Рейтинг
0.00

FirstVDS Хостинг

14 читателей, 420 топиков

Сентябрь — скидки за отзывы, аукцион выделенных серверов и апдейт сети CLO

В любой, даже самой ненастной ситуации, важно найти свою точку опоры. Одна из основных тактик — делать то, что получается у вас лучше всего. Поэтому мы продолжаем работать и поддерживать вас 24/7.

В сентябрьском выпуске дайджеста напоминанием о полезных статьях в Базе знаний, делимся подборкой свежих материалов из нашего блога на Хабре и рассказываем новости о проекте CLO.
Статьи и инструкции
Если у вас есть вопросы

В нашей Базе знаний более 300 инструкций и статей, которые помогут вам в управлении сервером и другими услугами. Также в отдельном материале мы собрали самые частые вопросы, с которыми клиенты обычно обращаются в службу поддержки. Как сменить проверенный номер телефона, сформировать счёт или изменить пароль на сервере — отвечаем в статье на эти и другие вопросы.
firstvds.ru/technology/technical-support-questions
Если вам нужна помощь
Наша техподдержка работает круглосуточно и готова помочь вам с любым вопросом. Простые технические задачи консультанты решают бесплатно, сложные работы выполняются администраторами в рамках пакета администрирования или за разовую оплату. В статье рассказываем, как правильно написать запрос в службу поддержки, чтобы ваш вопрос был решён как можно быстрее.
firstvds.ru/technology/how-to-create-a-ticket-correctly

Habr: самое интересное за сентябрь
Находим равновесие в привычных вещах, например, в чтении интересной статьи за чашкой утреннего кофе. Какие наушники носят операторы дата-центров, в чем сходство ИИ и человеческого мозга, как работает самый большой ЦОД — об этом и многом другом рассказываем в нашем блоге на Хабре.
  • Citadel — самый крупный дата-центр в мире. Что известно о 7,2 млн кв. футов, работающих на возобновляемой энергии?
  • 1–2–3. Простой мониторинг для маленьких веб-сервисов
  • Берегите слух! Личный опыт подбора наушников для работы в ЦОДе
  • ИИ-самоучка демонстрирует сходство с тем, как работает мозг
  • Репликация MySQL и MariaDB: мониторинг с помощью Zabbix

Новости
А теперь к новостям сентября.

Изменения в работе IP-адресов на проекте CLO

CLO: изменение принципа работы IP-адресов

На проекте CLO больше нет разделения IP на плавающие и статичные, теперь все внешние адреса можно свободно переносить между серверами — переключение происходит быстро и без перезагрузки. SNAT больше не используется, IP-адреса подключаются напрямую на сетевой интерфейс сервера.
Если вы еще не знакомы с CLO, можете протестировать его, заказав сервер на сутки. Благодаря почасовой оплате вам не нужно брать сервер в аренду на месяц — достаточно пополнить баланс на сумму от 100 рублей.

Новые конфигурации на аукционе FirstDEDIC

На аукционе выделенных серверов FirstDEDIC новые конфигурации на базе процессоров Intel, и цены на них снижаются каждый день. Следить за процессом, чтобы забрать сервер по максимально выгодной цене, можно на сайте или через специальный тг-канал.


Получи скидку за отзыв до 25%
Нам очень важна обратная связь, ведь благодаря вашим отзывам мы можем узнать, что делаем хорошо, а что, наоборот, следует подтянуть — это помогает держать верный курс и становиться лучше. Поэтому за каждый отзыв на одном из перечисленных в списке ресурсов мы дарим скидку от 5% до 25% на один виртуальный сервер на месяц. Спасибо, что пользуетесь нашими услугами и делитесь мнением о нас!
firstvds.ru/promotion/skidka_do_25_kazhdomu

Уязвимости
0-day уязвимости в плагинах WordPress

Уязвимые WordPress-плагины BackupBuddy и WPGateway подвергаются массовым атакам злоумышленников. Чтобы обезопасить себя, пользователям настоятельно рекомендуется обновить BackupBuddy до последней версии, а WPGateway — немедленно удалить, пока не появится исправляющий патч.
xakep.ru/2022/09/12/backupbuddy-attacks/
xakep.ru/2022/09/15/wpgateway-attacks/

