Сентябрь — 256 день года, битва за котиков и новые статьи на Хабре
«У вас есть Сплюш? Меняю на Драматяша!» — примерно вот так прошли все 12 дней празднования Дня программиста в нашем телеграме.
Кошачье безумие било все рекорды по общению в тг-чате: за первый день мы получили больше 9000 сообщений, и 90% из них были о котиках и мемах с ними!
Но сейчас уже все вернулось на круги своя — котики продолжают радовать всех вокруг, Хакермен практически признал, что был неправ, а в чате снова стало спокойно.
Статьи и инструкции
А вы точно программист? Статья без котиков, но с ответами
В этом году мы решили отпраздновать День программистов масштабно: запустили акцию с растущей скидкой, добавили рецепт GitLab и, конечно, подготовили увлекательную игру.
По сюжету Хакермен решил спасти человечество от прокрастинации, удалив из интернета все-все мемы с котиками. Наши пользователи могли их спасти, меняясь карточками и решая непростые загадки.
Если вы всё пропустили или, наоборот, участвовали и до сих пор не понимаете, как надо было правильно расположить перфокарту — заходите в нашу статью. В ней можно погрузиться в игровую атмосферу и посмотреть все загадки с решениями. firstvds.ru/blog/vy-tochno-programmist-statya-bez-kotikov-no-s-otvetami
День программиста: вспоминаем историю праздника и интересные факты о профессии
И опять про День программиста :) К концу 2024 года в мире ожидается 28,7 млн программистов — это чуть больше, чем население Австралии. Лидером по количеству этих специалистов является Китай: там их почти в два раза больше, чем в США, и в восемь раз больше, чем в России.
Ко Дню программиста мы решили написать статью с интересными фактами о данной профессии. Когда отмечают День программиста, какая история у праздника, как сейчас обстоят дела с этой профессией в России — все это в нашей статье. firstvds.ru/blog/den-programmista
Начало работы с GitLab после автоматической установки из рецепта
Одним из подарков ко Дню программиста было добавление рецепта GitLab. Хоть акция и закончилась, рецепт доступен для установки.
GitLab — это веб-платформа для управления проектами и репозиториями программного кода, работа которой основана на популярной системе контроля версий Git. Подробнее про установку рецепта рассказываем в инструкции. firstvds.ru/technology/gitlab_ce
Habr: самое интересное за сентябрь
Стань автором FirstVDS
Ищем технических писателей для блога на Хабре
firstvds.ru/blog/ischem-avtorov-dlya-bloga-firstvds-na-habr-i-vc
Новости, точнее новость сентября
Проблемы с доступностью сервисов со стороны Ростелекома
9 сентября от наших пользователей стали поступать жалобы на недоступность некоторых сервисов со стороны провайдера Ростелеком. Блокировка Ростелеком затронула различные протоколы VPN и другие сервисы, которые используют протокол UDP. Также поступали жалобы на недоступность DNS-серверов.
На наше обращение в ЦМУ ССОП (подразделение РКН, отвечающее за мониторинг и управление российским сегментом сети «Интернет») был получен ответ, что блокировок наших сервисов с их стороны нет, а также рекомендации обратиться к интернет-провайдеру.
Топ-4 новостей сентября из мира безопасности
Уязвимости месяца
Начало сентября выдалось относительно спокойным, и мы даже успели расслабиться. Но не тут-то было. Изменилось всё после новости про проблемы с регистрацией в Google, которая то ли есть, то ли нет. Следом пошли уязвимости. И пусть достойных внимания в этот раз было не так много, но почти все с высоким уровнем угрозы. В общем, больше томить ожиданием не будем, рассказываем.
Google больше не регистрирует аккаунты российских пользователей, но это не точно
У пользователей наблюдаются проблемы с регистрацией аккаунтов Google с использованием номеров телефонов из России. При попытке зарегистрироваться пользователи получают сообщение: «Этот номер нельзя использовать для подтверждения».
