Мощнее, надежнее и гибче: встречайте обновление!



Мы не стоим на месте и подготовили для вас сразу три крутых обновления. Ваш проект заслуживает лучшей инфраструктуры, и мы сделали её еще доступнее.

1. Тарифы POWER: полная свобода в сборке сервера
Мы полностью пересмотрели линейку младших тарифов Power. Теперь они стали по-настоящему народными:
  • Доступность: снизили стоимость и оптимизировали базовые ресурсы, чтобы качественный VPS был доступен каждому.
  • Больше места: добавили дискового пространства даже на самых бюджетных планах — вашим сайтам и базам данных больше не будет тесно.
  • Гибкость (главная фишка): теперь вы сами собираете свой сервер. Закончилось место, но хватает процессора? Добавьте только нужные гигабайты диска или ядра CPU прямо из панели управления.
  • Плюс: Больше никаких переплат за ненужные мощности. Вы платите ровно за то, что используете сейчас, и можете мгновенно адаптировать сервер под любые нагрузки без миграции.

2. Спокойствие 24/7: автоматические бэкапы на всех тарифах
Случайно удалили важный файл или база данных дала сбой после неудачного обновления плагина? С нами это больше не проблема. Мы включили возможность заказа резервного копирования абсолютно на все тарифы виртуальных серверов.
* Плюс: Ваши данные защищены от человеческих ошибок и программных сбоев. Настройте расписание один раз — и спите спокойно, зная, что копия вашего проекта всегда под рукой и может быть восстановлена в пару кликов.

3. Железобетонный аптайм: наш собственный ASN и интернет-резервирование
Это самое важное техническое обновление июля. Мы получили собственную автономную систему (ASN), а значит, вышли на новый уровень независимости. Уже в этом месяце мы завершим настройку полноценного резервирования каналов связи.

Что изменится: ваш сервер перестанет зависеть от одного поставщика интернета. Если у магистрального провайдера возникнут проблемы, трафик автоматически пойдет через запасной канал.

Плюс: Максимальная отказоустойчивость вашей инфраструктуры. Сайт останется онлайн при любых авариях на линии. Для ваших клиентов и поисковых систем сайт будет работать стабильно 24/7, а ваши позиции в выдаче будут расти благодаря улучшенным показателям доступности.
Итог наших изменений:
Вы получаете производительный виртуальный сервер, который стоит меньше, работает быстрее, защищен от потери данных и застрахован от падений сети.
Обновляйтесь, тестируйте новые возможности и стройте надежные проекты вместе!
P.S. Успейте протестировать гибкую настройку ресурсов на обновленных тарифах POWER одним из первых.
Сайт: https://elenahost.ru
Личный кабинет: https://billing.elenahost.ru

Изменение Публичной оферты (Договора) о предоставлении платных услуг



В связи с миграцией услуг Единой сети в панель управления Selectel в соответствии с пунктом 7.1. и 7.2, уведомляем вас об изменениях в Публичной оферте, вступающих в силу с 01.08.2026 года.

Основные изменения:
1. Условия использования сервисов, Правила пользования сервисами и услугами — услуги будут оказываться на основании документов, размещённых на сайте: selectel.ru/about/documents/
2. Панель управления — управление услугами будет доступно на сайте selectel.ru, с учетом дачи согласия
3. Стоимость и расчёты — стоимость услуг определяется тарифами на сайте selectel.ru/prices и в Панели управлени. Закрывающие документы предоставляются в формате УПД в течение 10 рабочих дней после окончания отчетного периода.
4. Наименование услуг будут изменены, будут актуализированы в соответствии с информацией о тарифах selectel.ru/prices. Состав и стоимость услуг не меняются.
5. Порядок уведомлений — изменен срок уведомления об изменениях в договоре, ценах и плановых профилактических работах

Ознакомиться с новой версией договора вы можете на сайте: www.servers.ru/legal
Новые условия вступят в силу с 1 августа 2026 года. Если Вы не согласны с новыми условиями, Вы можете в одностороннем порядке расторгнуть договор, направив нам письменный отказ от новых условий.

Напоминаем, что для сохранения доступа к вашим услугам Servers.ru, необходимо дать согласие на миграцию в панель управления Selectel. С подробностями миграции можно ознакомиться по ссылке transfer.servers.ru

Основания внесения изменений в Публичную оферту:
п. 7.1: В случае внесения изменений в Договор и/или Приложения Оператор уведомляет Абонента за 30 (тридцать) дней до даты введения в действие таких изменений. В случае несогласия Абонента с внесенными изменениями он вправе в одностороннем порядке отказаться от услуг, направив письменное уведомление о своем желании расторгнуть Договор в течение 10 (десяти) календарных дней от даты получения уведомления от Оператора.
п. 7.2: 7.2. Все виды уведомлений по электронной почте отправляются Оператором на адрес электронной почты, и признаются Сторонами официальной перепиской.