Устранена уязвимость в СУБД Redis 7
В обновлении CУБД Redis 7.0.5 устранена уязвимость, позволяющая злоумышленнику выполнить свой код с правами процесса Redis. Проблема вызвана целочисленным переполнением, возникающим при указании некорректного значения параметра «COUNT» в команде «XAUTOCLAIM».
www.opennet.ru/opennews/art.shtml?num=57827

Обнаружена утечка паролей в Chrome и Microsoft Edge
Оказалось, что при включении расширенного режима проверки правописания с использованием внешнего сервиса в браузерах Chrome и Microsoft Edge (с дополнением Microsoft Editor) текст для проверки передаётся также и из форм ввода, содержащих конфиденциальные данные. Чтобы заблокировать отправку данных, пользователям рекомендуется отключить в настройках расширенную проверку.
www.opennet.ru/opennews/art.shtml?num=57798

Некоторые версии PuTTY заражены бэкдором
Аналитики из компании Mandiant предупредили пользователей о появлении троянизированной версии утилиты PuTTY, которая используется злоумышленниками для взлома различных организаций. При установке обязательно обращайте внимание, легитимные версии PuTTY подписаны разработчиком, а версии хакеров — нет.
xakep.ru/2022/09/16/malicious-putty/

День знаний уже завтра! Ностальгируем и дарим подарки



Хоть 1 сентября и вызывает ностальгическую теплоту, но всё-таки хорошо, что это время прошло — во взрослой жизни куча плюсов! За хорошие оценки теперь не только хвалят, но и платят. Да и возможность выбрать, к какому «уроку» вставать — тоже отличный бонус!

Чтобы воспоминания о школьных временах были ещё приятнее (а для кого-то просто приятнее) — приготовили подарки:
  • -20% на заказ новых VDS;
  • и 2000 сертификатов на пополнение баланса номиналом 150 рублей для постоянных клиентов.
Старт акции — 1 сентября 2022 в 10:00 по мск. Подписывайтесь на нас в телеграме и не забывайте включать уведомления, чтобы ничего не пропустить!
t.me/TakeFirstNews

Август — летний отчёт, оплата через бота и новые статьи на Хабре

Взрослая жизнь — это когда вопрос, как ты провёл лето, волнует уже не учителя, а твоего начальника, который ждёт подробный отчёт о проделанной работе. Нам тоже есть о чём вам рассказать, поэтому отчитываемся :)



Инструкции
Как настроить почту для домена через Google, Яндекс и Mail

Настроить почтовый сервер можно как на своём VDS, так и с помощью сторонних сервисов, таких как Яндекс, Google и Mail. Во втором случае почтовый сервер будет работать независимо от VDS, а вам не придётся администрировать его или волноваться о нагрузке и занятом месте. Подробнее о настройке почтового сервера читайте в наших инструкциях.

Как оплачивать и продлевать услуги
Наши услуги делятся на два типа: с ежедневным продлением, как VDS, или с продлением по периодам, как, например, домены или SSL-сертификаты. В статьях напоминаем, как продлеваются разные услуги и какие возможности вы можете использовать, чтобы автоматизировать продление.


Эффективное распределение нагрузки в команде
Наверное, каждый хоть раз сталкивался с неразумным распределением нагрузки на работе и знает, какая это боль. Чтобы шкала стресса не билась в потолок, а выгорание не стало ежедневной рутиной — важно грамотно выстроить все рабочие процессы. В нашем блоге на VC как раз вышла статья на эту тему, рекомендуем всем менеджерам проектов и управленцам.

Habr: самое интересное за август
Лето на Хабре выдалось действительно жарким, столько статей у нас, пожалуй, ещё не выходило :) Как всегда, собрали для вас самое интересное в одну подборку. Остальные статьи можно прочитать в нашем блоге. habr.com/ru/company/first/blog/

Новости
А теперь к новостям августа.


