Уязвимости в WordPress 6.0.2

Здравствуйте, уважаемые пользователи.



В новой версии популярной CMS WordPress (6.0.2) обнаружены три бага, включая опасную уязвимость, допускающую инъекцию SQL.

Проблема затрагивает функциональность WordPress Link и актуальна только для старых установок. На новых установках эти опции отключены по умолчанию. Уязвимость получила 8 баллов по шкале CVSS и требует прав администратора.

Оставшиеся два бага получили среднюю степень риска: это проблемы межсайтового скриптинга (XSS), затрагивающие функцию “the_meta” и вызванные ошибками при деактивации и удалении плагинов. Успешная эксплуатация этих уязвимостей приводит к запуску и выполнению JavaScript-кодов.

В обновлении версии 6.0.2 все баги были устранены.

Если вы ещё не установили новую версию WordPress, то рекомендуем это сделать: самостоятельно либо обратившись в нашу техподдержку через систему тикетов. Инструкции по работе с системой управления контентом WordPress вы можете найти в нашей базе знаний — my.hostiman.ru/knowledge/38-wordpress

С уважением, ваш хостинг-провайдер HostiMan.

Изменились правила выпуска публичных OV Code Signing сертификатов



Согласно CA/B Forum, регулятору SSL-индустрии, с 15 ноября 2022 года приватные ключи для OV Code Signing сертификатов должны храниться на устройствах, отвечающих стандартам безопасности FIPS 140 Level 2, Common Criteria EAL 4+ или аналогичным. В итоге защита приватного ключа будет усилена и доведена до уровня EV (Extended Validation).

Изменения выпуска OV Code Signing затронут все сертификаты, выпущенные, перевыпущенные или продленные с 15 ноября 2022 года.

Пользователям больше не придется самостоятельно совершать CSR-запросы, поскольку теперь вся техническая часть по выпуску Code Signing сертификата будет осуществляться на стороне удостоверяющего центра.

Приватные ключи и сертификаты должны по новым правилам храниться на токенах или на HSM-модулях (аппаратные модули безопасности), которые имеют сертификацию по стандартам не ниже FIPS 140-2 Level 2 или Common Criteria EAL 4+.

Как будет проходить процесс подписи кода с 15 ноября 2022 года
Чтобы использовать Code Signing сертификат, хранящийся на токене/HSM, пользователю потребуется физический доступ к этому устройству, а также учетные данные для использования сертификата.

Чтобы подписать свой код, пользователю нужно будет подключить токен/HSM с сертификатом к компьютеру, после чего использовать уникальный пароль для дополнительной защиты.

Как будет проходить заказ и продление Code Signing сертификатов с 15 ноября 2022 года
В случае с заказом или продлением Code Signing-сертификата пользователю нужно будет выбрать подходящий метод доставки. Иными словами, нужно будет выбрать вид устройства, на котором придет приватный ключ. Удостоверяющие центры предлагают три варианта доставки:
  • На физическом токене (предустановленный сертификат).
  • На HSM-модуле.
  • С использованием вашего собственного поддерживаемого токена.
Как мы отмечали выше, токены и HSM-модули должны отвечать стандартам безопасности FIPS 140 Level 2, Common Criteria EAL 4+ или аналогичным. Для использования HSM-модуля потребуется направить удостоверяющему центру аттестационное письмо с информацией о пройденном аудите.

Как будет проходить перевыпуск Code Signing сертификатов с 15 ноября 2022 года
В случае с перевыпуском Code Signing сертификата пользователям нужно будет установить сертификат на поддерживаемый токен/HSM. Если токена нет, то в таком случае его нужно будет дополнительно заказать.

В данный момент удостоверяющие центры налаживают процедуру покупки токенов при перевыпуске Code Signing-сертификатов. Как только цены и условия приобретения будут известны, мы добавим соответствующую информацию на сайт.

Ознакомиться с полными правилами выпуска OV Code Signing-сертификатов можно в документе «Baseline Requirements (BR) for the Issuance and Management of Code Signing (v. 2.8)», который доступен на сайте CA/B Forum.

