обновление микрокода с новой инструкцией IBHF для защиты, а также предложила меры для старых чипов. Атака не затрагивает процессоры AMD, а среди ARM уязвимы только старые модели.
www.opennet.ru/opennews/art.shtml?num=63227
Брешь в библиотеке OpenPGP.js
В OpenPGP.js обнаружена уязвимость CVE-2025-47934. OpenPGP.js — это JavaScript-библиотека для работы с протоколом OpenPGP, используемая в Proton Mail и других проектах. Уязвимость позволяет злоумышленнику отправлять изменённые сообщения, которые система воспринимает как подписанные. Функции openpgp.verify и openpgp.decrypt возвращают успешный результат, хотя содержимое сообщения изменено.
Уязвимость устранена в версиях 5.11.3 и 6.1.1, но не затрагивает OpenPGP.js 4.x. Она касается только процедур проверки подписи и расшифровки сообщений. Злоумышленник может создать поддельное сообщение, изменив исходное с действительной подписью.
Уязвимость не распространяется на подписи, переданные отдельно от текста. Для атаки достаточно одного подписанного сообщения и знания его содержимого.
www.opennet.ru/opennews/art.shtml?num=63278
Критическая уязвимость в GNU sort: риск выхода за пределы буфера
В утилите sort, входящей в состав GNU Coreutils, обнаружена уязвимость CVE-2025-5278. Эта уязвимость связана с целочисленным переполнением в функции begfield(), что может привести к обращению к данным за пределами буфера.
При использовании специально подготовленных параметров сортировки эта уязвимость может привести к аварийному завершению работы приложения или раскрытию конфиденциальной информации.
Проблема была обнаружена в версии 7.2 (2009) и пока не была исправлена.
www.opennet.ru/opennews/art.shtml?num=63320
Проблема сервере GitHub: утечка данных из закрытых репозиториев
В системе GitHub MCP Server обнаружена проблема, которая позволяет злоумышленникам получать доступ к конфиденциальной информации из закрытых репозиториев через специальных AI-ассистентов.
Протокол MCP используется для интеграции моделей искусственного интеллекта с API GitHub, предоставляя им доступ к информации из репозиториев.
Злоумышленник может создать публичный запрос на исправление ошибки в репозитории, который приведёт к раскрытию данных в запросе на включение. Например, сообщение об ошибке, требующее добавить информацию об авторе в README, может раскрыть личные данные и список закрытых репозиториев автора.
Для активации уязвимости владелец репозитория должен разрешить AI-ассистенту анализировать сообщения об ошибках.
www.opennet.ru/opennews/art.shtml?num=63322
P.S. Многие гениальные идеи начинались с ошибки.
Самые внимательные заметили, что в кнопке в прошлой рассылке (про тестирование S3 Manager) мы допустили аж 2 опечатки. Это была чистая случайность.
Но мы решили сделать из бага фичу: в следующих двух рассылках допустим ошибки уже намеренно, а из полученных букв можно будет составить слово-сертификат на баланс аккаунта FirstVDS. Так что следите!
Статьи и инструкции
Обзор популярных бесплатных антивирусов 2025
Количество кибератак растет — в 2024 году было зарегистрировано более 1,8 млрд инцидентов без учета DDoS-атак и фишинга. Поэтому каждому стоит задуматься о том, как защитить свои устройства от вредоносного ПО.
В статье рассказали, зачем нужен антивирус, как его выбрать, и собрали топ-10 бесплатных программ.
firstvds.ru/blog/top-besplatnykh-antivirusov
Habr: самое интересное за апрель
Провожаем в цифровое небытие некогда незаменимый Skype («лучший файлообменник» своего времени), заглядываем в аналоговое прошлое вместе с транзисторными радиопередатчиками, открываем цикл публикаций о создании open-source веб-приложения и рассказываем про пределы предсказуемости и демона Лапласа. Настраивайтесь на волну — будет интересно :)
- Прощай, скайп
- Этот увлекательный мир радиопередатчиков на транзисторах
- Веб-камера — глаза робота: пишу веб-приложение на FastApi для управления DIY-проектом. Часть 1
- Хаос «нового уровня» определяет истинный предел предсказуемости
Ищем авторов для блога на Хабр
Подготовьте статью на одну из специальных тем или отправьте материал на тему месяца. И если ваша статья подойдёт для блога, вы получите повышенный гонорар. Тема июня: высокая производительность.
firstvds.ru/blog/vremya-pisat-stati-ischem-avtorov-dlya-blogov-i-bz
Новости мая
Новая услуга «Техническое сопровождение проектов»
Наступает долгожданная пора отпусков. Однако проекты не уходят на каникулы — они требуют внимания, даже когда вы наслаждаетесь заслуженным отдыхом.