Пополнение баланса через бот для Telegram и Viber
В нашем боте для Telegram и Viber появилась новая функция, с помощью которой вы можете оплачивать услуги через СБП. Ещё бот позволяет получать уведомления о низком балансе, активации, продлении или скором удалении услуг, а также о новых тикетах и многом другом. О том, как его подключить, читайте на нашем сайте.


Дарим подарки с 1 по 12 сентября в честь Дня знаний
Закупаться канцелярией к новому учебному году и собирать рюкзак уже не надо (по крайней мере, для себя), но 1 сентября по-прежнему вызывает ностальгическую теплоту. Чтобы воспоминания о школьных временах были ещё приятнее, запускаем акцию: с 1 по 12 сентября VDS можно будет заказать со скидкой 20%, а для постоянных клиентов мы подготовили 2000 сертификатов на пополнение баланса. Подписывайтесь на наш канал в телеграме, чтобы ничего не пропустить.


Хьюстон, у нас подарки: розыгрыш мерча в телеграм-канале
В нашем телеграм-канале можно не только узнавать новости самыми первыми, но и участвовать в разных активностях. В июле мы написали статью о том, как создавали корпоративный мерч, и получили много тёплых слов от читателей. А чтобы мерч радовал не только нас — решили разыграть его среди подписчиков. Результаты можно посмотреть на канале. t.me/TakeFirstNews/616

Уязвимости
Выявлены уязвимости в ядре Linux

В ядре Linux обнаружено несколько уязвимостей: одна позволяет изменить содержимое tmpfs и разделяемой памяти, вторая проблема кроется в подсистеме io_uring и позволяет получить права root, в том числе из контейнера, и ещё три уязвимости, вызванных обращением к уже освобождённым областям памяти, могут быть использованы, чтобы повысить привилегии локального пользователя в системе.
www.opennet.ru/opennews/

В 10 библиотеках PyPl обнаружен вредоносный код
Из репозитория PyPl было удалено 10 библиотек, которые могли привести к утечке данных: Ascii2text, Pyg-utils, Pymocks, PyProto2, Test-async, Zlibsrc, Free-net-vpn, Free-net-vpn2 и WINRPCexploit, Browserdiv. Вредоносные пакеты распространялись, используя тайпсквоттинг, то есть загружались, если пользователь опечатался в названии настоящего пакета.
xakep.ru/2022/08/10/pypi-malware-3/

Уязвимость процессоров AMD позволяет похищать данные
Исследователи обнаружили уязвимость SQUIP, которой подвержены все процессоры AMD с архитектурами Zen, Zen 2 и
Zen 3: злоумышленники могут использовать очередь планировщика через анализ помех, чтобы получить доступ к чувствительным данным. Чтобы избежать утечки данных, AMD рекомендовала разработчикам использовать алгоритмы с постоянным временем выполнения, отказ от потоков управления, зависимых от секретных данных, и другие передовые подходы.
3dnews.ru/1071973/novaya-uyazvimost-squip-zatragivaet-vse-protsessori-amd-zen-i-moget-ispolzovatsya-dlya-kragi-konfidentsialnih-dannih

Атака AEPIC Leak — утечка ключей из анклавов Intel SGX
Обнаружена новая атака — AEPIC Leak, позволяющая получить конфиденциальные данные из изолированных анклавов SGX процессоров Intel 10, 11 и 12 поколения. Причиной стала архитектурная недоработка, с помощью которой можно получить доступ к неинициализированным данным, оставшимся в регистрах APIC после выполнения прошлых операций. Для устранения проблемы компания Intel готовит исправления в форме обновления микрокода, а разработчикам рекомендовано использовать режим x2APIC вместо устаревшего xAPIC.
www.opennet.ru/opennews/art.shtml?num=57623

Пополнение баланса через бота для Telegram и Viber



Мы уже рассказывали, что для своих клиентов запустили бот в Telegram и Viber — с его помощью можно получать уведомления о низком балансе, активациях/продлении или скором удалении услуг, а также о новых тикетах и многом другом.