В наличии выделенный сервер на AMD Ryzen 9 5950X (32 ядра) в Германии и Финляндии



Прямо сейчас в наличии выгодные конфигурации серверов на 32 ядерном процессоре AMD Ryzen 9 5950X (до 4.9 GHz ) и 128 GB ECC в Европе (Германия, Финляндия).

  • Устанавливаем Windows Server 2019,2022,2025, Windows 10 Pro, Linux
  • Панель управления сервером
  • Безлимитный канал 1 Gbps
  • Защита от DDoS

Конфигурации и аренда сервера abcd.host/hetzner-dedicated-servers
По вопросам пишите в личный кабинет my.abcd.host или Telegram: @ABCDSupportBot

Спасибо, что остаетесь с нами!
ABCD.HOST

В наличии выделенный сервер на Intel Core i9-13900 (32 ядра) в Германии и Финляндии



Прямо сейчас в наличии выгодные конфигурации серверов на 32 ядерном процессоре Intel Core i9-13900 (до 5.60 GHz ) и 64 GB ECC RAM в Европе (Германия, Финляндия).

  • Устанавливаем Windows Server 2019,2022,2025, Windows 10 Pro, Linux
  • Панель управления сервером
  • Безлимитный канал 1 Gbps
  • Защита от DDoS

Конфигурации и аренда сервера abcd.host/hetzner-dedicated-servers
По вопросам пишите в личный кабинет my.abcd.host или Telegram: @ABCDSupportBot

Спасибо, что остаетесь с нами!
ABCD.HOST

НОВИНКА: Установите игровую панель OVHcloud на свой выделенный сервер прямо сейчас



После нескольких месяцев бета-тестирования и благодаря многочисленным отзывам сообщества мы рады объявить о немедленной доступности игровой панели OVHcloud на всех выделенных серверах OVHcloud.

Разработанная в первую очередь с учетом потребностей геймеров, панель управления играми упрощает размещение игровых серверов, устраняя технические сложности, обычно связанные с их развертыванием и администрированием.

Больше никаких командных строк: управляйте всем из браузера всего несколькими кликами.
www.youtube.com/watch?v=OfoUHYLOJyM


Что позволяет делать игровая панель
  • Разверните сервер всего за несколько кликов, используя каталог из более чем 140 игр (Minecraft, Counter-Strike 2, Rust, Valheim...).
  • Легко настраивайте свой сервер, порты, файлы и, в зависимости от игры, моды.
  • Отслеживайте производительность в режиме реального времени с помощью метрик ЦП, ОЗУ и сети, журналов и встроенной консоли.
  • Запланируйте или запустите резервное копирование, чтобы обеспечить безопасность ваших сохранений игры.
  • Воспользуйтесь автоматическими обновлениями, чтобы ваш сервер всегда оставался актуальным.
  • Управляйте доступом и правами вашего сообщества из единого интерфейса.

Какие игры поддерживаются?
Панель управления играми построена на технологии LinuxGSM, которая предлагает обширный каталог из более чем 140 игр.

Чтобы обеспечить оптимальную работу сервиса с момента запуска, команда OVHcloud тщательно проверила самые популярные игры и значительно упростила их настройку. В число этих игр входят Minecraft, CS2, Hytale и многие другие.

Результат: автоматическая настройка параметров и опций каждой игры, а также подробные руководства, которые помогут вам быстро и без лишних сложностей начать работу.

Этот список будет постепенно расширяться со временем.

Как активировать и использовать игровую панель?
Панель управления играми OVHcloud теперь доступна по всему миру для всех VPS или выделенных серверов OVHcloud без дополнительной платы. Панель управления играми доступна в вашем личном кабинете после входа в бета-версию OVHcloud Manager.

Разместите свой игровой сервер всего за несколько кликов.
Следуйте нашим пошаговым видеоинструкциям, чтобы установить свой сервер Minecraft или CS2 на игровую панель OVHcloud всего за несколько минут.
www.youtube.com/watch?v=la22fqk3ulE&list=PL0DynEzr_sE558a0mXUBSj-NqTr5SSMxF
www.youtube.com/watch?v=LqBjM5fRsAM&list=PL0DynEzr_sE558a0mXUBSj-NqTr5SSMxF&index=6

Встречайте SELECTOS 2.0 Hele



Вышла новая версия SELECTOS — серверной операционной системы от Selectel. Релиз построен на Debian 13 и ядре Linux 6.12.86. Это дает лучшую поддержку современного оборудования и драйверов, а также актуальную пакетную базу для инфраструктурных задач. В версии учтен опыт эксплуатации предыдущих релизов и требования, необходимые для дальнейшей сертификации во ФСТЭК.