Поэтому перед началом лета мы запустили услугу технического сопровождения проектов. Она обеспечивает стабильную работу серверов 24/7, круглосуточный мониторинг, контроль использования ресурсов и оперативную реакцию на критические ситуации.
Стоимость минимального тарифа — 5000 ₽ в месяц, итоговая стоимость услуг рассчитывается индивидуально после оценки проекта.
firstvds.ru/services/server_support
Объектное хранилище S3: запуск дополнения к услуге и новые статьи
Недавно мы запустили «Объектное хранилище S3». В нём можно держать что угодно: от фотографий котиков до важных рабочих документов. А в мае у нас вышло дополнение к услуге — файловый менеджер.
firstvds.ru/blog/faylovyy-menedzher-s3
Кстати, до 10 июня (включительно) файловый менеджер находится на стадии тестирования. Вы можете помочь нам сделать его лучше — участвуйте, отправляйте фидбэк и получайте сертификат на пополнение баланса. Узнать подробнее.
Для тех, кто только знакомится с объектным хранилищем, мы подготовили несколько полезных статей и инструкций:
- Что такое объектное хранилище S3
- Как организовать резервное копирование в S3-хранилище для Битрикс
- Подключение S3-хранилища как виртуального диска в Windows
Защита сервера и сайта с помощью BitNinja
Теперь ваш хостинг и сайты могут быть под надёжной охраной 24/7, ведь мы запустили новую услугу — BitNinja. Это комплексное решение для защиты серверов от современных киберугроз.
Система работает в автоматическом режиме, круглосуточно анализирует угрозы и самостоятельно обучается новым методам защиты, блокирует SQL-инъекции и DDoS-атаки, защищает от взлома и вирусов, а также обнаруживает вредоносный код.
Установка займёт всего 15-20 минут. Минимальные требования: 1 ядро CPU, 1 Гб RAM и 1 Гб на диске.
firstvds.ru/blog/zapustili-uslugu-bitninja
Как начать работу с BitNinja на виртуальном сервере
Подготовили инструкцию, чтобы вам было проще разобраться с управлением. Из неё вы узнаете, как начать работу с BitNinja: от автоматической установки до базовых настроек безопасности для вашего сервера. А это статья для тех, кто не ищет лёгких путей в виде готовых решений.
firstvds.ru/technology/kak-nachat-rabotu-s-bitninja-na-virtualnom-servere
firstvds.ru/technology/bitninja-ruchnaya-ustanovka-i-rabota-cherez-cli
Топ новостей из мира технологий и безопасности
Волна новых угроз: от уязвимостей в процессорах Intel и GNU screen до критических дыр в OpenPGP.js, GitHub и бага в GNU sort, от атак веб-ботов через Magento до поддельных пакетов в PyPI. Безопасность данных оказалась под серьёзной угрозой, причём многие из этих уязвимостей остаются неисправленными месяцами, а то и годами, требуя срочных мер защиты.
Применение метода zip-бомбы для защиты от вредоносных веб-ботов
В последнее время увеличилась активность веб-ботов, которые занимаются индексацией сайтов. Помимо стандартных ботов, которые работают корректно, появились «агрессивные» боты, которые игнорируют правила индексирования robots.txt, используют десятки тысяч разных IP-адресов. Эти боты создают чрезмерную нагрузку на серверы, нарушают нормальную работу систем и отнимают время администраторов. Многие воспринимают активность таких ботов как вредоносную.
Для замедления работы подобных ботов, а также ботов, сканирующих уязвимости в типовых веб-приложениях, один из администраторов предложил метод «zip-бомбы». Его суть заключается в том, что веб-боту в ответ на запрос страницы передаётся содержимое, эффективно сжатое методом «deflate», размер которого при распаковке значительно превышает размер переданных по сети данных.
Однако этот метод не рекомендуется использовать, так как сайт может быть занесён в чёрный список Google и начать помечаться как вредоносный в браузере Chrome с включённым режимом «Safe Browsing».
xakep.ru/2025/05/06/pypi-malware-gmail/
На PyPI обнаружены вредоносные пакеты, использующие Gmail и веб-сокеты
Специалисты обнаружили в PyPI семь вредоносных программ, которые использовали SMTP-серверы Gmail и веб-сокеты для кражи данных и удалённого выполнения команд.
После обнаружения все программы были удалены. Однако некоторые из них находились в PyPI более четырёх лет, а одна программа была загружена более 18 000 раз.