Для вашего удобства добавили в бота ещё две важные функции — проверку баланса привязанных аккаунтов и пополнение счёта через СБП. Как подключить бота и пополнить через него баланс — рассказываем в новости.

Если у вас возникнут вопросы — пишите в поддержку, с радостью поможем!

Изменение условий договоров с 2 сентября 2022 года

АО «ИОТ» уведомляет вас об изменении условий договоров на предоставление вычислительных сред с 2 сентября 2022 года. Указанные изменения применяются к публичному договору-оферте и договорам, заключенным в письменном виде.

С новой редакцией публичного договора-оферты вы можете ознакомиться на официальных веб-сайтах компании: aoiot.ru firstvds.ru clo.ru 1dedic.ru

Для Абонентов, заключивших договор-оферту:
в случае несогласия с новой редакцией вы вправе отказаться от услуг АО «ИОТ», предоставив письменное возражение в 10-дневный (десятидневный) срок с момента получения настоящего уведомления.

Для Абонентов, заключивших договоры в письменном виде:
настоящий документ является уведомлением о расторжении договора с 1 января 2023 года. Начиная с 2 сентября 2022 года, вы можете обратиться за заключением договора в новой редакции либо продолжить сотрудничество с АО «ИОТ» на условиях публичного договора-оферты путем его акцепта в установленном договором порядке.
firstvds.ru/company/documents

Июль — подарки в честь Дня сисадмина, история квеста «Пятница 13» и гайд по Linux

Большая часть лета уже позади. Но не стоит грустить, ведь ещё есть время для осуществления жарких планов — шаманим для вас хорошую погоду, попутный ветер и удачу во всех делах :)

Уже завтра мы будем поздравлять наших «шаманов» с их профессиональным праздником — Днём сисадмина. Чтобы и вы могли приобщиться к прекрасному, делимся полезными инструкциями по работе с Linux, приглашаем на бесплатный онлайн-курс по администрированию и дарим скидки на новые VDS.
Начало работы с Linux
Linux — одна из самых распространённых ОС, использующихся на серверах, поэтому умение работать с ней невозможно переоценить. Если вы хотите разобраться в сисадминской магии — предлагаем начать с нашего гайда, в котором мы рассказываем про основы работы с Linux.
  • Знакомство с Linux
  • Подключение к Linux-серверу
  • Особенности терминала
  • Структура команд
  • Первые шаги в командной строке
  • Структура каталогов Linux
  • Управление пользователями
  • Права доступа к файлам и папкам
  • Работа с программным обеспечением
  • Информация о системе


А чтобы глубже погрузиться в тему, рекомендуем пройти бесплатный видеокурс «Базовое администрирование Linux-серверов» — совместное детище наших сисадминов и ребят из учебного центра Слёрм. В курсе 12 модулей, состоящих из видеоуроков (по 10-15 минут) и блока практических заданий для самопроверки.

Выпуск SSL-сертификата OV и EV в 3 шага
OV и EV — самые надёжные SSL-сертификаты, предназначенные для компаний и организаций. В новой инструкции рассказываем, как заказать такой сертификат и пройти проверку.
Как заказать OV или EV SSL-сертификат в 3 шага

Статьи
Новые статьи на VC.ru

Если вы хотите побольше узнать о внутренней кухне FirstVDS — заглядывайте в наш блог на VC.ru. В новых статьях рассказываем, как создавался квест в честь «Пятницы 13», на какие грабли мы наступили, когда делали мерч для сотрудников, и делимся историей нашего сисадмина про отпуск на Алтае.
Пятница 13. Как мы превратили маркетинг в gamedev, а клиентов заставили убегать от Джейсона
  • Хьюстон, у нас котёнок! История создания мерча FirstVDS
  • Горный релакс. Иркутск — Алтай на машине за 12 дней
Habr: самое интересное за июль
Делимся традиционной подборкой наших самых читаемых статей. Не забывайте заглядывать в блог — почти каждый день публикуем технические материалы, которые могут пригодиться в работе, и увлекательный научпоп, чтобы отдохнуть с пользой.
  • Обзор графических оболочек Linux
  • Сжимаем изображения без потерь: какой формат выбрать?
  • В какой вычислительной вселенной мы живем?
  • YouTubeDrive: хранение файлов на YouTube

