Июнь — итоги тестирования S3 Manager, законопроект о хостерах и новые уязвимости в Linux

Лето в разгаре, и если вы уже сменили офисное кресло на шезлонг, а клавиатуру — на поднос с фруктами, то проектам и серверам приходится работать без выходных.



Чтобы вы могли спокойно отдыхать, мы следим за обновлениями, уязвимостями и новыми фишками: тестируем удобные инструменты, мониторим изменения в законах и разбираемся, как сделать вашу инфраструктуру надёжнее. А ещё — собираем для вас полезные статьи и новости, чтобы вы могли после отпуска легко вернуться в курс дела. Обо всём этом рассказали в июньском дайджесте.

Статьи и инструкции
Типы данных в MySQL

MySQL — одна из самых популярных систем управления реляционной базой данных с открытым исходным кодом. Она использует язык SQL и хранит записи в таблицах. При проектировании её архитектуры важно оптимально задать тип полей. В статье рассмотрели основные типы данных, доступные в MySQL.
firstvds.ru/technology/tipy-dannykh-v-mysql

8 лучших почтовых сервисов для работы и общения в 2025 году
Несмотря на популярность мессенджеров, email по-прежнему остается одним из универсальных инструментов для деловых переговоров, маркетинга и личного общения. Чтобы вам было легче выбрать подходящий, составили подборку из 8 лучших почтовых клиентов 2025 года.
firstvds.ru/blog/8-luchshikh-pochtovykh-servisov-dlya-raboty-i-obscheniya

Штрафы для хостеров и реселлеров в 2025 году: что изменится и как избежать миллионных санкций
В последнее время государство всё серьёзнее регулирует сферу хостинг-услуг. В статье рассказываем о недавнем законопроекте, который вводит новые штрафы для хостинг-провайдеров, а также разбираем вопрос, нужно ли реселлерам регистрироваться в госреестре, выполняя все требования для хостеров.
firstvds.ru/blog/shtrafy-dlya-khosterov-i-resellerov-v-2025

Habr: самое интересное за июнь
Этот месяц мы посвятили исследованию границ науки и технологии. Удивлялись тому, что мир теоретически может находится внутри чёрной дыры, и изучали новое доказательство для анализа математических поверхностей. Спойлер — там тоже про сингулярность. А ещё продолжили серию про DIY-роботов на FastAPI и вспомнили, почему даже гениальные идеи иногда терпят крах.
  • Наша Вселенная находится внутри сверхмассивной черной дыры — исследование
  • Новое доказательство позволило учёным без проблем анализировать эволюцию математических поверхностей
  • Веб-камера — глаза робота: пишу веб-приложение на FastApi для управления DIY-проектом. Часть 2
  • Карманный монстр Пола Аллена: как мини-компьютер за $2000 потерпел крах

Новости июня
Объектное хранилище S3: завершили тестирование файлового менеджера

Немного предыстории. В конце марта мы запустили услугу «Объектное хранилище S3», а в мае к ней вышло дополнение — файловый менеджер, который примерно до середины июня находился в режиме тестирования. Мы приглашали всех желающих поискать баги в работе S3 Manager и дарили сертификаты на пополнение баланса за конструктивную обратную связь.

Теперь, когда тестирование завершено, мы хотим поблагодарить всех участников за помощь и сказать, что всё это было не напрасно — ваши замечания уже помогли нам исправить часть багов. А сам файловый менеджер стал работать быстрее за счёт оптимизации различных процессов.
И ещё одна приятная новость. Мы не закрываем группу тестировщиков в телеграме. Она становится сообществом с замечаниями и пожеланиями к хранилищу S3 и менеджеру — будем на связи.
 https://firstvds.ru/services/s3

Отпуск без забот: чек-лист по проверке сервера.
На отдыхе совсем не хочется думать о работе и о том, что с ней связано. Поэтому перед уходом в отпуск рекомендуем провести небольшую подготовку — наш чек-лист поможет проверить, что вы ничего не забыли, а статья про телеграм-бота расскажет о том, как настроить быстрые уведомления и легко пополнять баланс, если вы из тех, кто любит держать под контролем ситуацию даже на пляже.

Топ новостей из мира технологий и безопасности
Июнь такой июнь. Принёс огромный букет… критических уязвимостей — от опасных дыр в популярных сервисах вроде Kea DHCP и cyrus-imapd, позволяющих нарушителям получать root-доступ, до масштабных угроз для WordPress и vBulletin, ставящих под удар сотни тысяч сайтов. Параллельно был разоблачен фейковый ИИ Natasha, а в Linux-экосистеме обнаружились критические баги в libblockdev, PAM и XML-обработчике.
На фоне этих событий становится ясно: лето — не время расслабляться, когда речь идет о кибербезопасности. Вот тут рассказали подробнее:

