Июнь — итоги тестирования S3 Manager, законопроект о хостерах и новые уязвимости в Linux
Лето в разгаре, и если вы уже сменили офисное кресло на шезлонг, а клавиатуру — на поднос с фруктами, то проектам и серверам приходится работать без выходных.
Чтобы вы могли спокойно отдыхать, мы следим за обновлениями, уязвимостями и новыми фишками: тестируем удобные инструменты, мониторим изменения в законах и разбираемся, как сделать вашу инфраструктуру надёжнее. А ещё — собираем для вас полезные статьи и новости, чтобы вы могли после отпуска легко вернуться в курс дела. Обо всём этом рассказали в июньском дайджесте.
Статьи и инструкции
Типы данных в MySQL
MySQL — одна из самых популярных систем управления реляционной базой данных с открытым исходным кодом. Она использует язык SQL и хранит записи в таблицах. При проектировании её архитектуры важно оптимально задать тип полей. В статье рассмотрели основные типы данных, доступные в MySQL.
firstvds.ru/technology/tipy-dannykh-v-mysql
8 лучших почтовых сервисов для работы и общения в 2025 году
Несмотря на популярность мессенджеров, email по-прежнему остается одним из универсальных инструментов для деловых переговоров, маркетинга и личного общения. Чтобы вам было легче выбрать подходящий, составили подборку из 8 лучших почтовых клиентов 2025 года.
firstvds.ru/blog/8-luchshikh-pochtovykh-servisov-dlya-raboty-i-obscheniya
Штрафы для хостеров и реселлеров в 2025 году: что изменится и как избежать миллионных санкций
В последнее время государство всё серьёзнее регулирует сферу хостинг-услуг. В статье рассказываем о недавнем законопроекте, который вводит новые штрафы для хостинг-провайдеров, а также разбираем вопрос, нужно ли реселлерам регистрироваться в госреестре, выполняя все требования для хостеров.
firstvds.ru/blog/shtrafy-dlya-khosterov-i-resellerov-v-2025
Habr: самое интересное за июнь
Этот месяц мы посвятили исследованию границ науки и технологии. Удивлялись тому, что мир теоретически может находится внутри чёрной дыры, и изучали новое доказательство для анализа математических поверхностей. Спойлер — там тоже про сингулярность. А ещё продолжили серию про DIY-роботов на FastAPI и вспомнили, почему даже гениальные идеи иногда терпят крах.
Новости июня
Объектное хранилище S3: завершили тестирование файлового менеджера
Немного предыстории. В конце марта мы запустили услугу «Объектное хранилище S3», а в мае к ней вышло дополнение — файловый менеджер, который примерно до середины июня находился в режиме тестирования. Мы приглашали всех желающих поискать баги в работе S3 Manager и дарили сертификаты на пополнение баланса за конструктивную обратную связь.
Теперь, когда тестирование завершено, мы хотим поблагодарить всех участников за помощь и сказать, что всё это было не напрасно — ваши замечания уже помогли нам исправить часть багов. А сам файловый менеджер стал работать быстрее за счёт оптимизации различных процессов.
И ещё одна приятная новость. Мы не закрываем группу тестировщиков в телеграме. Она становится сообществом с замечаниями и пожеланиями к хранилищу S3 и менеджеру — будем на связи.
https://firstvds.ru/services/s3
Отпуск без забот: чек-лист по проверке сервера.
На отдыхе совсем не хочется думать о работе и о том, что с ней связано. Поэтому перед уходом в отпуск рекомендуем провести небольшую подготовку — наш чек-лист поможет проверить, что вы ничего не забыли, а статья про телеграм-бота расскажет о том, как настроить быстрые уведомления и легко пополнять баланс, если вы из тех, кто любит держать под контролем ситуацию даже на пляже.
Топ новостей из мира технологий и безопасности
Июнь такой июнь. Принёс огромный букет… критических уязвимостей — от опасных дыр в популярных сервисах вроде Kea DHCP и cyrus-imapd, позволяющих нарушителям получать root-доступ, до масштабных угроз для WordPress и vBulletin, ставящих под удар сотни тысяч сайтов. Параллельно был разоблачен фейковый ИИ Natasha, а в Linux-экосистеме обнаружились критические баги в libblockdev, PAM и XML-обработчике.