Особенности новой версии
  • Новая версия SELECTOS сочетает актуальную технологическую базу и удобную модель эксплуатации.
  • Система доступна в форматах ISO, QCOW2 и базового контейнерного образа, поэтому подходит для физических серверов, виртуальных машин, облачных и контейнерных сценариев.
  • Расширенная пакетная база помогает закрывать больше инфраструктурных задач.
  • Отдельные каналы для стабильного релиза, функциональных обновлений и обновлений безопасности делают эксплуатацию более управляемой и предсказуемой.
  • Собственные репозитории, подписанные пакеты и GPG-ключи снижают риски цепочки поставки и упрощают аудит ПО.

SELECTOS протестирована на совместимость с драйверами ведущих производителей GPU и может использоваться как основа для ИИ-нагрузок.
Все это снижает операционные риски, упрощает внедрение и сохраняет привычную Debian-совместимую модель эксплуатации.



https://selectel.ru

Временная недоступность услуг Servers.ru при миграции в Selectel



Напоминаем, что для сохранения доступа к вашим услугам Servers.ru, необходимо дать согласие на миграцию в панель управления Selectel. Наши команды подтвердили техническую готовность для переноса услуг с минимальным влиянием на работу вашей инфраструктуры.

Дата и подробности миграции выделенных серверов
Миграция выделенных серверов в панель управления my.selectel.ru начнется 20 июля 2026 г. и завершится не позже 3 августа 2026 г.

Для вашего удобства мы подробно описали процесс переноса услуг на сайте: transfer.servers.ru/
Основные этапы миграции:
  • 1. С 20 июля 2026 года до завершения миграции у вас не будет возможности управлять услугами в интерфейсе servers.ru (вы не сможете отключать или заказывать новые ресурсы). Сервисы продолжат работать.
  • 2. 27–30 июля будут проводиться технические работы на сетевом оборудовании с 17:00 до 05:00 следующего дня. Во время проведения работ ожидается частичное нарушение сетевой связности: в этот промежуток времени ваши сервисы не будут доступны.
  • 3. Не позднее 3 августа 2026 года услуги появятся в панели управления my.selectel.ru. После этого станет доступно отключение текущих или добавление новых услуг.

Для сохранения доступа к услугам просим вас в ближайшее время:
Скопировать этот код: BS***i6
Применить его на странице: transfer.servers.ru/code
Дать согласие на проведение миграции и заключение договора с АО «Селектел»;
Подтвердить согласие на передачу персональных данных от ООО «Единая сеть» в АО «Селектел».
Миграция не потребует физического переноса оборудования, при этом обеспечит высокий уровень надежности и доступности сервисов за счет 17-летней экспертизы Selectel. После завершения миграции управление вашими сервисами будет происходить из единой панели my.selectel.ru.

В Selectel доступно потребление LLM по токенам



В Selectel вы уже могли развернуть модели на нашей инфраструктуре через Foundation Models Catalog. А сейчас мы добавили возможность запускать инферес вендорских моделей с оплатой по токенам через ИИ-роутер.

ИИ-роутер — это единая точка доступа к ведущим языковым моделям, которая позволяет компаниям быстро запускать их и контролировать расходы без необходимости строить собственную инфраструктуру.

Преимущества ИИ-роутера
  • Доступ к каталогу из 300+ LLM-моделей. Не нужно настраивать отдельную интеграцию с каждым провайдером — выбирайте модель из каталога, интегрируйте через API-ключ и платите за фактическое использование каждой модели.
  • Управление бюджетом. Устанавливайте ограничение бюджетов на API-ключ, сотрудника и команду. Обеспечьте контроль расходов и защиту от нецелевого использования.
  • Единое окно оплаты. Все расходы на иностранные LLM аккумулируются на одном балансе — не нужны отдельные контракты с вендорами и иностранные корпоративные карты.
  • Надежность. Нет риска блокировки API-ключей и аккаунтов.
  • Аналитика и метрики в реальном времени
  • Мониторинг доступности моделей, средней задержки и других показателей — в любой момент можно увидеть полную картину использования ИИ по моделям и ключам.
  • Интеграция за минуты. Настраивайте быстро благодаря стандартному формату запросов, который поддерживается популярными SDK и фреймворками.

https://selectel.ru

Рег.решения: безопасность вышла на второе место у малого бизнеса при выборе онлайн-сервисов



Российские предприниматели стали отказываться от высокой скорости запуска бизнеса в онлайн-среде ради стабильности и безопасности цифровой инфраструктуры.

Малый бизнес в России при запуске проектов в интернете почти в половине случаев ставит безопасность в один ряд с ценой, показало исследование Рег.решений, сервиса для предпринимателей от Рег.ру. В опросе участвовали около двух тысяч человек — владельцы компаний, индивидуальные предприниматели, самозанятые, консультанты и фрилансеры.

