Месяц подходит к концу, а значит, пришло время очередного дайджеста. Март был слегка непредсказуемым — и по погоде, и по апдейтам, но вполне интересным для прохождения. И пусть порой хотелось «сохраниться» и начать всё сначала, считаем, что это было не зря. Мы набрались нового опыта и теперь готовы почти что ко всему. По крайней мере, к апрельским сюрпризам точно.
Спойлер, они на подходе.
А пока вы строите прогнозы, что ждёт в недалёком будущем, поделимся с вами свежими статьями и инструкциями, новостями компании и полезными лайфхаками — кто знает, может, они станут вашими чит-кодами на пути к следующему уровню, то есть месяцу.
Статьи и инструкции
Как установить Docker на Ubuntu
Кратко напомним, GitLab — веб-платформа управления репозиториями Git с широким набором инструментов. В ней есть встроенные возможности для непрерывной интеграции и развертывания кода (CI/CD), а также мониторинга и организации DevOps-процессов. Чтобы полностью контролировать ситуацию и настроить работу с репозиториями под себя, можно установить GitLab на сервер. В статье расскажем, как это сделать на примере с ОС Linux Ubuntu.
firstvds.ru/technology/ustanovka-gitlab-na-ubuntu
Примеры использования tcpdump в Linux
Утилита tcpdump — один из популярных инструментов командной строки для мониторинга сети в Linux. Помогает отладить сетевой трафик и провести его аудит, что может быть весьма полезным для устранения и профилактики потенциальных угроз безопасности. Подробнее о том, что умеет утилита и чем она может быть вам помочь, рассказали в статье.
firstvds.ru/technology/primery-ispolzovaniya-tcpdump-v-linux
Habr: самое интересное за февраль
Если вам нравятся неоднозначные материалы, обзоры «железа» или циклы статей на разные темы, то эта подборка точно для вас. Собрали всё самое любопытное — от фундаментальных открытий в информатике до практических гайдов по 3D и базовым концепциям реактивности.
- Студент опроверг 40-летнюю гипотезу в информатике
- 3D для каждого: Оптимизация модели. Часть 1, объяснительная
- Понимая реактивные системы: Производные, эффекты и оптимизация
- Подборка видеокарт для работы с несколькими мониторами: от бюджетных моделей до профессиональных устройств
Ищем авторов для блога на Хабр
Подготовьте статью на одну из специальных тем или отправьте материал на тему месяца. И если ваша статья подойдёт для блога, получите повышенный гонорар.
Тема апреля: лайфхаки для гиков.
firstvds.ru/blog/vremya-pisat-stati-ischem-avtorov-dlya-blogov-i-bz
Новости марта
Запустили услугу «Объектное хранилище S3»
Буквально на днях у нас появилась новая услуга «Объектное хранилище S3». Теперь можно надёжно хранить десятки гигабайтов данных и при этом иметь к ним быстрый доступ. Места хватит и для медиафайлов с простыми веб-сайтами, и для критически важных резервных копий.
Масштабирование происходит без перерывов в работе хранилища. А сама услуга удобна тем, что позволяет легко интегрировать хранилище в существующие инфраструктуру по API.
firstvds.ru/services/s3
Национальная премия «ЦОДы.РФ 2024/2025»: стартовал второй этап голосования
Если вы следите за нашими новостями, то уже знаете, что в этом году мы участвуем в Национальной премии «ЦОДы.РФ», которая ежегодно собирает профи, работающих в российской отрасли ЦОД. Два наших номинанта успешно прошли первый этап голосования и перешли во второй, который продлится до 7 апреля.
Хотим сказать огромное спасибо всем, кто уже проголосовал за нас. И просим проверить, учтён ли ваш голос за наших номинантов. А если не голосовали, но хотели бы поддержать нас, ещё не поздно принять участие. Чтобы облегчить процесс, мы подготовили подробную инструкцию, как это сделать.
Напоминаем, что проголосовать можно сразу за двух кандидатов:
Будем рады вашей поддержке!
firstvds.ru/rdca24-25
Топ новостей из мира безопасности
В марте было много всего интересного — начиная с прорыва Amazon в квантовых вычислениях с процессором Ocelot и релиза FreeBSD 13.5, видимо, последнего в этой ветке, и заканчивая повышенной активностью ИИ-ботов, которые вызвали сбои в работе популярных опенсорсных проектов KDE, GNOME, Fedora. Всё это не считая уязвимостей в трёх известных библиотеках или таких системах, как Pagure и OBS. Об этом и не только рассказали в новостях:
Amazon представила квантовый процессор Ocelot
Ocelot решает одну из ключевых проблем квантовых вычислений — снижение аппаратных затрат. Процессор использует гибридную архитектуру, объединяющую два типа кубитов: кошачьи кубиты и трансмоны. Кошачьи кубиты устойчивы к ошибкам переворота бита, а трансмоны корректируют ошибки, связанные с фазовым сдвигом. Такая комбинация обеспечивает стабильность вычислений и снижает количество ошибок.