Как сообщается, проблема возникает не всегда, и некоторым все-таки удается пройти регистрацию, поэтому причины пока остаются неясными. Возможно, это связано с техническим сбоем на серверах компании или завершением контракта с сервисом, отвечающим за отправку SMS. Некоторые эксперты предпринимают попытки связать данную ситуацию с новыми санкциями США, которые вступили в силу 12 сентября, однако явной связи между этими событиями не наблюдается.
UPD: 26 сентября Минцифры подтвердили, что Google ограничил создание новых аккаунтов для россиян.
3dnews.ru/1110681/rossiyanam-stali-otkazivat-v-registratsii-googleakkaunta
Уязвимость в Ruby-SAML позволяет обходить аутентификацию в GitLab
Критическая уязвимость(CVE-2024-45409) присутствует в механизме SAML-аутентификации. Она затрагивает библиотеки ruby-saml и omniauth-saml и отмечена самым высоким уровнем угрозы — 10 из 10.
Ключевая проблема заключается в некорректной обработке селекторов XPath, что вызывает ошибочную проверку подписей в XML-ответах от SAML-сервера. Атакующий, не имея аутентификации, может создать фальшивый SAML-ответ с использованием атаки XSW (XML Signature Wrapping). Суть этой атаки состоит в том, что, обладая корректно подписанным сообщением, злоумышленник может вставить ложное сообщение в связанный XML-документ с тем же идентификатором. При этом идентификатор будет считаться действительным, что даст возможность злоумышленнику получить доступ к системе от имени любого пользователя.
В сентябре для трех версий GitLab (17.3.3, 17.2.6 и 17.1.8) выпущены обновления, устраняющие эту уязвимость.
www.opennet.ru/opennews/art.shtml?num=61893
В Acronis Backup нашли серьезную уязвимость
В сентябре 2024 года была обнаружена серьёзная уязвимость CVE-2024-8767 с уровнем угрозы оценкой 9.9 по CVSS. Уязвимость найдена в плагинах Acronis Backup, работающих на Linux-серверах с cPanel, WHM, Plesk и DirectAdmin. С ее помощью злоумышленники получают избыточные права и, как следствие, — возможность удаленного доступа к конфиденциальной информации, изменению данных и выполнению несанкционированных действий. Уязвимость затрагивает следующие версии плагинов: до 619 (cPanel), 555 (Plesk) и 147 (DirectAdmin).
Рекомендация тут одна: как можно быстрее обновить свои системы.
www.linux.org.ru/news/security/17736711
Уязвимости в PCP и Nix создают риск повышения привилегий в системе
В системе PCP (Performance Co-Pilot) выявлено две уязвимости. Первая (CVE-2024-45770) затрагивает утилиту pmpost, которая может запускаться с повышенными привилегиями, что дает возможность выполнять код с правами root при наличии доступа к учётной записи PCP и изменении символической ссылки на файл "/var/log/pcp/NOTICES". Вторая уязвимость (CVE-2024-45769) относится к фоновому процессу pcmd и вызывает обращения к памяти за пределами буфера. Однако опасность её снижена, так как приём сетевых запросов в pcmd по умолчанию отключен. Обе проблемы были исправлены в версии PCP 6.3.1.
Дополнительно, в пакетном менеджере Nix (CVE-2024-45593) обнаружена уязвимость, позволяющая записывать данные в несанкционированные области файловой системы при распаковке файлов NAR. Данная проблема была устранена в версии 2.24.6.
К тому же, была выявлена критическая уязвимость в дистрибутивах GNU/Linux, позволяющая осуществлять удалённое выполнение кода без предварительной аутентификации. Уведомления для разработчиков запланированы на 30 сентября, а публикация информации — на 6 октября. Canonical и Red Hat оценили уязвимости как критические (9.9 из 10).
www.opennet.ru/opennews/art.shtml?num=61919
Кошачье безумие било все рекорды по общению в тг-чате: за первый день мы получили больше 9000 сообщений, и 90% из них были о котиках и мемах с ними!