Уязвимости в libblockdev и PAM: получение прав root
Специалисты Qualys обнаружили две критические уязвимости:
  • в библиотеке libblockdev (CVE-2025-6019) — позволяет повысить привилегии до root через udisks,
  • в PAM (CVE-2025-6018) — даёт аналогичные возможности в openSUSE и SUSE Linux Enterprise.
Как это работает. Утилита udisks, которая используется в большинстве дистрибутивов Linux, по умолчанию разрешает операции с накопителями только пользователям с доступом allow_active (локальные сеансы). Однако злоумышленник может обойти это ограничение двумя путями:
Через systemctl, создав пользовательский сервис, который polkitd воспримет как локальный сеанс (требуется активный локальный пользователь).
Через уязвимость в PAM (актуально для openSUSE и SUSE), которую обнаружили в ходе анализа уязвимости в libblockdev. В этом случае локальный доступ имитирует подмена переменных XDG_SEAT и XDG_VTNR в ~/.pam_environment. То есть уязвимость позволяет любому пользователю, в том числе подключившемуся по SSH, выполнять операции в контексте «allow_active».
Создается loop-устройство с XFS-образом, содержащим SUID-файл. При изменении размера ФС libblockdev временно монтирует её без nosuid/nodev, позволяя выполнить вредоносный код. Обновления пока выпущены не для всех дистрибутивов — проверить статус можно на страницах Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo и Arch (1, 2).
Временное решение: изменить правило polkit, заменив allow_active=yes на auth_admin в файле /usr/share/polkit-1/actions/org.freedesktop.UDisks2.policy.
www.opennet.ru/opennews/art.shtml?num=63424

Критические уязвимости в libxml2: угроза выполнения произвольного кода
В популярной библиотеке libxml2, используемой для обработки XML-данных в проектах GNOME и сотнях Linux-пакетов (например, в 800+ компонентах Ubuntu), обнаружено пять уязвимостей, две из которых позволяют выполнить произвольный код.
Ключевые уязвимости:
CVE-2025-6170 — вызвана переполнением буфера в утилите xmllint, которое возникает за счет использования небезопасной функции strcpy() без проверки длины входных данных. Атакующий должен контролировать аргументы, передаваемые в xmllint. Патч пока не выпущен.
CVE-2025-6021 — вызывается целочисленным переполнением в функции xmlBuildQName(), записывая, как следствие, данные за пределами выделенного буфера. Исправления включены в выпуск libxml2 2.14.4.
К дополнительным уязвимостям относятся:
  • CVE-2025-49794: аварийное завершение из-за обращения к уже освобождённой области памяти в функции xmlSchematronGetNode,
  • CVE-2025-49795: разыменование NULL-указателя в xmlXPathCompiledEval,
  • CVE-2025-49796: неправильная обработка типов (Type Confusion) в функции xmlSchematronFormatReport.
Для их устранения оценивается возможность полного удаления поддержки Schematron из библиотеки.
Кроме этого, в libxslt (не поддерживаемой библиотеке) обнаружены три неисправленные уязвимости, детали которых обещают раскрыть 9, 13 июля и 6 августа 2025 года. Рекомендуем, следить за обновлениями libxml2 в нужном дистрибутиве и ограничить использование xmllint для обработки ненадёжных данных.
www.opennet.ru/opennews/art.shtml?num=63431

Уязвимости в DHCP-сервере Kea и IMAP-сервере Cyrus
В DHCP-сервере Kea (разрабатываемом ISC) обнаружены критические уязвимости:
  • CVE-2025-32801 – позволяет локальному пользователю выполнить произвольный код с правами root через REST API (kea-ctrl-agent), отправляя команду set-config для загрузки вредоносной библиотеки.
  • CVE-2025-32802 – даёт возможность перезаписать любой файл в системе через команду config-write в REST API.
  • CVE-2025-32803 – логи и файлы аренды IP-адресов доступны для чтения всем пользователям.
Kea по умолчанию запускается от root в Arch Linux, Gentoo, openSUSE Tumbleweed (до 23 мая), FreeBSD и NetBSD. В Debian, Ubuntu и Fedora используется непривилегированный пользователь.
Дополнительно: В openSUSE обнаружена уязвимость (CVE-2025-23394) в IMAP-сервере Cyrus, позволяющая пользователю cyrus повысить привилегии до root через скрипт daily-backup.sh. Проблема устранена в версии cyrus-imapd 3.8.4-2.1.
Обновления уже выпущены для большинства дистрибутивов.
www.opennet.ru/opennews/art.shtml?num=63324

ИИ “Natasha” оказался обычными индийскими программистами, а его создатели — банкротами
В конце мая британская компания Builder.ai, имеющая крупные филиалы в пяти государствах, объявила об обращении в суд, чтобы защитить себя от банкротства.
Эта компания привлекла внимание общественности своим уникальным подходом к разработке программного обеспечения с помощью искусственного интеллекта Natasha AI, который был создан для написания кода по запросам клиентов, освобождая заказчиков от необходимости писать код самостоятельно. Однако позже стало известно, что код писали реальные программисты, а искусственный интеллект был лишь прикрытием сомнительного ведения бизнеса.
Несмотря на разоблачение The Wall Street Journal в 2019 году, инвесторы продолжали вкладывать в компанию миллионы. В 2023 году Microsoft даже рассматривала интеграцию стартапа Builder.ai в свои сервисы.
В феврале 2025 новое руководство заявило, что проблемы компании вызваны не ИИ, а плохим финансовым управлением. А в мае кредитор Viola Credit заморозил значительную часть средств на счетах Builder.ai. Это обрушило работу компании в пяти странах (Великобритания, США, ОАЭ, Сингапур, Индия), вынудив уволить большую часть сотрудников и подать на защиту от банкротства.
3dnews.ru/1123614/ii-natasha-na-dele-okazalsya-sotnyami-programmistovindusov-ego-razrabotchik-promotal-dengi-microsoft-i-obankrotilsya/#68380e7b742eec5f738b4572