50% респондентов Рег.решений назвали безопасность одним из главных критериев выбора цифровых решений. Чаще упоминалась только цена — 54%. Скорость запуска оказалась значима лишь для 36% участников. Таким образом, предприниматели всё чаще воспринимают домены, хостинг и сайты не как инструменты продаж, а как критичную онлайн-инфраструктуру: отказоустойчивость, защита домена, сохранность данных и стабильность коммуникаций.

При этом ресурсы бизнеса ограничены: 30% участников опроса указывают на отсутствие бюджета, 21% — на нехватку времени, 17% — на сложность выбора первого шага. Тем не менее 61% предпринимателей предпочитают настраивать онлайн-услуги самостоятельно. Это формирует спрос на «коробочные» сценарии, где базовая защита уже встроена в процесс запуска.

«На фоне усиления кибератак малый бизнес стал внимательнее относиться к устойчивости своей онлайн-инфраструктуры. При этом предпринимателям важно сохранять баланс: решение должно быть надежным, но понятным, а также быстрым в запуске и доступным по бюджету. Мы в Рег.решениях как раз создаем комплексные услуги для предпринимателей, в которые уже включена безопасность, для полноценного запуска онлайн-проектов», — комментирует Иван Грибов, директор по развитию продуктов для предпринимателей Рег.решений.

Исследование Рег.решений подтверждает, что для предпринимателей домен и сайт становятся не просто точкой присутствия в интернете, а частью базовой бизнес-инфраструктуры, где ошибка в настройке, нестабильная работа или потеря доступа могут напрямую влиять на продажи, репутацию и доверие клиентов.

Рег.решения объединяют продукты и услуги, подобранные экспертами Рег.ру под конкретные задачи малого бизнеса. Продукт ориентирован на предпринимателей и позволяет запустить и развить дело в интернете без привлечения множества внешних подрядчиков. В сервис входит более 180 решений для разных отраслей и стадий развития бизнеса, включая полный комплекс услуг — от создания логотипа и сайта до продвижения в интернете и социальных сетях.

Июнь — мониторинг сайтов, летний кешбэк и новые правила по работе с SSL

Лето — время, когда хочется выдохнуть, закрыть ноутбук и оказаться на берегу тёплого моря с коктейлем в руке. Но реальность оказывается куда прозаичнее. В самый разгар мечтаний погружает в стремительный круговорот задач, дедлайнов и нерешённых проблем, которые уносят всё дальше и дальше от долгожданного отдыха…


Мы решили: хватит тонуть в завалах. Быстренько наводим порядок в делах, закрываем хвосты и позволяем себе расслабиться. Собрали в новом выпуске всё, что для этого нужно. Заходите и забирайте:
  • свежие рецепты для автоустановки ПО, чтобы ускорить старт проектов,
  • важные изменения, которые влияют почти на всех, поэтому лучше быть в курсе,
  • гайды и инструкции — готовые решения разнообразных задач,
  • новые услуги, подборка занимательных статей с Хабра и приятный бонус, чтобы почувствовать прелесть лета даже в офисе.
В общем, листайте и выдыхайте!

Статьи и инструкции
Установка и настройка Portainer

Если у вас несколько Docker-хостов, может возникнуть вопрос, как управлять ими централизованно. Ответ — Portainer, веб-платформа для организации контейнерной инфраструктуры через единый GUI и REST API. Подключается к средам на базе Docker, Docker Swarm и Kubernetes и позволяет администрировать их из одного интерфейса. В статье на примере Ubuntu 24.04 пошагово показываем, как поднять и запустить её вручную
firstvds.ru/technology/ustanovka-i-nastroyka-portainer
Как установить и запустить vLLM: от базовой проверки до тяжёлых моделей
vLLM — сервер для запуска ИИ-моделей с открытым API. С его помощью можно поднять локальный эндпоинт для больших языковых моделей и подключить к нему свои приложения, чат-ботов или агентов. В статье рассказываем про два варианта установки vLLM — uv и Docker, а также разбираем основные параметры запуска.
firstvds.ru/technology/kak-ustanovit-i-zapustit-vllm

Habr: самое интересное за июнь
Ловите подборку из нашего блога на Хабре. Гвоздь программы — статья о том, как мы взяли L40S и vGPU на 16 ГБ и прогнали через бенчмарки в реальных задачах. Далее — пара рабочих гайдов: как ускорить сайт через оптимизацию изображений и как организовать личный CI/CD. Бонусом — необычная история о математике и плагиате.

Ищем авторов для блога на Хабр.