На фоне этих событий становится ясно: лето — не время расслабляться, когда речь идет о кибербезопасности. Вот тут рассказали подробнее:
Уязвимости в libblockdev и PAM: получение прав root
Специалисты Qualys обнаружили две критические уязвимости:
Через systemctl, создав пользовательский сервис, который polkitd воспримет как локальный сеанс (требуется активный локальный пользователь).
Через уязвимость в PAM (актуально для openSUSE и SUSE), которую обнаружили в ходе анализа уязвимости в libblockdev. В этом случае локальный доступ имитирует подмена переменных XDG_SEAT и XDG_VTNR в ~/.pam_environment. То есть уязвимость позволяет любому пользователю, в том числе подключившемуся по SSH, выполнять операции в контексте «allow_active».
Создается loop-устройство с XFS-образом, содержащим SUID-файл. При изменении размера ФС libblockdev временно монтирует её без nosuid/nodev, позволяя выполнить вредоносный код. Обновления пока выпущены не для всех дистрибутивов — проверить статус можно на страницах Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo и Arch (1, 2).
Временное решение: изменить правило polkit, заменив allow_active=yes на auth_admin в файле /usr/share/polkit-1/actions/org.freedesktop.UDisks2.policy.
www.opennet.ru/opennews/art.shtml?num=63424
Критические уязвимости в libxml2: угроза выполнения произвольного кода
В популярной библиотеке libxml2, используемой для обработки XML-данных в проектах GNOME и сотнях Linux-пакетов (например, в 800+ компонентах Ubuntu), обнаружено пять уязвимостей, две из которых позволяют выполнить произвольный код.
Ключевые уязвимости:
CVE-2025-6170 — вызвана переполнением буфера в утилите xmllint, которое возникает за счет использования небезопасной функции strcpy() без проверки длины входных данных. Атакующий должен контролировать аргументы, передаваемые в xmllint. Патч пока не выпущен.
CVE-2025-6021 — вызывается целочисленным переполнением в функции xmlBuildQName(), записывая, как следствие, данные за пределами выделенного буфера. Исправления включены в выпуск libxml2 2.14.4.
К дополнительным уязвимостям относятся:
Кроме этого, в libxslt (не поддерживаемой библиотеке) обнаружены три неисправленные уязвимости, детали которых обещают раскрыть 9, 13 июля и 6 августа 2025 года. Рекомендуем, следить за обновлениями libxml2 в нужном дистрибутиве и ограничить использование xmllint для обработки ненадёжных данных.
www.opennet.ru/opennews/art.shtml?num=63431
Уязвимости в DHCP-сервере Kea и IMAP-сервере Cyrus
В DHCP-сервере Kea (разрабатываемом ISC) обнаружены критические уязвимости:
Дополнительно: В openSUSE обнаружена уязвимость (CVE-2025-23394) в IMAP-сервере Cyrus, позволяющая пользователю cyrus повысить привилегии до root через скрипт daily-backup.sh. Проблема устранена в версии cyrus-imapd 3.8.4-2.1.
Обновления уже выпущены для большинства дистрибутивов.
www.opennet.ru/opennews/art.shtml?num=63324
ИИ “Natasha” оказался обычными индийскими программистами, а его создатели — банкротами
В конце мая британская компания Builder.ai, имеющая крупные филиалы в пяти государствах, объявила об обращении в суд, чтобы защитить себя от банкротства.
Эта компания привлекла внимание общественности своим уникальным подходом к разработке программного обеспечения с помощью искусственного интеллекта Natasha AI, который был создан для написания кода по запросам клиентов, освобождая заказчиков от необходимости писать код самостоятельно. Однако позже стало известно, что код писали реальные программисты, а искусственный интеллект был лишь прикрытием сомнительного ведения бизнеса.
Несмотря на разоблачение The Wall Street Journal в 2019 году, инвесторы продолжали вкладывать в компанию миллионы. В 2023 году Microsoft даже рассматривала интеграцию стартапа Builder.ai в свои сервисы.