Программы Coffin выдавали себя за легитимный пакет Coffin, который представляет собой лёгкий адаптер для интеграции шаблонов Jinja2 в проекты Django. Вредоносные функции программ были направлены на скрытый удалённый доступ и кражу данных через Gmail. Они использовали жёстко закодированные учётные данные для входа на SMTP-сервер Gmail и отправляли своим операторам информацию, собранную на компьютерах жертв. Поскольку Gmail является доверенным ресурсом, брандмауэры и системы EDR вряд ли сочтут такую активность подозрительной.
Исследователи полагают, что программы в основном были нацелены на кражу криптовалюты.
www.opennet.ru/opennews/art.shtml?num=63165
В ядре Linux обнаружена уязвимость, позволяющая получить повышенные права через VSOCK
Была продемонстрирована возможность создания эксплойта для уязвимости CVE-2025-21756 в ядре Linux, которая приводит к обращению к памяти после её освобождения. Эта проблема затрагивает сокеты с адресацией AF_VSOCK, используемые для сетевого взаимодействия между гостевыми системами и хостами.
Эксплойт работает на системах с ядром версии 6.6.75, для других версий требуется модификация. Уязвимость была устранена в ядрах 6.14 и февральских/мартовских обновлениях веток 6.12.16, 6.6.79 и 6.1.131.
Уязвимость была исправлена в SUSE/openSUSE, Ubuntu и Debian 12, но остаётся в Debian 11 и RHEL. Причина — некорректное уменьшение счётчика ссылок на объект vsock при переназначении транспорта.
xakep.ru/2025/05/05/old-magento-backdoors/
В сотнях магазинов на платформе Magento обнаружены уязвимости шестилетней давности
Специалисты Sansec обнаружили сложную атаку на цепочку поставок. В 2019 году 21 расширение для Magento было заражено бэкдором, который активировался в апреле 2025 года, взломав от 500 до 1000 онлайн-магазинов.
Злоумышленники получили контроль над ecommerce-серверами через PHP-бэкдор, добавленный в файлы проверки лицензии (License.php или LicenseApi.php). Бэкдор позволял загружать и выполнять PHP-код, что включало кражу данных, установку веб-скиммеров и создание новых учётных записей.
Компания MGS не ответила на предупреждение; Tigren заявил об отсутствии взлома; Meetanshi признал взлом сервера, но не расширений. Пользователям заражённых расширений рекомендуется проверить сервер и восстановить сайт из чистой резервной копии.
Sansec продолжает расследование и обещает предоставить дополнительную информацию. Одной из жертв стала «40-миллиардная транснациональная корпорация».
3dnews.ru/1122251/udalyonniy-dostup-k-windows-sodergit-diru-kotoruyu-microsoft-ne-sobiraetsya-ispravlyat/#681574a7742eece6148b456c
В удалённом доступе к Windows есть уязвимость, которую компания Microsoft не планирует устранять
Исследователи обнаружили уязвимость в протоколе RDP, позволяющую использовать устаревшие пароли даже после их изменения. Microsoft отказалась устранять проблему из-за риска совместимости, рекомендовав двухфакторную аутентификацию. Уязвимость затрагивает все версии Windows за последние два десятилетия. Независимый эксперт отметил, что поведение RDP нарушает принципы информационной безопасности, а облачные платформы Microsoft не фиксируют угрозу. Эксперты предупреждают, что это ставит под угрозу корпоративные сети, особенно в условиях удалённой работы.
3dnews.ru/1122251/udalyonniy-dostup-k-windows-sodergit-diru-kotoruyu-microsoft-ne-sobiraetsya-ispravlyat/#681574a7742eece6148b456c
Вредоносное ПО в Linux, стирающее все данные с дисков
Специалисты по безопасности обнаружили три вредоносных модуля Go с зашифрованным кодом для загрузки удалённой полезной нагрузки. Эти модули перезаписывают основной диск Linux нулями, делая систему невосстановимой.
Угроза выявлена в следующих пакетах:
- github.com/truthfulpharm/prototransform
- github.com/blankloggia/go-mcp
- github.com/steelpoor/tlsproxy
Для снижения рисков рекомендуется проверять подлинность пакетов, авторов, ссылки на репозитории, регулярно проводить аудит зависимостей и контролировать доступ к ключам.
xakep.ru/2025/05/06/go-wiper/
Уязвимость в GNU screen
В GNU screen обнаружены пять уязвимостей, одна из которых (CVE-2025-23395) позволяет получить права суперпользователя. Ошибка затрагивает только версию 5.0.0, используемую в Fedora, Arch Linux, NetBSD, OpenBSD и Alpine. Она связана с тем, что при запуске с правами root одна из функций обрабатывает лог-файлы от имени обычного пользователя до сброса привилегий. Это позволяет заменить лог на символическую ссылку и записать данные в произвольный файл от имени root — например, подложить скрипт в системный каталог, который выполнится при следующем входе администратора.