Новости
Новых релизов в июле не случилось (надеемся, что вы тоже успели сходить в отпуск этим летом!), но День сисадмина мы ни в коем случае не могли оставить без внимания. Делимся анонсом к грядущей акции :)

С 29 июля дарим подарки в честь Дня сисадмина
Уже завтра в 10:00 по мск начнём праздновать День сисадмина и поздравлять всех причастных. И конечно, будем дарить подарки:
  • скидки 25% на заказ новых VDS,
  • 2000 сертификатов на 150 рублей для постоянных клиентов.
Чтобы не пропустить старт акции — подписывайтесь на наш тг-канал.


1, 2, 3… Продано! Выделенные серверы по выгодным ценам
Если вашему проекту требуется больше ресурсов, рекомендуем заглянуть на аукцион от FirstDEDIC — там как раз появились новые конфигурации выделенных серверов на базе Core i9, Xeon E3 и E5. Чтобы сделать заказ по самой выгодной цене, следите за снижением стоимости выбранного сервера на сайте или через специальный телеграм-канал.

Уязвимости
Релиз системы мониторинга Zabbix 6.2

Разработчики представили новую версию системы мониторинга Zabbix 6.2. Релиз включает в себя улучшения производительности, безопасности и надёжности мониторинга, а также новые средства визуализации и сбора данных, расширенный список интеграций и шаблонов и многое другое.
www.opennet.ru/opennews/art.shtml?num=57455

Retbleed — новая атака на механизм спекулятивного выполнения CPU
Швейцарские исследователи обнаружили новый вариант атаки на механизм спекулятивного выполнения CPU Intel и AMD, позволяющий извлечь информацию из памяти ядра или организовать атаку на хост-систему из виртуальных машин. Для ядра Linux и гипервизора Xen уже подготовлен патч, блокирующий проблему программным путём.
www.opennet.ru/opennews/art.shtml?num=57496

IconBurst — вредоносная кампания, затронувшая сотни сайтов и приложений
Исследователи выявили около 20 пакетов NPM, которые с декабря 2021 года воровали данные из форм, встроенных в сайты и мобильные приложения. За это время вредоносные пакеты были скачаны более 27 000 раз и, вероятно, используются на сотнях и тысячах сайтов. Рекомендуем проверить, есть ли у вас пакеты, перечисленные в статье, и удалить их.
xakep.ru/2022/07/06/iconburst/

Исправлена уязвимость в Django, допускающая SQL-инъекции
Разработчики фреймворка Django выпустили обновления Django 4.0.6 и Django 3.2.14 для исправления серьёзной уязвимости, позволяющей выполнить подстановку своего SQL-кода в основной ветке Django, а также в версиях 4.1, 4.0 и 3.2. Всем пользователям настоятельно рекомендуем обновиться как можно скорее.
xakep.ru/2022/07/05/django-sql-injection/

Уж мы-то знаем, как отмечать День сисадмина!



-25% на заказ VDS и сертификаты на пополнение баланса в честь Дня сисадмина!
С праздником! Желаем, чтобы юзеры понимали всё с первого раза, код разработчиков не «ложил» прод, «железо» никогда не подводило, а начальник в честь праздника выписал премию и отпустил с работы пораньше :)

Для праздничного настроения подготовили подарки!
-25% на заказ новых VDS — скидка сработает на любой срок заказа VDS при единовременной оплате за этот период (1, 3, 6 или 12 месяцев).

Сертификаты на пополнение баланса номиналом 150 рублей для постоянных клиентов.
firstvds.ru/blog/sysadmin-day-2022

-35% на заказ VDS и сертификаты на пополнение баланса



Таких горячих скидок на FirstVDS ещё не было! Со всей ответственностью заявляем: если у метеорологов начнут плавиться термометры — это мы.