Уязвимость в cURL/libcurl
Разработчики curl выпустили обновление для устранения уязвимости средней степени опасности CVE-2025-5025. Проблема возникает при использовании TLS-библиотеки wolfSSL в сочетании с протоколом HTTP/3 и включенной функцией certificate pinning. В этих условиях злоумышленник может провести MITM-атаку, подменив сертификат сервера.
Уязвимость затрагивает только специальные сборки curl с wolfSSL, что редко встречается в стандартных дистрибутивах Linux. Основные пакеты обычно используют OpenSSL или GnuTLS и не подвержены этой проблеме. Для защиты рекомендуется обновить curl до версии 8.14.0 или новее. Пользователи могут проверить используемую TLS-библиотеку командой curl -V.
Риск эксплуатации низкий, так как атака требует выполнения нескольких специфических условий: наличие wolfSSL, использование HTTP/3 и ручное включение certificate pinning. Кроме того, злоумышленнику необходимо перехватить трафик и получить действительный сертификат. Сейчас не зафиксировано случаев реального использования этой уязвимости, поэтому для большинства пользователей угроза минимальна, но обновиться всё же рекомендуется.
www.linux.org.ru/news/security/17983178

Угроза для 100 000 сайтов на WordPress
Исследователи Patchstack обнаружили критическую уязвимость (CVE-2025-47577, 10/10 по CVSS) в плагине TI WooCommerce Wishlist, который установлен более чем на 100 000 сайтов. Проблема позволяет загружать произвольные файлы без авторизации.
Функция tinvwl_upload_file_wc_fields_factory некорректно проверяет загружаемые файлы из-за отключенных параметров test_form и test_type. Это позволяет загружать файлы любого типа, включая вредоносные PHP-скрипты. Для этого должен быть активен плагин WC Fields Factory и включена интеграция с TI WooCommerce Wishlist.
Плагин предназначен для создания списков желаний и их публикации в соцсетях, что делает его популярным среди WooCommerce-сайтов.
Поскольку обновления пока нет, единственный способ защиты — полное отключение уязвимого плагина. Владельцам интернет-магазинов следует предпринять меры немедленно.
xakep.ru/2025/05/30/ti-woocommerce-wishlist/

Критические уязвимости в vBulletin
В популярном движке форумов vBulletin обнаружены две опасные уязвимости (CVE-2025-48827 и CVE-2025-48828, оценка 9/10). Одна из них уже активно используется злоумышленниками. Баги затрагивают версии 5.0.0-5.7.5 и 6.0.0-6.0.3 на PHP 8.1+.
Суть угрозы в том, что через API можно вызывать защищённые методы, а ошибки в обработке шаблонов позволяют выполнить произвольный код. Исследователь EgiX показал, как это работает: уязвимость в replaceAdTemplate обходит фильтры, давая хакерам шелл-доступ.
Фактически эти уязвимости были закрыты в прошлогодних обновлениях: PL1 для ветки 6.* и PL3 для версии 5.7.5. Однако из-за того, что многие владельцы сайтов не обновили свои системы, угроза остается актуальной.
xakep.ru/2025/06/02/vbulletin-flaws/

Май — файловый менеджер S3, техническое сопровождение проектов и обзор популярных антивирусов

Май — это время, когда work-life balance приобретает особый смысл. Горящие дедлайны меркнут на фоне сгоревших шашлыков, а ноутбуки нагреваются не от нагрузок, а от солнца. Лето неумолимо приближается, и пока одни планируют отпуск, другим предстоит совмещать созвоны с видом на мангал.



Статьи и инструкции
Обзор популярных бесплатных антивирусов 2025

Количество кибератак растет — в 2024 году было зарегистрировано более 1,8 млрд инцидентов без учета DDoS-атак и фишинга. Поэтому каждому стоит задуматься о том, как защитить свои устройства от вредоносного ПО.
В статье рассказали, зачем нужен антивирус, как его выбрать, и собрали топ-10 бесплатных программ.
firstvds.ru/blog/top-besplatnykh-antivirusov

Habr: самое интересное за апрель
Провожаем в цифровое небытие некогда незаменимый Skype («лучший файлообменник» своего времени), заглядываем в аналоговое прошлое вместе с транзисторными радиопередатчиками, открываем цикл публикаций о создании open-source веб-приложения и рассказываем про пределы предсказуемости и демона Лапласа. Настраивайтесь на волну — будет интересно :)

Ищем авторов для блога на Хабр
Подготовьте статью на одну из специальных тем или отправьте материал на тему месяца. И если ваша статья подойдёт для блога, вы получите повышенный гонорар. Тема июня: высокая производительность.
firstvds.ru/blog/vremya-pisat-stati-ischem-avtorov-dlya-blogov-i-bz

Новости мая
Новая услуга «Техническое сопровождение проектов»


Наступает долгожданная пора отпусков. Однако проекты не уходят на каникулы — они требуют внимания, даже когда вы наслаждаетесь заслуженным отдыхом.
Поэтому перед началом лета мы запустили услугу технического сопровождения проектов. Она обеспечивает стабильную работу серверов 24/7, круглосуточный мониторинг, контроль использования ресурсов и оперативную реакцию на критические ситуации.
Стоимость минимального тарифа — 5000 ₽ в месяц, итоговая стоимость услуг рассчитывается индивидуально после оценки проекта.
firstvds.ru/services/server_support