Подписывайтесь на нашу рассылку, чтобы быть в курсе свежих событий из мира SSL!

Cloud4Y разместил в облаке инфраструктуру ФГУП «Паспортно-визовый сервис» МВД РФ



ФГУП «Паспортно-визовый сервис» МВД России является крупнейшим Предприятием по оказанию услуг в сфере миграции и представлен почти в каждом уголке страны. Сотрудники ФГУП «ПВС» МВД России оказывают информационно-консультационную помощь в сфере миграции, а также занимаются оформлением заявлений и иных документов, подаваемых в территориальные органы МВД России. Только в 2021 году Предприятием оказано 3 миллиона услуг, из которых более 1 миллиона по оформлению патентов.

Большой объём обрабатываемых персональных данных и широкая географическая распределённость филиалов усложняют задачу Предприятия по защите сведений. В связи с этим, а также в целях выполнения требований ФЗ №152 «О персональных данных», ФГУП «Паспортно-визовый сервис» МВД России принял решение использовать решения облачных провайдеров. В частности, корпоративного облачного провайдера «Cloud4Y».

После небольшого тестового периода, необходимого для оценки качества оказываемых услуг, Предприятие мигрировало на облачную платформу. На принятие решения о сотрудничестве повлиял большой опыт работы «Cloud4Y» в сфере обеспечения защиты чувствительной информации, высокая скорость реакции на обращения, а также компетентность сотрудников технической поддержки.

ФГУП «Паспортно-визовый сервис» МВД России получил закрытый защищённый контур для хранения персональных данных. Предложенное компанией решение «Облако ФЗ 152» упрощает соблюдение требований законодательства 152-ФЗ для операторов ПДн и помогает избежать нарушений, связанных с хранением персональных данных граждан. Наличие средств защиты информации (СЗИ), лицензированных ФСБ и ФСТЭК, а также сертификатов УЗ1-4, 1К, 1Г гарантирует безопасность и отказоустойчивость облачной платформы. Теперь данные граждан, пользующихся услугами Предприятия, находятся под надёжной защитой.

Оплачивать за услуги стало выгоднее: снизил комиссию по СБП до 1%



Каждый день команда Aéza старается изменить мир к лучшему и сегодняшний день — не исключение.

Заменили платежного агрегатора для СБП, в результате чего была получена возможность снизить комиссию по СБП с 5% до 1%, а также интегрировали оплату прямо в наш личный кабинет, а значит теперь не нужно переходить на сторонний сайт платежной системы, чтобы оплатить услуги с помощью СБП, ведь QR-код для оплаты будет отображаться прямо в нашем личном кабинете.

Оплачивайте в один клик уже сейчас. На Aéza: go.aeza.net/sbp

С 1 октября 2022 года базовая плата по вашему контракту увеличится на 20%



Мы рады, что вы наш покупатель! Сегодня мы связываемся с вами, чтобы сообщить о предстоящем изменении вашей подписки.

С 1 октября 2022 года базовая плата по вашему контракту увеличится на 20%. Изменение вступит в силу для вас, когда наступит срок следующего платежа, т. е. 1 октября 2022 г. или после этой даты. Вы можете увидеть период следующего платежа в своей учетной записи клиента.

Мы вносим это изменение в связи с общими и значительными изменениями затрат в связи с резким ростом инфляции. Это приводит к увеличению затрат практически во всех областях работы вашего сервера и программного обеспечения и основано на внешних обстоятельствах, на которые мы не можем повлиять.

Мы знаем, что переживаем трудные времена и сожалеем об этой корректировке цен, которая необходима в связи с текущей структурой затрат, контролируемой внешними воздействиями, и надеемся на ваше понимание.
Конечно, как обычно, мы готовы ответить на ваши вопросы по адресу support@servdiscount.com.

Много приветствий,
Ваша команда с servdiscount.com

Корректировка цен распространяется на все контракты в глобальном масштабе и не дает каких-либо особых прав расторжения. Если вы не согласны с обоснованной корректировкой цен, вы можете возразить против нее в течение 10 дней, начиная с 1 сентября 2022 года. Пожалуйста, свяжитесь с нами напрямую по электронной почте.