Поехали!
  • -35% на заказ новых VDS — без ограничений по количеству серверов,
  • сертификаты на пополнение баланса номиналом 150₽ для постоянных клиентов.

Срок проведения акции — с 4 по 11 июля 2022 23:59 по мск. Все сертификаты и промокоды уже в нашем телеграм-канале. Количество сертификатов, как всегда, ограничено (2000 штук), поторопитесь ;)

https://firstvds.ru

Июнь — свежие инструкции, летняя акция и новые фичи от CLO

Есть такая категория людей, которым в отпуске нужно запрещать читать рабочие чаты «всего одним глазком», проходить «мимо» офиса и разгребать задачи, потому что «всё равно нечем заняться». В июньском дайджесте делимся мыслями, как заставить их отдохнуть.



Сегодня рассказываем о новых (и напоминаем о старых, но актуальных во все времена) статьях, анонсируем самую летнюю акцию и делимся новостями проекта CLO. А ещё рассуждаем, как сделать, чтобы даже самый отчаянный трудоголик мог вдоволь отдохнуть.

Статьи и инструкции
Как установить Python 3.9 и VENV
Если вы делаете первые шаги в разработке, то Python — то, что вам нужно. В статье рассказываем, как установить его на сервер с любой актуальной версией операционной системы на базе Ubuntu и Debian, а также разбираемся, для чего используется виртуальное окружение и менеджер пакетов PIP3.
Установка Python 3.9 и виртуального окружения (VENV)

Как установить графический интерфейс GNOME и xRDP
Чтобы работать в графическом интерфейсе, необязательно устанавливать Windows — можно поставить GUI GNOME на Linux. В новой инструкции рассматриваем, как подготовить сервер к его установке, запускаем рабочий стол и устанавливаем службу xRDP для удалённого подключения RDP.
Установка графического интерфейса (GUI) GNOME на Ubuntu и xRDP для подключения к удалённому рабочему столу

Как уберечь сервер от вирусов и взлома
Игнорировать вирусы и уязвимости можно лишь до первого взлома. Чтобы не допускать подобных случаев, важно регулярно проводить профилактику, обновлять ПО до актуальных версий и лечить вирусы, если вы их всё-таки обнаружили. Ну и конечно, делать бэкапы, куда без них. Добавляйте статьи в закладки, чтобы всегда были под рукой.
Признаки и способы заражения и взлома сайтов
Инструменты проверки сайта на вирусы
Лечение вирусов на сайтах: чек-лист

Habr: самое интересное за июнь
Вы заметили, что статей в блоге стало ещё больше? Мы подключили к работе несколько новых авторов с очень интересным опытом, так что теперь каждый сможет найти для себя что-то интересное под утренний кофе. А пока делимся самыми читаемыми статьями.
  • Хостинг размером с монетку. Самые маленькие компьютеры 2022 года
  • Как писать программы с математическим совершенством
  • Возрождение простых сайтов. Статика, 0kB JS, ничего лишнего
  • Кто круче rsync? Интересные алгоритмы для синхронизации данных
  • FreeRTOS — операционная система реального времени


SUMMERTIME: -35% на заказ VDS и сертификаты на баланс
Чтобы июль уж точно не прошел зря, решили разжечь летнее настроение жаркой акцией! А то знаете, месяц лета уже позади, надо успевать ловить момент ;) С 4 по 7 июля будем дарить всем клиентам скидку 35% на заказ новых VDS, а тем, кто с нами уже более года, — сертификат на 150 рублей. Ставьте уведомление в календарь или подписывайтесь на наш телеграм-канал, чтобы не пропустить начало. t.me/TakeFirstNews