Объектное хранилище S3: запуск дополнения к услуге и новые статьи

Недавно мы запустили «Объектное хранилище S3». В нём можно держать что угодно: от фотографий котиков до важных рабочих документов. А в мае у нас вышло дополнение к услуге — файловый менеджер.
firstvds.ru/blog/faylovyy-menedzher-s3
Кстати, до 10 июня (включительно) файловый менеджер находится на стадии тестирования. Вы можете помочь нам сделать его лучше — участвуйте, отправляйте фидбэк и получайте сертификат на пополнение баланса. Узнать подробнее.
Для тех, кто только знакомится с объектным хранилищем, мы подготовили несколько полезных статей и инструкций:

Защита сервера и сайта с помощью BitNinja

Теперь ваш хостинг и сайты могут быть под надёжной охраной 24/7, ведь мы запустили новую услугу — BitNinja. Это комплексное решение для защиты серверов от современных киберугроз.
Система работает в автоматическом режиме, круглосуточно анализирует угрозы и самостоятельно обучается новым методам защиты, блокирует SQL-инъекции и DDoS-атаки, защищает от взлома и вирусов, а также обнаруживает вредоносный код.
Установка займёт всего 15-20 минут. Минимальные требования: 1 ядро CPU, 1 Гб RAM и 1 Гб на диске.
firstvds.ru/blog/zapustili-uslugu-bitninja

Как начать работу с BitNinja на виртуальном сервере
Подготовили инструкцию, чтобы вам было проще разобраться с управлением. Из неё вы узнаете, как начать работу с BitNinja: от автоматической установки до базовых настроек безопасности для вашего сервера. А это статья для тех, кто не ищет лёгких путей в виде готовых решений.
firstvds.ru/technology/kak-nachat-rabotu-s-bitninja-na-virtualnom-servere
firstvds.ru/technology/bitninja-ruchnaya-ustanovka-i-rabota-cherez-cli

Топ новостей из мира технологий и безопасности


Волна новых угроз: от уязвимостей в процессорах Intel и GNU screen до критических дыр в OpenPGP.js, GitHub и бага в GNU sort, от атак веб-ботов через Magento до поддельных пакетов в PyPI. Безопасность данных оказалась под серьёзной угрозой, причём многие из этих уязвимостей остаются неисправленными месяцами, а то и годами, требуя срочных мер защиты.

Применение метода zip-бомбы для защиты от вредоносных веб-ботов
В последнее время увеличилась активность веб-ботов, которые занимаются индексацией сайтов. Помимо стандартных ботов, которые работают корректно, появились «агрессивные» боты, которые игнорируют правила индексирования robots.txt, используют десятки тысяч разных IP-адресов. Эти боты создают чрезмерную нагрузку на серверы, нарушают нормальную работу систем и отнимают время администраторов. Многие воспринимают активность таких ботов как вредоносную.
Для замедления работы подобных ботов, а также ботов, сканирующих уязвимости в типовых веб-приложениях, один из администраторов предложил метод «zip-бомбы». Его суть заключается в том, что веб-боту в ответ на запрос страницы передаётся содержимое, эффективно сжатое методом «deflate», размер которого при распаковке значительно превышает размер переданных по сети данных.
Однако этот метод не рекомендуется использовать, так как сайт может быть занесён в чёрный список Google и начать помечаться как вредоносный в браузере Chrome с включённым режимом «Safe Browsing».
xakep.ru/2025/05/06/pypi-malware-gmail/

На PyPI обнаружены вредоносные пакеты, использующие Gmail и веб-сокеты
Специалисты обнаружили в PyPI семь вредоносных программ, которые использовали SMTP-серверы Gmail и веб-сокеты для кражи данных и удалённого выполнения команд.
После обнаружения все программы были удалены. Однако некоторые из них находились в PyPI более четырёх лет, а одна программа была загружена более 18 000 раз.
Программы Coffin выдавали себя за легитимный пакет Coffin, который представляет собой лёгкий адаптер для интеграции шаблонов Jinja2 в проекты Django. Вредоносные функции программ были направлены на скрытый удалённый доступ и кражу данных через Gmail. Они использовали жёстко закодированные учётные данные для входа на SMTP-сервер Gmail и отправляли своим операторам информацию, собранную на компьютерах жертв. Поскольку Gmail является доверенным ресурсом, брандмауэры и системы EDR вряд ли сочтут такую активность подозрительной.
Исследователи полагают, что программы в основном были нацелены на кражу криптовалюты.
www.opennet.ru/opennews/art.shtml?num=63165

В ядре Linux обнаружена уязвимость, позволяющая получить повышенные права через VSOCK
Была продемонстрирована возможность создания эксплойта для уязвимости CVE-2025-21756 в ядре Linux, которая приводит к обращению к памяти после её освобождения. Эта проблема затрагивает сокеты с адресацией AF_VSOCK, используемые для сетевого взаимодействия между гостевыми системами и хостами.
Эксплойт работает на системах с ядром версии 6.6.75, для других версий требуется модификация. Уязвимость была устранена в ядрах 6.14 и февральских/мартовских обновлениях веток 6.12.16, 6.6.79 и 6.1.131.
Уязвимость была исправлена в SUSE/openSUSE, Ubuntu и Debian 12, но остаётся в Debian 11 и RHEL. Причина — некорректное уменьшение счётчика ссылок на объект vsock при переназначении транспорта.
xakep.ru/2025/05/05/old-magento-backdoors/