Подготовьте статью на одну из специальных тем или отправьте материал на тему месяца. И если ваша статья подойдёт для блога, вы получите повышенный гонорар.
Тема июля: Алгоритмы.
firstvds.ru/avtoram

Новости июня
Запустили новую услугу — «Мониторинг сайтов»

Теперь следить за доступностью сайта, сервера, домена и SSL-сертификата можно в одной панели. Сервис работает 24/7, отслеживает четыре ключевых параметра и при появлении проблем сразу отправляет уведомления на email, в телеграм, VK и другие каналы. Это помогает быстрее замечать сбои, не тратить время на ручные проверки и снижать риск простоев.
firstvds.ru/services/site-monitoring

Кешбэк до 10% по выходным в течение всего лета

Летние выходные стали ещё приятнее. Каждую пятницу, субботу и воскресенье за пополнение баланса (на рекомендуемую сумму и выше) можно получить кешбэк до 10%. Посмотреть рекомендуемую сумму можно через форму пополнения баланса на сайте или в Личном кабинете.
Процент кешбэка выше, если оплачивать услуги через СБП. Акция продлится до 30 августа.

Добавили новые рецепты для автоустановки на сервере

В июне мы добавили три новых рецепта для быстрого развёртывания популярных сервисов на VDS. При заказе сервера просто выбираете нужный рецепт и получаете VDS с уже предустановленным ПО. Все рецепты — бесплатные.
OpenClaw и Hermes Agent — self-hosted платформы для ИИ-агентов. Обе позволяют общаться с ассистентом через веб-интерфейс или в телеграме. Встроенные инструменты включают поиск в интернете и работу с файлами. OpenClaw интегрируется с Gmail, GitHub и другими сервисами, а также даёт доступ к агенту через API. Hermes Agent умеет подключаться к терминалу сервера и планировщику задач cron, что удобно для автоматических фоновых сценариев.
n8n — open-source платформа для автоматизации без кода. Поможет создать сценарии из готовых блоков в визуальном редакторе: от сбора данных по расписанию до отправки уведомлений и резервного копирования.

Доступна регистрация домена на родном языке

Теперь зарегистрировать сайт или почту можно на родном языке — без транслита и искажений. В зону.РФ добавлены буквы абазинского, татарского, чеченского, якутского и ещё 13 языков. А также 26 новых кириллических символов. Меньше барьеров, больше родного языка в интернете.
firstvds.ru/services/domain_names
Важно: С 1 сентября вступят в силу требования ФЗ № 569: владельцам доменов придётся проходить обязательную идентификацию через Госуслуги. Оформляйте домен на реальные данные, чтобы избежать проблем в дальнейшем.

Июньские изменения: что важно знать

Жизнь не стоит на месте, и июнь 2026-го — очередное тому подтверждение. Собрали самое важное в одном месте, чтобы вы были в курсе изменений и могли заранее к ним подготовиться.
О частичной недоступности ресурсов по HTTPS
С 1 июля повысятся цены на VDS и объектное хранилище S3
Новые правила работы с SSL-сертификатами

Новости из мира технологий и безопасности
Кажется, июнь решил проверить нас на прочность. И принёс не только новости о том, что нужно принимать новые правила игры, но и целый ворох критических уязвимостей. Держите подборки о главных угрозах месяца и помните — главное, не сдаваться и вовремя устанавливать обновления:

Один HTTP-запрос открывает доступ к любому аккаунту в phpBB
В свободном движке для форумов phpBB нашли уязвимость обхода аутентификации. Одним HTTP-запросом атакующий подключается к сессии любого пользователя форума, включая администратора. Проблема проявляется в конфигурации по умолчанию — никаких специальных условий или знания внутреннего устройства платформы не требуется. По данным исследователей, ошибка прожила в кодовой базе около десяти лет.
Метод эксплуатации уже воссоздали с помощью ИИ на основе патча. Запрос идёт к обработчику login_link с методом аутентификации auth_provider=apache, а логин подставляется через Basic Auth. После этого PHP выставляет переменную окружения PHP_AUTH_USER, и phpBB достаёт из неё логин без проверки пароля.
Уязвимость затрагивает все версии веток 3.x и 4.x вплоть до phpBB 3.3.16 и 4.0.0-a2. Перехват сессии обычного пользователя даёт доступ к приватной переписке и возможность писать от его имени. С сессией модератора или администратора добавляются удаление чужих сообщений, просмотр IP-адресов и email, чтение приватной переписки. Но даже админская сессия не открывает саму панель администрирования: вход в неё защищён отдельной проверкой пароля, поэтому до хоста и удалённого выполнения кода баг не доводит. Искать жертв несложно — список участников на форумах phpBB по умолчанию открыт всем.
Уязвимость обнаружили в начале июня специалисты компании Aikido и через программу bug bounty на HackerOne передали данные разработчикам. Те отреагировали быстро: уже 6 июня вышел патч в составе версии 3.3.17. Крупные форумы исследователи предупредили напрямую.
Что делать: обновиться до версии 3.3.17. Для ветки 4.x стабильного исправления пока нет, поэтому пользователям рекомендуют перейти на актуальную версию. После обновления некоторые форумы могут столкнуться с проблемами в работе OAuth-аутентификации — это связано с переносом обработчика OAuth-переадресации.
www.opennet.ru/opennews/art.shtml?num=65667
xakep.ru/2026/06/16/phpbb-auth-bypass/