Процессор Ocelot состоит из двух кристаллов площадью 1 см2 каждый, на которых размещены сверхпроводящие материалы, формирующие квантовые схемы. Чип включает 14 компонентов: пять кошачьих кубитов, пять буферных схем и четыре трансмона для обнаружения ошибок. Осцилляторы, используемые для хранения квантовых состояний, изготовлены из сверхпроводящего тантала, что повышает их производительность.
Компания уверена, что Ocelot ускорит создание практичного квантового компьютера, устойчивого к ошибкам, на пять лет.
3dnews.ru/1119000/amazon-predstavila-kvantoviy-protsessor-ocelot-v-kotorom-reshila-odnu-iz-glavnih-problem-kvantovih-vichisleniy/#67c15acb742eece25e8b456f
Уязвимость в Python-библиотеке, насчитывающей 40 млн загрузок в месяц
В популярной Python-библиотеке JSON Logger, ежемесячно загружаемой более 40 млн раз, обнаружена уязвимость CVE-2025-27607. Она позволяла злоумышленникам подменять зависимость при установке через PyPI, что могло привести к выполнению произвольного кода на системах, использующих этот пакет. Проблема устранена в версии 3.3.0, выпущенной 7 марта 2025 года.
Уязвимость возникла из-за наличия в списке необязательных зависимостей библиотеки msgspec-python313-pre, которая была удалена её авторами из PyPI в декабре 2024 года без предупреждения. Это позволило злоумышленникам загрузить в каталог PyPI пакет с тем же именем, который автоматически подключался при установке JSON Logger с опцией разработки (pip install python-json-logger[dev]). Исследователь, обнаруживший проблему, подтвердил возможность выполнения стороннего кода, зарегистрировав поддельный пакет.
Ранее администраторов PyPI неоднократно предупреждали о рисках, связанных с удалением проектов, чтобы избежать инцидентов, подобных left-pad, и предотвратить атаки через цепочку поставок (supply chain). Однако предложения о запрете удаления пакетов не были реализованы, что оставило возможность для повторной регистрации и эксплуатации уязвимостей.
www.opennet.ru/opennews/art.shtml?num=62856
Релиз FreeBSD 13.5
После шести месяцев разработки выпущен финальный релиз FreeBSD 13.5, завершающий ветку 13.x. Поддержка этой версии продлится до 30 апреля 2026 года. Параллельно развиваются ветки FreeBSD 14 (следующий релиз 14.3 запланирован на 3 июня 2025 года) и FreeBSD 15, первый выпуск которой ожидается в декабре 2025 года.
Основные изменения:
- Jail-окружения: Добавлена возможность запуска утилит sysctl и ip6addrctl в контексте изолированных Jail, что упрощает управление параметрами ядра и сетевых настроек для контейнеров.
- ZFS: В инсталляторе bsdinstall появилась возможность редактирования параметров создания ZFS-пулов, включая выбор алгоритма сжатия.
- LLVM: Компиляторы и инструменты LLVM обновлены до версии 19.1.7.
- UFS1: Решена проблема 2038 года, теперь файловая система поддерживает даты до 2106 года.
- Сетевые драйверы: Добавлена поддержка алгоритма AIM (Adaptive Interrupt Moderation) для драйверов igc и e1000, что улучшает производительность UDP и снижает нагрузку на CPU.
- Облачные платформы: Улучшена поддержка Oracle Cloud Infrastructure (OCI), Amazon EC2 и Vagrant, включая увеличение размера виртуальной памяти до 8 ГБ.
- Обновления ПО: Версии OpenSSH, Unbound, SQLite, libarchive и других компонентов обновлены до последних стабильных выпусков.
Устаревшие функции:
- В FreeBSD 15 прекратится поддержка 32-разрядных платформ (кроме armv7), драйвера AGP и инструментария gvinum.
- Утилита shar для создания самораспаковывающихся архивов признана устаревшей из-за потенциальных рисков безопасности.
- Среда рабочего стола KDE удалена из установочных образов из-за проблем совместимости с OpenSSL 1.1.1.
- Архитектуры и образы
FreeBSD 13.5 поддерживает архитектуры amd64, i386, armv6, armv7, aarch64, riscv64 и другие. Также доступны образы для виртуализации (QCOW2, VHD, VMDK) и облачных платформ.