В сотнях магазинов на платформе Magento обнаружены уязвимости шестилетней давности
Специалисты Sansec обнаружили сложную атаку на цепочку поставок. В 2019 году 21 расширение для Magento было заражено бэкдором, который активировался в апреле 2025 года, взломав от 500 до 1000 онлайн-магазинов.
Злоумышленники получили контроль над ecommerce-серверами через PHP-бэкдор, добавленный в файлы проверки лицензии (License.php или LicenseApi.php). Бэкдор позволял загружать и выполнять PHP-код, что включало кражу данных, установку веб-скиммеров и создание новых учётных записей.
Компания MGS не ответила на предупреждение; Tigren заявил об отсутствии взлома; Meetanshi признал взлом сервера, но не расширений. Пользователям заражённых расширений рекомендуется проверить сервер и восстановить сайт из чистой резервной копии.
Sansec продолжает расследование и обещает предоставить дополнительную информацию. Одной из жертв стала «40-миллиардная транснациональная корпорация».
3dnews.ru/1122251/udalyonniy-dostup-k-windows-sodergit-diru-kotoruyu-microsoft-ne-sobiraetsya-ispravlyat/#681574a7742eece6148b456c

В удалённом доступе к Windows есть уязвимость, которую компания Microsoft не планирует устранять
Исследователи обнаружили уязвимость в протоколе RDP, позволяющую использовать устаревшие пароли даже после их изменения. Microsoft отказалась устранять проблему из-за риска совместимости, рекомендовав двухфакторную аутентификацию. Уязвимость затрагивает все версии Windows за последние два десятилетия. Независимый эксперт отметил, что поведение RDP нарушает принципы информационной безопасности, а облачные платформы Microsoft не фиксируют угрозу. Эксперты предупреждают, что это ставит под угрозу корпоративные сети, особенно в условиях удалённой работы.
3dnews.ru/1122251/udalyonniy-dostup-k-windows-sodergit-diru-kotoruyu-microsoft-ne-sobiraetsya-ispravlyat/#681574a7742eece6148b456c

Вредоносное ПО в Linux, стирающее все данные с дисков
Специалисты по безопасности обнаружили три вредоносных модуля Go с зашифрованным кодом для загрузки удалённой полезной нагрузки. Эти модули перезаписывают основной диск Linux нулями, делая систему невосстановимой.
Угроза выявлена в следующих пакетах:
  • github.com/truthfulpharm/prototransform
  • github.com/blankloggia/go-mcp
  • github.com/steelpoor/tlsproxy
Пакеты проверяют запуск в Linux и загружают полезную нагрузку через wget. Вредоносный скрипт уничтожает данные на диске (/dev/sda), делая сервер неработоспособным.
Для снижения рисков рекомендуется проверять подлинность пакетов, авторов, ссылки на репозитории, регулярно проводить аудит зависимостей и контролировать доступ к ключам.
xakep.ru/2025/05/06/go-wiper/

Уязвимость в GNU screen
В GNU screen обнаружены пять уязвимостей, одна из которых (CVE-2025-23395) позволяет получить права суперпользователя. Ошибка затрагивает только версию 5.0.0, используемую в Fedora, Arch Linux, NetBSD, OpenBSD и Alpine. Она связана с тем, что при запуске с правами root одна из функций обрабатывает лог-файлы от имени обычного пользователя до сброса привилегий. Это позволяет заменить лог на символическую ссылку и записать данные в произвольный файл от имени root — например, подложить скрипт в системный каталог, который выполнится при следующем входе администратора.
Менее опасные уязвимости позволяют перехватывать терминалы, неправильно выставлять права на PTY-устройства, раскрывать содержимое закрытых каталогов, вызывать сбои через состояние гонки и неправильно обрабатывать строки.
Все проблемы нашли специалисты SUSE в ходе аудита. Разработчики screen не успели вовремя подготовить исправления, и SUSE пришлось выпускать часть патчей самостоятельно. Исследователи считают, что текущие мейнтейнеры проекта плохо ориентируются в его коде и не справляются с безопасностью.
www.opennet.ru/opennews/art.shtml?num=63226

Новые способы эксплуатации уязвимости Spectre-v2 в процессорах Intel
Исследователи из Амстердамского свободного университета обнаружили новый вектор атак класса Spectre-v2 — Training Solo. Эти уязвимости позволяют обходить защиту памяти и извлекать данные из ядра или гипервизора — даже без запуска вредоносного кода на стороне атакуемой системы. Атаки особенно опасны в виртуализированных окружениях: они позволяют гостевой системе читать память хоста.
Training Solo использует уязвимости в предсказании переходов, чтобы «запутать» процессор и получить доступ к чувствительной информации через кэш. В отличие от классического Spectre, здесь задействуется уже существующий привилегированный код, а не пользовательский.
Описаны три техники атаки, включая манипуляции с системным вызовом SECCOMP, коллизии в буфере предсказания переходов и аппаратные сбои в новых чипах Intel (CVE-2024-28956 и CVE-2025-24495). Скорость утечки достигает 17 КБ/с, а примеры эксплойтов опубликованы на GitHub.
Intel уже выпустила обновление микрокода с новой инструкцией IBHF для защиты, а также предложила меры для старых чипов. Атака не затрагивает процессоры AMD, а среди ARM уязвимы только старые модели.
www.opennet.ru/opennews/art.shtml?num=63227