Но сейчас уже все вернулось на круги своя — котики продолжают радовать всех вокруг, Хакермен практически признал, что был неправ, а в чате снова стало спокойно.
Статьи и инструкции
А вы точно программист? Статья без котиков, но с ответами
В этом году мы решили отпраздновать День программистов масштабно: запустили акцию с растущей скидкой, добавили рецепт GitLab и, конечно, подготовили увлекательную игру.
По сюжету Хакермен решил спасти человечество от прокрастинации, удалив из интернета все-все мемы с котиками. Наши пользователи могли их спасти, меняясь карточками и решая непростые загадки.
Если вы всё пропустили или, наоборот, участвовали и до сих пор не понимаете, как надо было правильно расположить перфокарту — заходите в нашу статью. В ней можно погрузиться в игровую атмосферу и посмотреть все загадки с решениями. firstvds.ru/blog/vy-tochno-programmist-statya-bez-kotikov-no-s-otvetami
День программиста: вспоминаем историю праздника и интересные факты о профессии
И опять про День программиста :) К концу 2024 года в мире ожидается 28,7 млн программистов — это чуть больше, чем население Австралии. Лидером по количеству этих специалистов является Китай: там их почти в два раза больше, чем в США, и в восемь раз больше, чем в России.
Ко Дню программиста мы решили написать статью с интересными фактами о данной профессии. Когда отмечают День программиста, какая история у праздника, как сейчас обстоят дела с этой профессией в России — все это в нашей статье. firstvds.ru/blog/den-programmista
Начало работы с GitLab после автоматической установки из рецепта
Одним из подарков ко Дню программиста было добавление рецепта GitLab. Хоть акция и закончилась, рецепт доступен для установки.
GitLab — это веб-платформа для управления проектами и репозиториями программного кода, работа которой основана на популярной системе контроля версий Git. Подробнее про установку рецепта рассказываем в инструкции. firstvds.ru/technology/gitlab_ce
Habr: самое интересное за сентябрь
- Не дай мозгу себя обмануть: 5 когнитивных искажений, распространённых в IT
- DSS-43: единственная антенна, которая поддерживает связь с Вояджером-2
- Забытая история китайских клавиатур
- Ваш цифровой след: Погружение в форензику Windows
Стань автором FirstVDS
Ищем технических писателей для блога на Хабре
firstvds.ru/blog/ischem-avtorov-dlya-bloga-firstvds-na-habr-i-vc
Новости, точнее новость сентября
Проблемы с доступностью сервисов со стороны Ростелекома
9 сентября от наших пользователей стали поступать жалобы на недоступность некоторых сервисов со стороны провайдера Ростелеком. Блокировка Ростелеком затронула различные протоколы VPN и другие сервисы, которые используют протокол UDP. Также поступали жалобы на недоступность DNS-серверов.
На наше обращение в ЦМУ ССОП (подразделение РКН, отвечающее за мониторинг и управление российским сегментом сети «Интернет») был получен ответ, что блокировок наших сервисов с их стороны нет, а также рекомендации обратиться к интернет-провайдеру.
- Через день после выхода новости проблемы уже перестали фиксироваться.
Топ-4 новостей сентября из мира безопасности
Уязвимости месяца
Начало сентября выдалось относительно спокойным, и мы даже успели расслабиться. Но не тут-то было. Изменилось всё после новости про проблемы с регистрацией в Google, которая то ли есть, то ли нет. Следом пошли уязвимости. И пусть достойных внимания в этот раз было не так много, но почти все с высоким уровнем угрозы. В общем, больше томить ожиданием не будем, рассказываем.
Google больше не регистрирует аккаунты российских пользователей, но это не точно
У пользователей наблюдаются проблемы с регистрацией аккаунтов Google с использованием номеров телефонов из России. При попытке зарегистрироваться пользователи получают сообщение: «Этот номер нельзя использовать для подтверждения».