В феврале 2025 новое руководство заявило, что проблемы компании вызваны не ИИ, а плохим финансовым управлением. А в мае кредитор Viola Credit заморозил значительную часть средств на счетах Builder.ai. Это обрушило работу компании в пяти странах (Великобритания, США, ОАЭ, Сингапур, Индия), вынудив уволить большую часть сотрудников и подать на защиту от банкротства.
3dnews.ru/1123614/ii-natasha-na-dele-okazalsya-sotnyami-programmistovindusov-ego-razrabotchik-promotal-dengi-microsoft-i-obankrotilsya/#68380e7b742eec5f738b4572
Уязвимость в cURL/libcurl
Разработчики curl выпустили обновление для устранения уязвимости средней степени опасности CVE-2025-5025. Проблема возникает при использовании TLS-библиотеки wolfSSL в сочетании с протоколом HTTP/3 и включенной функцией certificate pinning. В этих условиях злоумышленник может провести MITM-атаку, подменив сертификат сервера.
Уязвимость затрагивает только специальные сборки curl с wolfSSL, что редко встречается в стандартных дистрибутивах Linux. Основные пакеты обычно используют OpenSSL или GnuTLS и не подвержены этой проблеме. Для защиты рекомендуется обновить curl до версии 8.14.0 или новее. Пользователи могут проверить используемую TLS-библиотеку командой curl -V.
Риск эксплуатации низкий, так как атака требует выполнения нескольких специфических условий: наличие wolfSSL, использование HTTP/3 и ручное включение certificate pinning. Кроме того, злоумышленнику необходимо перехватить трафик и получить действительный сертификат. Сейчас не зафиксировано случаев реального использования этой уязвимости, поэтому для большинства пользователей угроза минимальна, но обновиться всё же рекомендуется.
www.linux.org.ru/news/security/17983178
Угроза для 100 000 сайтов на WordPress
Исследователи Patchstack обнаружили критическую уязвимость (CVE-2025-47577, 10/10 по CVSS) в плагине TI WooCommerce Wishlist, который установлен более чем на 100 000 сайтов. Проблема позволяет загружать произвольные файлы без авторизации.
Функция tinvwl_upload_file_wc_fields_factory некорректно проверяет загружаемые файлы из-за отключенных параметров test_form и test_type. Это позволяет загружать файлы любого типа, включая вредоносные PHP-скрипты. Для этого должен быть активен плагин WC Fields Factory и включена интеграция с TI WooCommerce Wishlist.
Плагин предназначен для создания списков желаний и их публикации в соцсетях, что делает его популярным среди WooCommerce-сайтов.
Поскольку обновления пока нет, единственный способ защиты — полное отключение уязвимого плагина. Владельцам интернет-магазинов следует предпринять меры немедленно.
xakep.ru/2025/05/30/ti-woocommerce-wishlist/
Критические уязвимости в vBulletin
В популярном движке форумов vBulletin обнаружены две опасные уязвимости (CVE-2025-48827 и CVE-2025-48828, оценка 9/10). Одна из них уже активно используется злоумышленниками. Баги затрагивают версии 5.0.0-5.7.5 и 6.0.0-6.0.3 на PHP 8.1+.
Суть угрозы в том, что через API можно вызывать защищённые методы, а ошибки в обработке шаблонов позволяют выполнить произвольный код. Исследователь EgiX показал, как это работает: уязвимость в replaceAdTemplate обходит фильтры, давая хакерам шелл-доступ.
Фактически эти уязвимости были закрыты в прошлогодних обновлениях: PL1 для ветки 6.* и PL3 для версии 5.7.5. Однако из-за того, что многие владельцы сайтов не обновили свои системы, угроза остается актуальной.
xakep.ru/2025/06/02/vbulletin-flaws/
Чтобы вы могли спокойно отдыхать, мы следим за обновлениями, уязвимостями и новыми фишками: тестируем удобные инструменты, мониторим изменения в законах и разбираемся, как сделать вашу инфраструктуру надёжнее. А ещё — собираем для вас полезные статьи и новости, чтобы вы могли после отпуска легко вернуться в курс дела. Обо всём этом рассказали в июньском дайджесте.