Брешь в библиотеке OpenPGP.js
В OpenPGP.js обнаружена уязвимость CVE-2025-47934. OpenPGP.js — это JavaScript-библиотека для работы с протоколом OpenPGP, используемая в Proton Mail и других проектах. Уязвимость позволяет злоумышленнику отправлять изменённые сообщения, которые система воспринимает как подписанные. Функции openpgp.verify и openpgp.decrypt возвращают успешный результат, хотя содержимое сообщения изменено.
Уязвимость устранена в версиях 5.11.3 и 6.1.1, но не затрагивает OpenPGP.js 4.x. Она касается только процедур проверки подписи и расшифровки сообщений. Злоумышленник может создать поддельное сообщение, изменив исходное с действительной подписью.
Уязвимость не распространяется на подписи, переданные отдельно от текста. Для атаки достаточно одного подписанного сообщения и знания его содержимого.
www.opennet.ru/opennews/art.shtml?num=63278

Критическая уязвимость в GNU sort: риск выхода за пределы буфера
В утилите sort, входящей в состав GNU Coreutils, обнаружена уязвимость CVE-2025-5278. Эта уязвимость связана с целочисленным переполнением в функции begfield(), что может привести к обращению к данным за пределами буфера.
При использовании специально подготовленных параметров сортировки эта уязвимость может привести к аварийному завершению работы приложения или раскрытию конфиденциальной информации.
Проблема была обнаружена в версии 7.2 (2009) и пока не была исправлена.
www.opennet.ru/opennews/art.shtml?num=63320

Проблема сервере GitHub: утечка данных из закрытых репозиториев
В системе GitHub MCP Server обнаружена проблема, которая позволяет злоумышленникам получать доступ к конфиденциальной информации из закрытых репозиториев через специальных AI-ассистентов.
Протокол MCP используется для интеграции моделей искусственного интеллекта с API GitHub, предоставляя им доступ к информации из репозиториев.
Злоумышленник может создать публичный запрос на исправление ошибки в репозитории, который приведёт к раскрытию данных в запросе на включение. Например, сообщение об ошибке, требующее добавить информацию об авторе в README, может раскрыть личные данные и список закрытых репозиториев автора.
Для активации уязвимости владелец репозитория должен разрешить AI-ассистенту анализировать сообщения об ошибках.
www.opennet.ru/opennews/art.shtml?num=63322

P.S. Многие гениальные идеи начинались с ошибки.
Самые внимательные заметили, что в кнопке в прошлой рассылке (про тестирование S3 Manager) мы допустили аж 2 опечатки. Это была чистая случайность.
Но мы решили сделать из бага фичу: в следующих двух рассылках допустим ошибки уже намеренно, а из полученных букв можно будет составить слово-сертификат на баланс аккаунта FirstVDS. Так что следите!

Апрель — итоги космической акции, победа на премии «ЦОДы.РФ» и день рождения CLO

Впереди майские, но если радостного настроения хочется прямо сейчас, скорее открывайте новый выпуск нашего дайджеста. Так вышло, что в этот раз мы собрали в него не только самое интересное, но и самое праздничное.



Далее расскажем о том, как мы отметили День космонавтики, и подведём итоги нашей фантастической акции. А ещё погрузим в торжественную атмосферу награждения на Национальной премии ЦОДы.РФ и вместе порадуемся за проект CLO, которому в апреле исполнилось 5 лет.

Начнем, пожалуй, традиционно с подборки свежих инструкций и полезных статей.

Статьи и инструкции
Циклы в bash

При составлении скриптов часто требуется повторять последовательность действий с объектами, которые имеют общие признаки (расположение, имя, размер). Либо выполнять такие действия, пока истинно конкретное условие. В языке bash, как и в большинстве языков программирования, для этих целей существует управляющая конструкция — цикл.
В статье рассмотрим три типа циклов bash: for, while и until, а также команды для управления ходом цикла — break и continue.
firstvds.ru/technology/cikly-v-bash

Переменные окружения в Linux
Гибкий инструмент, который используется для настройки поведения системы и приложений. Также он применяется для хранения информации, необходимой для работы программ и доступа к ресурсам. По сути, переменные окружения — это пары «ключ-значение», которые могут прописываться в конфигах, задаваться вручную или автоматически. В статье подробнее разберём, что это такое и как с ними работать.
firstvds.ru/technology/peremennye-okruzheniya-v-linux

Аккредитация IT-компаний в 2025 году: что изменится, кого и как это коснётся
Сотрудники IT-компаний знают, что работать в аккредитованной компании, значит, иметь право на определённые льготы от государства. Однако в 2025 году процедуру продления аккредитации ждут изменения. Разбираемся, какие нововведения ожидаются, как и на кого это повлияет.
firstvds.ru/blog/akkreditaciya-it-kompaniy-v-2025-godu-chto-izmenitsya-kogo-i-kak-eto-kosnyotsya

Habr: самое интересное за апрель
Когда человек в одиночку предотвращает глобальную угрозу, открытия переживают свои эпохи, а маленькие игроки бросают вызов корпорациям, чтобы отстоять идеалы, — это ли не повод для праздника? Ведь технологический прогресс пишется не только громкими победами, но и тихими подвигами, которые меняют правила игры. И об этом наша сегодняшняя подборка статей из блога на Хабре.