Менее опасные уязвимости позволяют перехватывать терминалы, неправильно выставлять права на PTY-устройства, раскрывать содержимое закрытых каталогов, вызывать сбои через состояние гонки и неправильно обрабатывать строки.
Все проблемы нашли специалисты SUSE в ходе аудита. Разработчики screen не успели вовремя подготовить исправления, и SUSE пришлось выпускать часть патчей самостоятельно. Исследователи считают, что текущие мейнтейнеры проекта плохо ориентируются в его коде и не справляются с безопасностью.
www.opennet.ru/opennews/art.shtml?num=63226
Новые способы эксплуатации уязвимости Spectre-v2 в процессорах Intel
Исследователи из Амстердамского свободного университета обнаружили новый вектор атак класса Spectre-v2 — Training Solo. Эти уязвимости позволяют обходить защиту памяти и извлекать данные из ядра или гипервизора — даже без запуска вредоносного кода на стороне атакуемой системы. Атаки особенно опасны в виртуализированных окружениях: они позволяют гостевой системе читать память хоста.
Training Solo использует уязвимости в предсказании переходов, чтобы «запутать» процессор и получить доступ к чувствительной информации через кэш. В отличие от классического Spectre, здесь задействуется уже существующий привилегированный код, а не пользовательский.
Описаны три техники атаки, включая манипуляции с системным вызовом SECCOMP, коллизии в буфере предсказания переходов и аппаратные сбои в новых чипах Intel (CVE-2024-28956 и CVE-2025-24495). Скорость утечки достигает 17 КБ/с, а примеры эксплойтов опубликованы на GitHub.
Intel уже выпустила обновление микрокода с новой инструкцией IBHF для защиты, а также предложила меры для старых чипов. Атака не затрагивает процессоры AMD, а среди ARM уязвимы только старые модели.
www.opennet.ru/opennews/art.shtml?num=63227
Брешь в библиотеке OpenPGP.js
В OpenPGP.js обнаружена уязвимость CVE-2025-47934. OpenPGP.js — это JavaScript-библиотека для работы с протоколом OpenPGP, используемая в Proton Mail и других проектах. Уязвимость позволяет злоумышленнику отправлять изменённые сообщения, которые система воспринимает как подписанные. Функции openpgp.verify и openpgp.decrypt возвращают успешный результат, хотя содержимое сообщения изменено.
Уязвимость устранена в версиях 5.11.3 и 6.1.1, но не затрагивает OpenPGP.js 4.x. Она касается только процедур проверки подписи и расшифровки сообщений. Злоумышленник может создать поддельное сообщение, изменив исходное с действительной подписью.
Уязвимость не распространяется на подписи, переданные отдельно от текста. Для атаки достаточно одного подписанного сообщения и знания его содержимого.
www.opennet.ru/opennews/art.shtml?num=63278
Критическая уязвимость в GNU sort: риск выхода за пределы буфера
В утилите sort, входящей в состав GNU Coreutils, обнаружена уязвимость CVE-2025-5278. Эта уязвимость связана с целочисленным переполнением в функции begfield(), что может привести к обращению к данным за пределами буфера.
При использовании специально подготовленных параметров сортировки эта уязвимость может привести к аварийному завершению работы приложения или раскрытию конфиденциальной информации.
Проблема была обнаружена в версии 7.2 (2009) и пока не была исправлена.
www.opennet.ru/opennews/art.shtml?num=63320
Проблема сервере GitHub: утечка данных из закрытых репозиториев
В системе GitHub MCP Server обнаружена проблема, которая позволяет злоумышленникам получать доступ к конфиденциальной информации из закрытых репозиториев через специальных AI-ассистентов.
Протокол MCP используется для интеграции моделей искусственного интеллекта с API GitHub, предоставляя им доступ к информации из репозиториев.
Злоумышленник может создать публичный запрос на исправление ошибки в репозитории, который приведёт к раскрытию данных в запросе на включение. Например, сообщение об ошибке, требующее добавить информацию об авторе в README, может раскрыть личные данные и список закрытых репозиториев автора.
Для активации уязвимости владелец репозитория должен разрешить AI-ассистенту анализировать сообщения об ошибках.
www.opennet.ru/opennews/art.shtml?num=63322
P.S. Многие гениальные идеи начинались с ошибки.
Самые внимательные заметили, что в кнопке в прошлой рассылке (про тестирование S3 Manager) мы допустили аж 2 опечатки. Это была чистая случайность.
Но мы решили сделать из бага фичу: в следующих двух рассылках допустим ошибки уже намеренно, а из полученных букв можно будет составить слово-сертификат на баланс аккаунта FirstVDS. Так что следите!