В AUR захватили 1577 пакетов и раздавали из них вредонос
AUR (Arch User Repository) массово скомпрометировали — через этот репозиторий в Arch Linux распространяют приложения от сторонних разработчиков. Атакующие получили контроль примерно над 1577 пакетами и внедрили в них код для кражи паролей и ключей доступа. Среди затронутых оказался ALVR — пакет, популярный у любителей компьютерных игр.
Схема простая. Атакующие брали на себя заброшенные пакеты со статусом orphaned: указывали имя прежнего мейнтейнера, но другой email, добавляли один коммит и публиковали обновление. Коммит добавлял npm в зависимости PKGBUILD и вставлял в post_install-блок скрипта install.sh установку нескольких NPM-пакетов. Среди них — один-два легитимных и пакет atomic-lockfile или js-digest со скрытым вредоносным ПО. Установку прописывали во все скомпрометированные проекты, даже туда, где JavaScript и NPM не используются.
После активации вредонос закреплялся в системе как сервис systemd со случайным именем и маскировался под поток ядра. С правами root он создавал сервис на системном уровне (/etc/systemd/system) и дополнительно поднимал rootkit уровня ядра; с правами пользователя — запускал его от имени пользователя (~/.config/systemd/user). Дальше он сканировал систему и отправлял на внешний сервер ключи и учётные данные VPN, Docker, Podman и SSH, конфиденциальные данные из браузера, историю команд shell, ключи криптокошельков и токены доступа к Slack, Microsoft Teams, Discord, GitHub, NPM и Vault.
Масштаб рос на глазах: загрузку вредоносного js-digest успели внедрить в 879 пакетов, общее число захваченных оценивают в 1577. Первой волны не хватило — позже подставили код ещё в 54 пакета, на этот раз через зависимость bun и обфусцированную строку с установкой через bun add. Разработчики Arch Linux принимают меры, поэтому до окончательного решения возможны проблемы с регистрацией новых учётных записей в AUR, отправкой обновлений и созданием пакетов.
www.opennet.ru/opennews/art.shtml?num=65670

Дыра в JCE для Joomla открывает прямой путь к веб-шеллу
В JCE (Joomla Content Editor) — одном из старейших и популярнейших расширений Joomla — устранили критическую уязвимость CVE-2026-48907. Она позволяла импортировать профиль без аутентификации: атакующий заливал профиль, который отключал проверку MIME-типов и разрешал загрузку PHP-скриптов на сервер. Уязвимость успели взять на вооружение — зафиксированы реальные атаки, в которых злоумышленники ставили веб-шелл и получали удалённый доступ к системе. Затрагивает все версии JCE — от Joomla 3 до Joomla 6.
Что делать: обновиться до выпуска 2.9.99.5, следом за которым вышло обновление 2.9.99.6 с усилением защиты. После обновления стоит убедиться, что система не скомпрометирована и в ней не остался бэкдор:
  • проверить подставной профиль (как правило, у него бессмысленное автоматически сгенерированное имя): Компоненты → Редактор JCE → Профили редактора;
  • убедиться, что в параметре Разрешённые расширения файлов нет разрешения на загрузку PHP-файлов;
  • просмотреть логи на предмет запросов к URL импорта профилей: index.php?option=com_jce&task=profiles.import;
  • проверить сайт на сторонние .htaccess и файлы с именами, типичными для WordPress, а не Joomla, — например, wp-config.php и wp-cron.php.
www.opennet.ru/opennews/art.shtml?num=65715