Ищем авторов для блога на Хабр
Подготовьте статью на одну из специальных тем или отправьте материал на тему месяца. И если ваша статья подойдёт для блога, получите повышенный гонорар. Тема мая: законодательство в IT.
firstvds.ru/blog/vremya-pisat-stati-ischem-avtorov-dlya-blogov-i-bz

Новости апреля
Space Day: подводим итоги космической акции


Если мы отмечаем праздники, то обычно делаем это с размахом. Почти половину месяца длилась акция, которую мы запустили в честь Дня космонавтики. До 28 апреля каждый желающий мог приобрести эксклюзивный VDS Восток 3.0 и попытать счастья в космической игре, преодолевая самые разнообразные преграды по пути с Марса на Землю.
За успешное завершение миссии каждый путешественник мог получить классные призы — скидку на заказ новых VDS, сертификат на пополнение баланса, мерч с уникальным дизайном и крутой набор LEGO. Последний подарок — только за сбор поинтов, иначе говоря, достижений. И сегодня мы наконец определили тех, кому достанутся 5 крутых марсоходов из серии LEGO Technic.
firstvds.ru/blog/itogi-akcii-space-adventure-put-domoy

Национальная премия «ЦОДы.РФ 2024/2025»: победа в номинации «Золотое перо года»

7 апреля в банкетном зале Loft Hall прошла церемония награждения номинантов ежегодной Национальной премии ЦОДы.РФ — уже девятой по счёту.
Мы оказались в числе тех, кто не только дошел до финала, но и одержал победу — в номинации «Золотое перо года». Спасибо всем, кто голосовал за нас и поддерживал во время онлайн-трансляции. Вы лучшие!
firstvds.ru/blog/rdca-win-2025

День рождения проекта CLO: объявляем победителей розыгрыша

В апреле облачный проект CLO отметил своё 5-летие, запустив в честь праздника розыгрыш среди своих клиентов. Чтобы получить шанс выиграть приз, участник должен был иметь любую активную услугу от CLO на время проведения акции.
И сегодня пришло время подводить итоги и объявлять победителей, которые получат подарки:
  • гранты на пополнение баланса,
  • крутой фирменный мерч.
Великий рандом скоро определит счастливчиков — заглядывайте на страницу акции CLO после 15:00 по мск, чтобы узнать, кому же достанутся призы.
clo.ru/happy-birthday-2025

Топ новостей из мира технологий и безопасности


Уязвимости в ingress-nginx: выполнение кода и захват кластеров Kubernetes
В популярном ingress-контроллере ingress-nginx обнаружены критические уязвимости (CVSS 9.8/10), позволяющие злоумышленникам выполнять произвольный код и получать полный контроль над кластером Kubernetes. Проблемы, получившие название IngressNightmare, затрагивают около 43% облачных сред. Исправления выпущены в версиях 1.11.5 и 1.12.1.
Ingress-nginx служит шлюзом для доступа к сервисам Kubernetes извне. Уязвимости позволяют атакующему без аутентификации выполнить код в контексте контроллера, если доступен веб-обработчик Admission. В сети обнаружено более 6500 уязвимых кластеров Kubernetes, которые используют уязвимые контроллеры с обработчиком Admission.
Как происходит атака. Через специально сформированный ingress-объект злоумышленник может внедрить произвольные настройки в конфигурацию NGINX, используя параметры:
  • mirror-target, mirror-host (CVE-2025-1098),
  • auth-tls-match-cn (CVE-2025-1097),
  • auth-url (CVE-2025-24514).
Например, через auth-url можно передать вредоносные команды, которые попадут в конфигурационный файл. Также при проверке конфигурации (nginx -t) загружаются вредоносные библиотеки с модулями, включая SSL-движки. Атакующий может отправить большой запрос, чтобы NGINX создал временный файл (который остаётся доступным через /proc) и указать путь к этому файлу в директиве ssl_engine, заставив NGINX загрузить вредоносный код. Сложностью может стать необходимость угадать PID и дескриптор файла, но в контейнере это возможно за несколько попыток простого подбора.
Специалисты рекомендуют, обновить ingress-nginx до 1.11.5 или 1.12.1. или отключить функцию Validating Admission Controller, если обновление невозможно.
www.opennet.ru/opennews/art.shtml?num=62946

Выпущен Exim 4.98.2 с исправлением уязвимости
Опубликовано обновление почтового сервера Exim 4.98.2, устраняющее уязвимость CVE-2025-30232, которая потенциально позволяет повысить привилегии. Возможность удалённой эксплуатации не подтверждена.
Уязвимость затрагивает версии начиная с Exim 4.96, включая Debian 12, Ubuntu 24.04/24.10, openSUSE 15.6, Arch Linux, Fedora и FreeBSD. RHEL и производные дистрибутивы не уязвимы, так как Exim отсутствует в их стандартных репозиториях (в EPEL обновление пока не доступно).
Причиной уязвимости стала ошибка типа use-after-free в pretrigger-обработчике. После освобождения памяти под буфер отладочных данных (debug_pretrigger_buf) указатель не обнулялся, что могло приводить к обращению к уже освобождённой памяти.
Чтобы избежать проблем с безопасностью, советуем установить обновление Exim 4.98.2.
www.opennet.ru/opennews/art.shtml?num=62960