Статьи и инструкции
Типы данных в MySQL
MySQL — одна из самых популярных систем управления реляционной базой данных с открытым исходным кодом. Она использует язык SQL и хранит записи в таблицах. При проектировании её архитектуры важно оптимально задать тип полей. В статье рассмотрели основные типы данных, доступные в MySQL.
firstvds.ru/technology/tipy-dannykh-v-mysql
8 лучших почтовых сервисов для работы и общения в 2025 году
Несмотря на популярность мессенджеров, email по-прежнему остается одним из универсальных инструментов для деловых переговоров, маркетинга и личного общения. Чтобы вам было легче выбрать подходящий, составили подборку из 8 лучших почтовых клиентов 2025 года.
firstvds.ru/blog/8-luchshikh-pochtovykh-servisov-dlya-raboty-i-obscheniya
Штрафы для хостеров и реселлеров в 2025 году: что изменится и как избежать миллионных санкций
В последнее время государство всё серьёзнее регулирует сферу хостинг-услуг. В статье рассказываем о недавнем законопроекте, который вводит новые штрафы для хостинг-провайдеров, а также разбираем вопрос, нужно ли реселлерам регистрироваться в госреестре, выполняя все требования для хостеров.
firstvds.ru/blog/shtrafy-dlya-khosterov-i-resellerov-v-2025
Habr: самое интересное за июнь
Этот месяц мы посвятили исследованию границ науки и технологии. Удивлялись тому, что мир теоретически может находится внутри чёрной дыры, и изучали новое доказательство для анализа математических поверхностей. Спойлер — там тоже про сингулярность. А ещё продолжили серию про DIY-роботов на FastAPI и вспомнили, почему даже гениальные идеи иногда терпят крах.
- Наша Вселенная находится внутри сверхмассивной черной дыры — исследование
- Новое доказательство позволило учёным без проблем анализировать эволюцию математических поверхностей
- Веб-камера — глаза робота: пишу веб-приложение на FastApi для управления DIY-проектом. Часть 2
- Карманный монстр Пола Аллена: как мини-компьютер за $2000 потерпел крах
Новости июня
Объектное хранилище S3: завершили тестирование файлового менеджера
Немного предыстории. В конце марта мы запустили услугу «Объектное хранилище S3», а в мае к ней вышло дополнение — файловый менеджер, который примерно до середины июня находился в режиме тестирования. Мы приглашали всех желающих поискать баги в работе S3 Manager и дарили сертификаты на пополнение баланса за конструктивную обратную связь.
Теперь, когда тестирование завершено, мы хотим поблагодарить всех участников за помощь и сказать, что всё это было не напрасно — ваши замечания уже помогли нам исправить часть багов. А сам файловый менеджер стал работать быстрее за счёт оптимизации различных процессов.
И ещё одна приятная новость. Мы не закрываем группу тестировщиков в телеграме. Она становится сообществом с замечаниями и пожеланиями к хранилищу S3 и менеджеру — будем на связи.
https://firstvds.ru/services/s3
Отпуск без забот: чек-лист по проверке сервера.
На отдыхе совсем не хочется думать о работе и о том, что с ней связано. Поэтому перед уходом в отпуск рекомендуем провести небольшую подготовку — наш чек-лист поможет проверить, что вы ничего не забыли, а статья про телеграм-бота расскажет о том, как настроить быстрые уведомления и легко пополнять баланс, если вы из тех, кто любит держать под контролем ситуацию даже на пляже.
Топ новостей из мира технологий и безопасности
Июнь такой июнь. Принёс огромный букет… критических уязвимостей — от опасных дыр в популярных сервисах вроде Kea DHCP и cyrus-imapd, позволяющих нарушителям получать root-доступ, до масштабных угроз для WordPress и vBulletin, ставящих под удар сотни тысяч сайтов. Параллельно был разоблачен фейковый ИИ Natasha, а в Linux-экосистеме обнаружились критические баги в libblockdev, PAM и XML-обработчике.
На фоне этих событий становится ясно: лето — не время расслабляться, когда речь идет о кибербезопасности. Вот тут рассказали подробнее:
Уязвимости в libblockdev и PAM: получение прав root
Специалисты Qualys обнаружили две критические уязвимости:
- в библиотеке libblockdev (CVE-2025-6019) — позволяет повысить привилегии до root через udisks,
- в PAM (CVE-2025-6018) — даёт аналогичные возможности в openSUSE и SUSE Linux Enterprise.