Один восклицательный знак в ядре Linux открывает путь к root
Исследователи Exodus Intelligence разобрали уязвимость CVE-2026-23111 в подсистеме nf_tables. Это механизм пакетной фильтрации в ядре Linux: он управляет правилами брандмауэра и сменил iptables, ip6tables, arptables и ebtables. Виной всему один лишний восклицательный знак в коде — из-за него возникла ошибка use-after-free. Она позволяет непривилегированному пользователю или процессу поднять права до root.
Уязвимость ломает процесс удаления вердиктов — определений, которые решают, подходит ли пакет под правило. В нём участвуют элементы catchall: они работают как подстановочный знак, когда совпадений с другими элементами набора нет. Когда карта вердиктов удаляется из памяти, catchall-элементы деактивируются, а счётчик ссылок цепочки уменьшается. Если при удалении возникает ошибка, операция отменяется, а счётчик возвращается обратно. CVE-2026-23111 позволяет вмешаться в этот процесс: эксплойт уменьшает счётчик произвольное число раз, а затем удаляет и освобождает цепочку, хотя часть объектов всё ещё на неё ссылается. Так и появляется обращение к уже освобождённой памяти.
Если верить Exodus Intelligence, эксплойт многократно срабатывает на этой уязвимости и приводит к утечке базового адреса ядра, затем адресов кучи и перехвату потока управления. На неактивной системе авторы добились стабильности выше 99 %. Уязвимость воспроизводится на Debian и Ubuntu.
Уязвимость закрыли в ядре ещё в феврале. В апреле эксплойт продемонстрировала компания FuzzingLabs, а затем собственный рабочий эксплойт опубликовала и Exodus Intelligence — он тоже работал на Debian и Ubuntu.
Такие баги особенно опасны в связке: вместе с отдельным эксплойтом они позволяют обходить встроенную защиту операционной системы.
Что делать: Исправление вышло ещё в феврале — установите обновление ядра.
3dnews.ru/1143264/v-yadre-linux-nashli-seryoznuyu-uyazvimost-sozdannuyu-vsego-odnim-lishnim-simvolom-v-kode/

Гонка в процессорах ARM выпускает гостя за пределы виртуальной машины
Компания ARM раскрыла уязвимость CVE-2025-10263 в своих процессорах. Она позволяет писать в ресурсы, принадлежащие более высокому уровню исключений (Exception Level), и так повышать привилегии в системе. В связке с гипервизором Xen последствия еще более серьёзные: гостевая система может писать в память гипервизора.
В основе — рассинхронизация при операции TLBI (TLB Invalidation), которая очищает запись в кэше трансляции адресов (TLB). Инструкция DSB (Data Synchronization Barrier) подтверждает выполнение TLBI. Но на одном процессорном ядре она может отработать раньше, чем запись с другого станет видна всей системе. Из-за этого запись успевает пройти уже после того, как доступ был закрыт через TLBI.
Из-за этой рассинхронизации можно обойти сразу несколько барьеров защиты памяти: ограничения на уровне хоста (Stage 1) и виртуальной машины (Stage 2), а также защиту целостности памяти GPT (Granule Protection Table). На практике это выглядит так. Гипервизор командой TLBI закрывает виртуальной машине доступ к памяти. Система подтверждает, что доступ прекращён, — но гостевая ВМ всё равно продолжает туда писать.
Проблема проявляется только на многоядерных процессорах Arm: C1-Ultra, C1-Premium, Neoverse V3 и V3AE, Neoverse V2, Neoverse V1, Neoverse N2, Neoverse N1, Cortex-X925, Cortex-X4, Cortex-X3, Cortex-X2, Cortex-X1 и X1C, Cortex-A710, Cortex-A78, A78AE и A78C, Cortex-A77, Cortex-A76 и A76AE, а также NVIDIA Olympus.
Что делать:
  • Для гипервизора Xen исправление уже выпущено — установите его.
  • Для ядра Linux патч предложен, но в штатные обновления пока не вошёл — следите за апдейтами своего дистрибутива.
www.opennet.ru/opennews/art.shtml?num=65660

Червь mini-shai-hulud в 32 NPM-пакетах Red Hat
Злоумышленники скомпрометировали сборку релизов на GitHub Actions в репозиториях Red Hat (аккаунт RedHatInsights на GitHub). В результате в каталог NPM попали 64 вредоносные версии 32 пакетов для платформы Red Hat Cloud Services.
В код встроили новый вариант червя mini-shai-hulud. Об аналогичной атаке мы уже писали: тогда червь прошёл через пакеты TanStack и зацепил GitHub и OpenAI.
Новый вредонос ищет токены и учётные данные в окружении. Червь размещается в файле index.js и активируется через preinstall-обработчик при установке поражённого пакета. После запуска он ищет в системе токены к NPM (~/.npmrc), PyPI, CircleCI, AWS, GCP, Docker, Azure, HashiCorp и Kubernetes, а также закрытые ключи SSH, и отправляет найденное злоумышленникам. Если червь находит токен к NPM, он сам публикует новые вредоносные релизы для пакетов из текущего окружения — и так заражает дерево зависимостей.
Доступ к GitHub Actions злоумышленники получили через скомпрометированную учётную запись сотрудника Red Hat. Это позволило отправлять коммиты в репозитории javascript-clients, frontend-components и platform-frontend-ai-toolkit напрямую, в обход рецензирования. Через коммиты подставлялся файл ci.yaml, который при сборке запускал с помощью bun скрипт _index.js. Скрипт использовал полномочие id-token: write, чтобы запросить у GitHub токен OIDC (OpenID Connect), а затем применял его для аутентификации в NPM по механизму trusted publishing.
Кого затронуло: всех, кто устанавливал поражённые версии пакетов @redhat-cloud-services/*. Полный список из 32 пакетов с заражёнными версиями — тут.
Как защититься:
  • Проверить, не установлены ли перечисленные версии. Если установлены — считать все токены и учётные данные на этой машине скомпрометированными и сразу их перевыпустить.
  • Закрепить конкретные версии зависимостей и переходить на чистую установку из локфайла (npm ci).
  • По возможности отключить выполнение установочных скриптов сторонних пакетов (npm install --ignore-scripts).
www.opennet.ru/opennews/art.shtml?num=65599