День знаний уже завтра! Ностальгируем и дарим подарки



Хоть 1 сентября и вызывает ностальгическую теплоту, но всё-таки хорошо, что это время прошло — во взрослой жизни куча плюсов! За хорошие оценки теперь не только хвалят, но и платят. Да и возможность выбрать, к какому «уроку» вставать — тоже отличный бонус!

Чтобы воспоминания о школьных временах были ещё приятнее (а для кого-то просто приятнее) — приготовили подарки:
  • -20% на заказ новых VDS;
  • и 2000 сертификатов на пополнение баланса номиналом 150 рублей для постоянных клиентов.
Старт акции — 1 сентября 2022 в 10:00 по мск. Подписывайтесь на нас в телеграме и не забывайте включать уведомления, чтобы ничего не пропустить!
t.me/TakeFirstNews

с 4 сентября 2022 года Wishosting станет подразделением RIGIL WEB TECHNOLOGIES LIMITED

Сегодня мы хотим поделиться интересными новостями. Во-первых, с 4 сентября 2022 года Wishosting станет подразделением RIGIL WEB TECHNOLOGIES LIMITED.

Будьте уверены, этот переход не повлияет на надежность нашего сервиса. На самом деле, у нас есть планы по многим улучшениям в будущем, однако в процессе перехода на наш веб-сайт будут внесены некоторые немедленные изменения, поэтому мы перечислили их ниже:
  • Дополнительные валюты — при заказе услуги можно будет выбрать дополнительные валюты. Дополнительными валютами будут CNY и NZD. Ваша предпочтительная валюта будет установлена ​​после вашего заказа и будет автоматически использоваться для всех повторяющихся счетов. Если вы хотите изменить предпочтительную валюту для своей учетной записи, это можно запросить через службу поддержки. Обратите внимание, что наши цены останутся фиксированными в долларах США, поэтому цены в других валютах будут колебаться в зависимости от обменного курса.
  • Способы оплаты — существующие способы оплаты будут заменены на PayPal для платежей в долларах США. При оплате в CNY или NZD вместо этого вам будет предложено использовать Stripe. В будущем мы добавим больше способов оплаты.

Платежи заранее — возможность производить платежи заранее путем пополнения счета будет отключена. Вы сможете использовать существующий кредит учетной записи. Мы работаем над решением для преодоления этого ограничения. С другой стороны, вы сможете использовать подписки PayPal для своих услуг, что упростит регулярные платежи.

График работы службы поддержки меняется с 9:00 до 17:00 NZT с понедельника по пятницу. Среднее время ответа на тикет в рабочее время службы поддержки должно быть минимальным. Среднее время ответа в нерабочее время службы поддержки может составлять до 24 часов.
С резидентов Новой Зеландии будет взиматься налог на товары и услуги в размере стоимости услуги. Предпочтительной валютой для резидентов Новой Зеландии будет NZD.

Плановое обслуживание сайта
Чтобы внедрить описанные выше новые функции и обеспечить бесперебойную работу веб-сайта, мы переведем его в автономный режим на техническое обслуживание в 00:00 по Гринвичу 4 сентября 2022 г. Он будет оставаться в автономном режиме до 48 часов. В это время все ваши сервисы и панель управления останутся онлайн. Все запросы в службу поддержки, отправленные на адрес support@wishosting.com, также будут обработаны.

Предстоящие изменения цен
В связи с недавними объявлениями наших вышестоящих провайдеров о повышении их цен в связи с энергетическим кризисом, мы скорректируем цены на все наши пакеты, чтобы отразить это повышение. Новые цены будут применяться к новым заказам с 4 сентября 2022 года. Существующие услуги получат обновление цен 1 декабря 2022 года. В среднем увеличение существующих услуг составит 10% от существующей цены с установленной минимальной суммой увеличения. до 1 доллара.

Как обычно, мы готовы ответить на ваши запросы с помощью заявок в службу поддержки, поэтому, если у вас есть какие-либо вопросы, обращайтесь к нам.