Этот релиз завершает эпоху FreeBSD 13.x, открывая путь к новым возможностям в ветках 14 и 15.
www.opennet.ru/opennews/art.shtml?num=62857
В библиотеке FreeType обнаружена критическая уязвимость
Специалисты Facebook сообщили о 0-day уязвимости (CVE-2025-27363) в библиотеке FreeType, используемой для рендеринга шрифтов (применяется в Linux, Android, игровых движках, GUI-фреймворках и онлайн-платформах). Проблема, оцененная в 8,1 балла по шкале CVSS, позволяет злоумышленникам выполнять произвольный код удаленно. Уязвимость затрагивает все версии FreeType до 2.13.0.
Ошибка связана с некорректной обработкой подглифовых структур в шрифтах TrueType GX и переменных файлах. Это приводит к переполнению буфера и возможности записи данных за его пределами, что может быть использовано для выполнения произвольного кода.
Проблема была устранена в версии FreeType 2.13.0, выпущенной в феврале 2023 года. Однако исследователи предупреждают, что уязвимость уже эксплуатировалась в атаках. Рекомендуется обновить библиотеку до актуальной версии 2.13.3.
xakep.ru/2025/03/14/freetype-0day/
GitLab устранил опасные уязвимости в библиотеке ruby-saml
Команда GitLab выпустила обновления для своих версий Community Edition (CE) и Enterprise Edition (EE), чтобы устранить критические уязвимости в библиотеке ruby-saml. Проблемы (CVE-2025-25291 и CVE-2025-25292) могли позволить злоумышленникам обходить механизмы аутентификации, использующие SAML Single Sign-On (SSO).
Причиной уязвимостей стали различия в обработке XML-документов парсерами REXML и Nokogiri. Это создавало условия для атаки типа XML Signature Wrapping (XSW), при которой злоумышленник мог подделать SAML-ответ и выдать себя за другого пользователя. Для успешной эксплуатации уязвимости атакующему требовался доступ к одной из действующих учетных записей, что могло привести к компрометации данных или несанкционированному повышению привилегий.
Исправления включены в версии ruby-saml 1.12.4 и 1.18.0, а также в GitLab CE/EE 17.7.7, 17.8.5 и 17.9.2. Пользователям, которые управляют своими инсталляциями (self-managed), рекомендуется не откладывать установку обновлений вручную. Для клиентов GitLab.com и GitLab Dedicated обновления применены автоматически.
GitHub, обнаруживший уязвимости, подчеркнул, что его платформа не пострадала, так как библиотека ruby-saml не используется с 2014 года. Тем не менее проблема актуальна для других проектов, где применяется эта библиотека. Помимо этого, GitLab устранил еще одну серьезную уязвимость (CVE-2025-27407), связанную с возможностью удаленного выполнения кода через функцию Direct Transfer, которая по умолчанию отключена.
xakep.ru/2025/03/14/ruby-saml-bugs/
Перегрузка инфраструктуры открытых проектов из-за ИИ-скраперов
Крупные open-source проекты, включая KDE, GNOME, Fedora, Codeberg и SourceHut, столкнулись с перебоями в работе из-за агрессивного сканирования ИИ-индексаторами (скраперов). Эти боты собирают данные для обучения нейросетей (например, Claude 3.7 от Anthropic с веб-поиском), игнорируя правила robots.txt и создавая чрезмерную нагрузку.
Среди основных проблем выделяют:
- Массовые запросы: ИИ-скраперы работают в многопоточном режиме, не соблюдая ограничения.
- Обход блокировок: боты маскируются под обычные браузеры (подменяя User-Agent) и используют распределённые сети IP-адресов.
- Угроза безопасности инфраструктуры: особенно страдают Git-хостинги, форумы и Wiki, не рассчитанные на высокую нагрузку.
Ситуация усугубляется тем, что каждая компания использует свой скрапер, что приводит к созданию общей нагрузки на элементы инфраструктуры и разнообразным последствиям для открытых проектов. Например, у GNOME только 3% запросов прошли проверку, остальные — боты, у Fedora наблюдаются сбои в Pagure из-за атак, а также заблокированы целые подсети, включая IP Бразилии, у KDE перегружен GitLab из-за ботов Alibaba, маскирующихся под MS Edge. И это только часть подобных последствий. Проблемы возникли и у платформы совместной разработки SourceHut, развиваемой Дрю ДеВолтом (Drew DeVault), автором пользовательского окружения Sway. Вместо того, чтобы развивать свои проекты, специалистам приходится тратить время на поиск решений для возникших проблем. Так можно отметить «AI Labyrinth» — ловушку для ботов от Cloudflare", выдающую фейковый контент ботам и запускающую повторную обработку данных.
www.opennet.ru/opennews/art.shtml?num=62925
Уязвимости в Pagure и OBS угрожают безопасности Fedora и openSUSE
Исследователи из Fenrisk обнаружили критические уязвимости в системах Pagure (используется Fedora) и Open Build Service (OBS, применяется в openSUSE), которые позволяли злоумышленникам модифицировать пакеты в официальных репозиториях.