Как сообщается, проблема возникает не всегда, и некоторым все-таки удается пройти регистрацию, поэтому причины пока остаются неясными. Возможно, это связано с техническим сбоем на серверах компании или завершением контракта с сервисом, отвечающим за отправку SMS. Некоторые эксперты предпринимают попытки связать данную ситуацию с новыми санкциями США, которые вступили в силу 12 сентября, однако явной связи между этими событиями не наблюдается.
UPD: 26 сентября Минцифры подтвердили, что Google ограничил создание новых аккаунтов для россиян.
3dnews.ru/1110681/rossiyanam-stali-otkazivat-v-registratsii-googleakkaunta
Уязвимость в Ruby-SAML позволяет обходить аутентификацию в GitLab
Критическая уязвимость(CVE-2024-45409) присутствует в механизме SAML-аутентификации. Она затрагивает библиотеки ruby-saml и omniauth-saml и отмечена самым высоким уровнем угрозы — 10 из 10.
Ключевая проблема заключается в некорректной обработке селекторов XPath, что вызывает ошибочную проверку подписей в XML-ответах от SAML-сервера. Атакующий, не имея аутентификации, может создать фальшивый SAML-ответ с использованием атаки XSW (XML Signature Wrapping). Суть этой атаки состоит в том, что, обладая корректно подписанным сообщением, злоумышленник может вставить ложное сообщение в связанный XML-документ с тем же идентификатором. При этом идентификатор будет считаться действительным, что даст возможность злоумышленнику получить доступ к системе от имени любого пользователя.
В сентябре для трех версий GitLab (17.3.3, 17.2.6 и 17.1.8) выпущены обновления, устраняющие эту уязвимость.
www.opennet.ru/opennews/art.shtml?num=61893
В Acronis Backup нашли серьезную уязвимость
В сентябре 2024 года была обнаружена серьёзная уязвимость CVE-2024-8767 с уровнем угрозы оценкой 9.9 по CVSS. Уязвимость найдена в плагинах Acronis Backup, работающих на Linux-серверах с cPanel, WHM, Plesk и DirectAdmin. С ее помощью злоумышленники получают избыточные права и, как следствие, — возможность удаленного доступа к конфиденциальной информации, изменению данных и выполнению несанкционированных действий. Уязвимость затрагивает следующие версии плагинов: до 619 (cPanel), 555 (Plesk) и 147 (DirectAdmin).
Рекомендация тут одна: как можно быстрее обновить свои системы.
www.linux.org.ru/news/security/17736711
Уязвимости в PCP и Nix создают риск повышения привилегий в системе
В системе PCP (Performance Co-Pilot) выявлено две уязвимости. Первая (CVE-2024-45770) затрагивает утилиту pmpost, которая может запускаться с повышенными привилегиями, что дает возможность выполнять код с правами root при наличии доступа к учётной записи PCP и изменении символической ссылки на файл "/var/log/pcp/NOTICES". Вторая уязвимость (CVE-2024-45769) относится к фоновому процессу pcmd и вызывает обращения к памяти за пределами буфера. Однако опасность её снижена, так как приём сетевых запросов в pcmd по умолчанию отключен. Обе проблемы были исправлены в версии PCP 6.3.1.
Дополнительно, в пакетном менеджере Nix (CVE-2024-45593) обнаружена уязвимость, позволяющая записывать данные в несанкционированные области файловой системы при распаковке файлов NAR. Данная проблема была устранена в версии 2.24.6.
К тому же, была выявлена критическая уязвимость в дистрибутивах GNU/Linux, позволяющая осуществлять удалённое выполнение кода без предварительной аутентификации. Уведомления для разработчиков запланированы на 30 сентября, а публикация информации — на 6 октября. Canonical и Red Hat оценили уязвимости как критические (9.9 из 10).
www.opennet.ru/opennews/art.shtml?num=61919