Резервное копирование и S3-хранилище на проекте CLO
В июне ребята сделали несколько классных обновлений. Во-первых, реализовали возможность работать с S3-хранилищем в Личном кабинете, а во-вторых, добавили новую услугу для создания и надёжного хранения бэкапов. Теперь в разделе «Бэкапы» можно подключить стандартный план резервного копирования, который подойдёт почти всем — бэкапы ежедневно будут сохраняться в облако и храниться в двух копиях…

Уязвимости
Критическая уязвимость в плагине Ninja Forms WordPress

Сайты, использующие WordPress и плагин для создания форм Ninja Forms, оказались под угрозой хакерской атаки. Критическая уязвимость позволяет злоумышленнику удалённо выполнить код через десериализацию содержимого и получить полный контроль над сайтом. Чтобы исправить проблему, компания WordPress выпустила для сайтов принудительное обновление. Если же ваш сайт ещё использует старую версию, рекомендуется установить патч вручную, обновив плагин до безопасной версии 3.6.11.
xakep.ru/2022/06/17/ninja-forms-patch/

Массовый взлом сайтов на Битриксе
Во вторник, 28 июня, владельцы сайтов на Битриксе столкнулись с массовым взломом своих проектов. Компания считает, что злоумышленники использовали уязвимость модуля vote BDU:2022-01141. Проблема была обнаружена ещё в марте, однако многие пользователи не обновились до сих пор. Если у вас есть проекты на Битриксе, рекомендуется обновить CMS до последней версии.
www.rbc.ru/rbcfreenews/62bc793d9a794732b41a4d58

Уязвимость Follina в продуктах Microsoft Windows Support Diagnostic Tool
Исследователи обнаружили уязвимость CVE-2022-30190, позволяющую злоумышленнику удалённо выполнить произвольный код. Сама по себе уязвимость содержится в Microsoft Windows Support Diagnostic Tool, но из-за особенностей реализации этого инструмента может быть эксплуатирована при помощи вредоносного офисного документа. Microsoft уже выпустила исправление в рамках «июньского вторника обновлений», всем пользователям рекомендуется обновиться.
www.kaspersky.ru/blog/follina-cve-2022-30190-msdt/33255/

Уязвимость в OpenSSL 3.0.4
В криптографической библиотеке OpenSSL обнаружена уязвимость, позволяющая повредить содержимое памяти процесса через отправку специально оформленных данных в момент установки TLS-соединения. Пока неизвестно, возможно ли использовать уязвимость для выполнения произвольного кода атакующего. Исправление пока доступно только в виде патча.
www.opennet.ru/opennews/art.shtml?num=57415

Массовый взлом сайтов на Битриксе

Во вторник, 28 июня, владельцы порталов и сайтов на Битриксе столкнулись с массовым взломом своих проектов. Из обсуждения на официальном форуме Битрикса известно, что злоумышленникам удалось получить полный доступ к множеству сайтов на базе этой CMS — вплоть до смены всех паролей и удаления данных.
dev.1c-bitrix.ru/community/forums/forum6/topic147346/

Предполагаем, что для осуществления взлома злоумышленники использовали несколько путей, в том числе:
  • через уязвимость модуля vote (версия ниже 21.0.100). Уязвимость позволяет нарушителям воспользоваться возможностью отправки специально сформированных сетевых пакетов и записывать произвольные файлы в систему;
  • через встроенный редактор html.
Если у вас есть проекты на Битриксе, рекомендуем обновить CMS до последней версии. В версии 21.0.1 модуля vote уже исправлены ошибки безопасности. Также советуем проверить наличие корректных резервных копий сайтов.
dev.1c-bitrix.ru/docs/versions.php?lang=ru&module=vote

Если у вас нет бэкапов, не откладывайте их создание. Дополнительно до выяснения подробностей об уязвимости рекомендуем в файлах /bitrix/tools/vote/uf.php и /bitrix/tools/html_editor_action.php перед require_once вставить следующий код:
if ($_SERVER['REQUEST_METHOD'] === 'POST') 

{          

    header("Status: 404 Not Found");

    die();

}

При возникновении вопросов или проблем с доступностью сайтов на Битриксе вы можете обратиться к специалистам техподдержки в Личном кабинете.