Выявлено 4 уязвимости в Fedora, все они требуют наличия учётной записи в Pagure, которую довольно легко получить. Три проблемы позволяют прочитать файлы в системе, а одна — выполнить свой код на сервере:
- CVE-2024-4981, CVE-2024-47515 – чтение произвольных файлов через символьные ссылки (например, конфигурации администратора).
- CVE-2024-4982 – обход ограничений каталога (/../../) для доступа к системным файлам (например, /etc/passwd).
- CVE-2024-47516 – выполнение произвольного кода через инъекцию в параметры Git.
- Злоумышленник мог перезаписать .bashrc пользователя git, выполнив код с его правами, что давало контроль над репозиториями пакетов Fedora. Уязвимости были оперативно устранены (в течение 3 часов после уведомления).
Что касается уязвимости в OBS (openSUSE), то она (CVE-2024-22033) предполагает CVE-2024-22033 инъекцию команд в сервис obs-service-download_url через параметры wget. Через подмену URL в конфигурации пакета злоумышленник мог читать/записывать файлы (--output-document, --post-file) и запускать произвольный код, используя .wgetrc и prove. Это позволяло получить доступ к ключам подписи пакетов.
Команда безопасности openSUSE считает угрозу преувеличенной, так как сборка происходит в изолированных контейнерах. Уязвимость актуальна только для локальных установок OBS.
Обе уязвимости устранены, но инцидент подчеркивает риски, связанные с инфраструктурой сборки дистрибутивов.
www.opennet.ru/opennews/art.shtml?num=62928
Опасная уязвимость в Apache Tomcat активно эксплуатируется злоумышленниками
На прошлой неделе в Apache Tomcat обнаружили опасную уязвимость (CVE-2025-24813). Она позволяет выполнять произвольный код на сервере (RCE) через простой PUT-запрос. Уже через 30 часов после публикации информации в сети появились первые эксплойты, и начались активные атаки. Проблема затрагивает версии 11.0.0-M1 – 11.0.2, 10.1.0-M1 – 10.1.34 и 9.0.0.M1 – 9.0.98. Она стала причиной масштабных кибератак по всему миру. Эксперты предупреждают о необходимости срочного обновления систем.
Как это работает. Злоумышленники используют простую, но эффективную схему. Отправляют на сервер специально сформированный PUT-запрос с вредоносным Java-кодом (в base64). Код сохраняется в файловом хранилище сессий Tomcat под видом легитимных данных. Последующий GET-запрос с поддельным JSESSIONID приводит к выполнению кода.
Разработчики Apache выпустили обновлённые версии, устраняющие проблему: 11.0.3 и выше, 10.1.35 и выше, 9.0.99 и выше. Администраторам также рекомендуется:
- как можно скорее установить обновления,
- отключить поддержку partial PUT,
- проверить настройки безопасности.
Специалисты считают, что это только первая волна атак. По их мнению, возможно появление новых вариантов атак, включая установку скрытых бэкдоров.
xakep.ru/2025/03/18/apache-tomcat-rce-attacks/
В 2024 году в экосистеме WordPress выявлено около 8000 уязвимостей
Согласно отчету компании Patchstack, специализирующейся на безопасности WordPress, в 2024 году исследователи обнаружили 7966 уязвимостей в экосистеме этой популярной CMS. Подавляющее большинство проблем (96%) касались плагинов, тогда как на темы приходилось лишь 4% от общего числа.
Краткая статистика:
Ядро WordPress: затронуто всего 7 уязвимостей
Популярные плагины:
- 1018 уязвимостей в плагинах с более 100 000 установок
- 115 проблем в плагинах, установленных более 1 млн раз
- 7 критических уязвимостей в плагинах с 10 млн+ установок
Уровень опасности:
- 69,6% уязвимостей – низкий риск эксплуатации
- 18,8% – могли использоваться в целевых атаках
- 11,6% – активно эксплуатировались или представляли высокую угрозу
- Только треть проблем получила высокие или критические оценки по шкале CVSS.
Типы уязвимостей:
- XSS (межсайтовый скриптинг): 47,7% случаев
- Нарушения контроля доступа: 14,19%
- CSRF (межсайтовая подделка запроса): 11,35%
Требования для эксплуатации:
- 43% уязвимостей – не требовали аутентификации,
- 43% – нужны были низкие привилегии (например, роль подписчика),
- 12% – требовали прав администратора или редактора.
Проблемы с исправлениями:
33% обнаруженных уязвимостей оставались неисправленными даже после публичного раскрытия информации. Аналитики Patchstack призвали разработчиков плагинов оперативнее выпускать обновления для защиты пользователей.
Несмотря на большое количество уязвимостей, большинство из них не представляли серьезной угрозы. Однако риск атак остается высоким из-за медленного внедрения исправлений в популярных плагинах.
xakep.ru/2025/03/19/wordpress-bugs-2024/