Через systemctl, создав пользовательский сервис, который polkitd воспримет как локальный сеанс (требуется активный локальный пользователь).
Через уязвимость в PAM (актуально для openSUSE и SUSE), которую обнаружили в ходе анализа уязвимости в libblockdev. В этом случае локальный доступ имитирует подмена переменных XDG_SEAT и XDG_VTNR в ~/.pam_environment. То есть уязвимость позволяет любому пользователю, в том числе подключившемуся по SSH, выполнять операции в контексте «allow_active».
Создается loop-устройство с XFS-образом, содержащим SUID-файл. При изменении размера ФС libblockdev временно монтирует её без nosuid/nodev, позволяя выполнить вредоносный код. Обновления пока выпущены не для всех дистрибутивов — проверить статус можно на страницах Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo и Arch (1, 2).
Временное решение: изменить правило polkit, заменив allow_active=yes на auth_admin в файле /usr/share/polkit-1/actions/org.freedesktop.UDisks2.policy.
www.opennet.ru/opennews/art.shtml?num=63424
Критические уязвимости в libxml2: угроза выполнения произвольного кода
В популярной библиотеке libxml2, используемой для обработки XML-данных в проектах GNOME и сотнях Linux-пакетов (например, в 800+ компонентах Ubuntu), обнаружено пять уязвимостей, две из которых позволяют выполнить произвольный код.
Ключевые уязвимости:
CVE-2025-6170 — вызвана переполнением буфера в утилите xmllint, которое возникает за счет использования небезопасной функции strcpy() без проверки длины входных данных. Атакующий должен контролировать аргументы, передаваемые в xmllint. Патч пока не выпущен.
CVE-2025-6021 — вызывается целочисленным переполнением в функции xmlBuildQName(), записывая, как следствие, данные за пределами выделенного буфера. Исправления включены в выпуск libxml2 2.14.4.
К дополнительным уязвимостям относятся:
- CVE-2025-49794: аварийное завершение из-за обращения к уже освобождённой области памяти в функции xmlSchematronGetNode,
- CVE-2025-49795: разыменование NULL-указателя в xmlXPathCompiledEval,
- CVE-2025-49796: неправильная обработка типов (Type Confusion) в функции xmlSchematronFormatReport.
Кроме этого, в libxslt (не поддерживаемой библиотеке) обнаружены три неисправленные уязвимости, детали которых обещают раскрыть 9, 13 июля и 6 августа 2025 года. Рекомендуем, следить за обновлениями libxml2 в нужном дистрибутиве и ограничить использование xmllint для обработки ненадёжных данных.
www.opennet.ru/opennews/art.shtml?num=63431
Уязвимости в DHCP-сервере Kea и IMAP-сервере Cyrus
В DHCP-сервере Kea (разрабатываемом ISC) обнаружены критические уязвимости:
- CVE-2025-32801 – позволяет локальному пользователю выполнить произвольный код с правами root через REST API (kea-ctrl-agent), отправляя команду set-config для загрузки вредоносной библиотеки.
- CVE-2025-32802 – даёт возможность перезаписать любой файл в системе через команду config-write в REST API.
- CVE-2025-32803 – логи и файлы аренды IP-адресов доступны для чтения всем пользователям.
Дополнительно: В openSUSE обнаружена уязвимость (CVE-2025-23394) в IMAP-сервере Cyrus, позволяющая пользователю cyrus повысить привилегии до root через скрипт daily-backup.sh. Проблема устранена в версии cyrus-imapd 3.8.4-2.1.
Обновления уже выпущены для большинства дистрибутивов.
www.opennet.ru/opennews/art.shtml?num=63324
ИИ “Natasha” оказался обычными индийскими программистами, а его создатели — банкротами
В конце мая британская компания Builder.ai, имеющая крупные филиалы в пяти государствах, объявила об обращении в суд, чтобы защитить себя от банкротства.