С уважением,
команда Wishhosting
www.wishosting.com

Новая главная страница контрольной панели и другие новости за август 2022



Новая главная страница контрольной панели
Контрольная панель Джино обзавелась новой главной страницей. Теперь сразу после входа в аккаунт можно одним взглядом оценить его текущее состояние: баланс лицевого счёта, домены, все подключённые сервисы, последние резервные копии, а также действующие акции, персональные предложения и свежие новости.
Также прямо с главной страницы можно создать новый сервис или быстро перейти в уже существующий, будь то хостинг-контейнер, VPS, сайт на Спектре или лендинг.


Домен .DIGITAL за 349 ₽ в сентябре
До конца сентября в Джино.Магазине действует специальная цена на домены .DIGITAL — всего 389 ₽. А всем, кто подписан на нашу рассылку, мы дарим возможность купить домен в этой зоне ещё выгоднее — за 349 ₽ по промокоду SEPDIGITAL.
Чтобы воспользоваться скидкой, нажмите на кнопку ниже или введите промокод в соответствующее поле при оформлении заказа.


Ежемесячный розыгрыш: итоги августа и новый приз — Смарт-часы Xiaomi Watch S1
Очередной розыгрыш от Джино завершён. Августовский приз — Внешний SSD WD 1TB — достаётся Антону К., г. Набережные Челны. Сердечно поздравляем вас!
Объявляем начало нового конкурса и уже начинаем принимать заявки. В сентябре счастливчик получит Смарт-часы Xiaomi Watch S1 со встроенным микрофоном и динамиком, а также датчиком отслеживания частоты сердечных сокращений.

IPv6 в каждый дом



???? IPv6 теперь и на европейских VPS!

К каждому серверу теперь при создании прикрепляется целая подсеть /64 IPv6, это 18,446,744,073,709,551,616 уникальных IPv6 адресов на каждый сервер, бесплатно!
Если вы будете каждую секунду менять айпи, этого хватит на 584942417355 лет! Ахуеть!

Команда Aéza рада предоставить бесплатные IPv6-подсети для всех серверов в европейских локациях: Австрия, Германия, Нидерланды.
Новые серверы будут устанавливаться уже с выделенной подсетью, но мы не забыли и про старых клиентов: получить IPv6 можно нажатием одной кнопки в личном кабинете, на странице сервера в разделе IP-адреса. Для выделения подсети сервер перезагрузится, поэтому мы сделали возможность подключения IPv6 таким удобным способом.

Попробуйте уже сейчас: go.aeza.net

Август — летний отчёт, оплата через бота и новые статьи на Хабре

Взрослая жизнь — это когда вопрос, как ты провёл лето, волнует уже не учителя, а твоего начальника, который ждёт подробный отчёт о проделанной работе. Нам тоже есть о чём вам рассказать, поэтому отчитываемся :)



Инструкции
Как настроить почту для домена через Google, Яндекс и Mail

Настроить почтовый сервер можно как на своём VDS, так и с помощью сторонних сервисов, таких как Яндекс, Google и Mail. Во втором случае почтовый сервер будет работать независимо от VDS, а вам не придётся администрировать его или волноваться о нагрузке и занятом месте. Подробнее о настройке почтового сервера читайте в наших инструкциях.

Как оплачивать и продлевать услуги
Наши услуги делятся на два типа: с ежедневным продлением, как VDS, или с продлением по периодам, как, например, домены или SSL-сертификаты. В статьях напоминаем, как продлеваются разные услуги и какие возможности вы можете использовать, чтобы автоматизировать продление.


Эффективное распределение нагрузки в команде
Наверное, каждый хоть раз сталкивался с неразумным распределением нагрузки на работе и знает, какая это боль. Чтобы шкала стресса не билась в потолок, а выгорание не стало ежедневной рутиной — важно грамотно выстроить все рабочие процессы. В нашем блоге на VC как раз вышла статья на эту тему, рекомендуем всем менеджерам проектов и управленцам.