Захват WordPress-сайтов через плагин WP Maps Pro
В популярном плагине WP Maps Pro для WordPress нашли критическую уязвимость, которую злоумышленники уже эксплуатируют в реальных атаках. Баг позволяет без аутентификации создать на сайте учётную запись администратора и получить полный контроль над ресурсом.
Уязвимость получила идентификатор CVE-2026-8732 и оценку 9,8 балла по шкале CVSS. Под ударом — все версии WP Maps Pro до 6.1.0 включительно. Сам плагин коммерческий, его используют, чтобы встраивать на сайты карты Google Maps и OpenStreetMap, а также создавать локаторы магазинов и каталоги точек продаж.
Проблему обнаружил ИБ-исследователь Дэвид Браун (David Brown). По его словам, корень бага — в функции временного доступа для техподдержки, через которую специалисты разработчика подключаются к сайту клиента для диагностики. Реализация оказалась небезопасной: AJAX-эндпоинт был доступен неавторизованным пользователям и защищался только nonce-токеном, который через JavaScript публиковался на всех страницах сайта. В итоге проверка не давала реального контроля доступа.
Для эксплуатации хватало одного запроса с параметром check_temp=false. После этого плагин создавал нового пользователя с жёстко заданной ролью администратора, генерировал для него magic-ссылку и возвращал её в ответе. При переходе по ссылке WordPress авторизовал пользователя автоматически — ни пароль, ни дополнительные проверки не требовались. Получив права администратора, атакующий мог ставить вредоносные плагины, размещать веб-шеллы, внедрять бэкдоры, красть данные пользователей или полностью перехватить управление сайтом.
Кого затронуло: сайты на WordPress с установленным WP Maps Pro версии 6.1.0 и ниже. Атаки уже идут: в Wordfence сообщили, что за сутки заблокировали около 2858 попыток эксплуатации, а специалисты Defiant за тот же период зафиксировали более 3600 атак.
Как защититься: обновить WP Maps Pro до версии 6.1.1 или новее — патч вышел 20 мая 2026 года и ограничил доступ к проблемному эндпоинту только авторизованными администраторами. Учитывая, что эксплуатация уязвимости уже началась, откладывать обновление не стоит.
xakep.ru/2026/06/04/wp-maps-pro/

HTTP/2 Bomb: атака, которая исчерпывает память сервера
Раскрыта информация об уязвимости HTTP/2 Bomb, которая затрагивает разные реализации протокола HTTP/2 и позволяет добиться отказа в обслуживании, исчерпав всю доступную процессу память. Проблему подтвердили в конфигурации по умолчанию у nginx, Apache httpd (CVE-2026-49975), Microsoft IIS, Envoy (CVE-2026-47774) и Cloudflare Pingora.
Метод напоминает zip-бомбу, только применённую к сжатию заголовков в HTTP/2. Запрос может содержать тысячи сжатых заголовков (например, Cookie) без полезных данных. Каждый такой заголовок в запросе — это однобайтовая ссылка в индексе HPACK, но на сервере под него выделяется память под весь заголовок целиком. Отсюда и многократное усиление: на каждый байт в индексе сервер тратит куда больше.
Кого затронуло: перечисленные HTTP-серверы в конфигурации по умолчанию. Сервер Angie уязвимости не подвержен — защиту от этой атаки в него перенесли из freenginx ещё в версии 1.8.0 в 2024 году. Позднее наличие проблемы подтвердили и в HTTP-сервере h2o.
Как защититься:
  • nginx — обновиться до 1.29.8: туда из freenginx перенесли директиву max_headers, которая по умолчанию допускает не более 1000 заголовков.
  • Envoy — обновиться до 1.35.11 или 1.36.7 с лимитами mutable_max_request_headers_kb и max_headers_count.
  • Cloudflare Pingora — обновиться до 0.8.1, куда добавили ограничения, блокирующие атаку.
  • Apache httpd — исправление готово в модуле mod_http2 2.0.41, но в релизы Apache httpd оно ещё не вошло. До выхода релиза обновление сервера дыру не закроет — остаётся обновить mod_http2 вручную или использовать обходной путь (ниже).
  • Microsoft IIS — исправления пока нет.
  • h2o — исправление доступно в виде патча.
  • В качестве обходного пути можно отключить HTTP/2 и выставить ограничение на объём памяти для рабочих процессов.