Эта компания привлекла внимание общественности своим уникальным подходом к разработке программного обеспечения с помощью искусственного интеллекта Natasha AI, который был создан для написания кода по запросам клиентов, освобождая заказчиков от необходимости писать код самостоятельно. Однако позже стало известно, что код писали реальные программисты, а искусственный интеллект был лишь прикрытием сомнительного ведения бизнеса.
Несмотря на разоблачение The Wall Street Journal в 2019 году, инвесторы продолжали вкладывать в компанию миллионы. В 2023 году Microsoft даже рассматривала интеграцию стартапа Builder.ai в свои сервисы.
В феврале 2025 новое руководство заявило, что проблемы компании вызваны не ИИ, а плохим финансовым управлением. А в мае кредитор Viola Credit заморозил значительную часть средств на счетах Builder.ai. Это обрушило работу компании в пяти странах (Великобритания, США, ОАЭ, Сингапур, Индия), вынудив уволить большую часть сотрудников и подать на защиту от банкротства.
3dnews.ru/1123614/ii-natasha-na-dele-okazalsya-sotnyami-programmistovindusov-ego-razrabotchik-promotal-dengi-microsoft-i-obankrotilsya/#68380e7b742eec5f738b4572
Уязвимость в cURL/libcurl
Разработчики curl выпустили обновление для устранения уязвимости средней степени опасности CVE-2025-5025. Проблема возникает при использовании TLS-библиотеки wolfSSL в сочетании с протоколом HTTP/3 и включенной функцией certificate pinning. В этих условиях злоумышленник может провести MITM-атаку, подменив сертификат сервера.
Уязвимость затрагивает только специальные сборки curl с wolfSSL, что редко встречается в стандартных дистрибутивах Linux. Основные пакеты обычно используют OpenSSL или GnuTLS и не подвержены этой проблеме. Для защиты рекомендуется обновить curl до версии 8.14.0 или новее. Пользователи могут проверить используемую TLS-библиотеку командой curl -V.
Риск эксплуатации низкий, так как атака требует выполнения нескольких специфических условий: наличие wolfSSL, использование HTTP/3 и ручное включение certificate pinning. Кроме того, злоумышленнику необходимо перехватить трафик и получить действительный сертификат. Сейчас не зафиксировано случаев реального использования этой уязвимости, поэтому для большинства пользователей угроза минимальна, но обновиться всё же рекомендуется.
www.linux.org.ru/news/security/17983178
Угроза для 100 000 сайтов на WordPress
Исследователи Patchstack обнаружили критическую уязвимость (CVE-2025-47577, 10/10 по CVSS) в плагине TI WooCommerce Wishlist, который установлен более чем на 100 000 сайтов. Проблема позволяет загружать произвольные файлы без авторизации.
Функция tinvwl_upload_file_wc_fields_factory некорректно проверяет загружаемые файлы из-за отключенных параметров test_form и test_type. Это позволяет загружать файлы любого типа, включая вредоносные PHP-скрипты. Для этого должен быть активен плагин WC Fields Factory и включена интеграция с TI WooCommerce Wishlist.
Плагин предназначен для создания списков желаний и их публикации в соцсетях, что делает его популярным среди WooCommerce-сайтов.
Поскольку обновления пока нет, единственный способ защиты — полное отключение уязвимого плагина. Владельцам интернет-магазинов следует предпринять меры немедленно.
xakep.ru/2025/05/30/ti-woocommerce-wishlist/
Критические уязвимости в vBulletin
В популярном движке форумов vBulletin обнаружены две опасные уязвимости (CVE-2025-48827 и CVE-2025-48828, оценка 9/10). Одна из них уже активно используется злоумышленниками. Баги затрагивают версии 5.0.0-5.7.5 и 6.0.0-6.0.3 на PHP 8.1+.
Суть угрозы в том, что через API можно вызывать защищённые методы, а ошибки в обработке шаблонов позволяют выполнить произвольный код. Исследователь EgiX показал, как это работает: уязвимость в replaceAdTemplate обходит фильтры, давая хакерам шелл-доступ.
Фактически эти уязвимости были закрыты в прошлогодних обновлениях: PL1 для ветки 6.* и PL3 для версии 5.7.5. Однако из-за того, что многие владельцы сайтов не обновили свои системы, угроза остается актуальной.
xakep.ru/2025/06/02/vbulletin-flaws/