Habr: самое интересное за август
Лето на Хабре выдалось действительно жарким, столько статей у нас, пожалуй, ещё не выходило :) Как всегда, собрали для вас самое интересное в одну подборку. Остальные статьи можно прочитать в нашем блоге. habr.com/ru/company/first/blog/

Новости
А теперь к новостям августа.


Пополнение баланса через бот для Telegram и Viber
В нашем боте для Telegram и Viber появилась новая функция, с помощью которой вы можете оплачивать услуги через СБП. Ещё бот позволяет получать уведомления о низком балансе, активации, продлении или скором удалении услуг, а также о новых тикетах и многом другом. О том, как его подключить, читайте на нашем сайте.


Дарим подарки с 1 по 12 сентября в честь Дня знаний
Закупаться канцелярией к новому учебному году и собирать рюкзак уже не надо (по крайней мере, для себя), но 1 сентября по-прежнему вызывает ностальгическую теплоту. Чтобы воспоминания о школьных временах были ещё приятнее, запускаем акцию: с 1 по 12 сентября VDS можно будет заказать со скидкой 20%, а для постоянных клиентов мы подготовили 2000 сертификатов на пополнение баланса. Подписывайтесь на наш канал в телеграме, чтобы ничего не пропустить.


Хьюстон, у нас подарки: розыгрыш мерча в телеграм-канале
В нашем телеграм-канале можно не только узнавать новости самыми первыми, но и участвовать в разных активностях. В июле мы написали статью о том, как создавали корпоративный мерч, и получили много тёплых слов от читателей. А чтобы мерч радовал не только нас — решили разыграть его среди подписчиков. Результаты можно посмотреть на канале. t.me/TakeFirstNews/616

Уязвимости
Выявлены уязвимости в ядре Linux

В ядре Linux обнаружено несколько уязвимостей: одна позволяет изменить содержимое tmpfs и разделяемой памяти, вторая проблема кроется в подсистеме io_uring и позволяет получить права root, в том числе из контейнера, и ещё три уязвимости, вызванных обращением к уже освобождённым областям памяти, могут быть использованы, чтобы повысить привилегии локального пользователя в системе.
www.opennet.ru/opennews/

В 10 библиотеках PyPl обнаружен вредоносный код
Из репозитория PyPl было удалено 10 библиотек, которые могли привести к утечке данных: Ascii2text, Pyg-utils, Pymocks, PyProto2, Test-async, Zlibsrc, Free-net-vpn, Free-net-vpn2 и WINRPCexploit, Browserdiv. Вредоносные пакеты распространялись, используя тайпсквоттинг, то есть загружались, если пользователь опечатался в названии настоящего пакета.
xakep.ru/2022/08/10/pypi-malware-3/

Уязвимость процессоров AMD позволяет похищать данные
Исследователи обнаружили уязвимость SQUIP, которой подвержены все процессоры AMD с архитектурами Zen, Zen 2 и
Zen 3: злоумышленники могут использовать очередь планировщика через анализ помех, чтобы получить доступ к чувствительным данным. Чтобы избежать утечки данных, AMD рекомендовала разработчикам использовать алгоритмы с постоянным временем выполнения, отказ от потоков управления, зависимых от секретных данных, и другие передовые подходы.
3dnews.ru/1071973/novaya-uyazvimost-squip-zatragivaet-vse-protsessori-amd-zen-i-moget-ispolzovatsya-dlya-kragi-konfidentsialnih-dannih

Атака AEPIC Leak — утечка ключей из анклавов Intel SGX
Обнаружена новая атака — AEPIC Leak, позволяющая получить конфиденциальные данные из изолированных анклавов SGX процессоров Intel 10, 11 и 12 поколения. Причиной стала архитектурная недоработка, с помощью которой можно получить доступ к неинициализированным данным, оставшимся в регистрах APIC после выполнения прошлых операций. Для устранения проблемы компания Intel готовит исправления в форме обновления микрокода, а разработчикам рекомендовано использовать режим x2APIC вместо устаревшего xAPIC.
www.opennet.ru/opennews/art.shtml?num=57623