Уязвимость EntrySign: затронуты даже Zen 5
AMD признала, что недавно обнаруженная уязвимость EntrySign оказалась гораздо масштабнее, чем предполагалось. Изначально считалось, что баг затрагивает только первые четыре поколения архитектуры Zen, но теперь выяснилось, что уязвимыми оказались и самые свежие процессоры Zen 5 — включая десктопные Ryzen 9000, серверные EPYC 9005 (Turin), мобильные чипы серии Ryzen AI 300, а также Ryzen 9000HX для игровых ноутбуков.
Уязвимость позволяет загружать неподписанные (вредоносные) обновления микрокода в процессор, обходя встроенный механизм проверки цифровой подписи. Проблема кроется в использовании алгоритма CMAC вместо криптостойкой хэш-функции, что позволяет подобрать коллизии и внедрить вредоносный код. Для атаки злоумышленнику требуется доступ к уровню ядра (Ring 0), что делает EntrySign особенно опасной в среде серверов и дата-центров.
AMD уже выпустила микрокодовые патчи в составе обновления ComboAM5PI 1.2.0.3c AGESA, направленные партнёрам и производителям плат. Однако финальные версии BIOS могут появиться у пользователей только через недели или месяцы. Также AMD предложила патч для ядра Linux, запрещающий загрузку неофициальных микрокодов. Владельцам систем с AMD SEV-SNP рекомендовано обновить прошивку.
3dnews.ru/1121112/amd-priznala-chto-vprotsessorah-zen-5-imeetsya-opasnaya-uyazvimost-entrysign/#67f81942742eec13c88b4572

WhatsApp для Windows: спуфинг-файл с исполняемым кодом
В мессенджере WhatsApp (версия для Windows) была устранена критическая уязвимость CVE-2025-30401, позволяющая выполнить произвольный код при открытии вложения с подделанными расширениями. Проблема заключалась в несоответствии между MIME-типом файла и расширением, что могло привести к выполнению скриптов и программ без ведома пользователя. Пользователям рекомендовано обновиться минимум до версии 2.2450.6.
xakep.ru/2025/04/08/whatsapp-code-execution/

WordPress-плагин OttoKit: массовая атака на 100 000 сайтов
Популярный плагин OttoKit (ранее SureTriggers), используемый более чем на 100 000 сайтов WordPress, оказался уязвим к обходу аутентификации (CVE-2025-3102). Баг позволяет атакующим без авторизации создавать новые учётные записи с правами администратора — достаточно отправить специальный HTTP-запрос с пустым полем st_authorization.
Атаки начались в течение нескольких часов после публикации PoC-эксплойта, и эксперты уже фиксируют попытки массового автоматизированного взлома. Всем пользователям OttoKit настоятельно рекомендуется обновиться до версии 1.0.79.
xakep.ru/2025/04/14/ottokit-auth-bypass/

Срок действия SSL-сертификатов сократят до 47 дней
CA/Browser Forum принял решение о поэтапном сокращении срока действия SSL/TLS-сертификатов. К 2029 году их срок службы сократится до 47 дней (а проверка домена — до 10). Это изменение поддержали крупнейшие браузеры и удостоверяющие центры (Google, Apple, Mozilla, Sectigo и др.).
Новая политика направлена на снижение рисков, связанных с устаревшими ключами и скомпрометированными сертификатами. Ожидается, что это вынудит компании внедрять автоматизированную ротацию сертификатов, сделав инфраструктуру интернета в целом надёжнее.
xakep.ru/2025/04/15/ca-browser-forum-voted/

SSH-уязвимость в Erlang/OTP: произвольный код на устройствах
В системе Erlang/OTP была найдена уязвимость CVE-2025-32433, которая позволяет злоумышленникам запускать произвольный код на устройствах с установленным SSH-демоном без авторизации. Эта проблема затрагивает все системы, использующие версии OTP ниже 27.3.3, 26.2.5.11 и 25.3.2.20. Уязвимость связана с неправильной обработкой сообщений протокола предварительной аутентификации в SSH-демоне.
Злоумышленники могут выполнять команды с правами суперпользователя, что может привести к компрометации системы.
Команда Horizon сообщает о том, что ей удалось воссоздать уязвимость и найти «поразительно лёгкий» метод её использования.
Эксперты рекомендуют обновить систему до исправленной версии или ограничить доступ к SSH до доверенных IP-адресов, а при невозможности установки патчей — временно отключить SSH.
xakep.ru/2025/04/18/cve-2025-32433/

Windows NTLM: выполнение произвольного кода на уязвимых устройствах
Уязвимость позволяет злоумышленникам осуществлять спуфинг-атаки, раскрывая NTLM-хеш, при распаковке вредоносного ZIP-архива. Для успешной эксплуатации достаточно выбрать или кликнуть на файл.
Уязвимость была использована в кампаниях, направленных на государственные и частные учреждения Польши и Румынии, с использованием вредоносных .library-файлов для сбора NTLMv2-хешей и повышения привилегий. Microsoft выпустила обновление 11 марта, но менее чем через две недели уязвимость уже применялась.
Организации должны немедленно устранить уязвимости NTLM, так как минимальное взаимодействие с пользователем делает эту угрозу серьёзной.
research.checkpoint.com/2025/cve-2025-24054-ntlm-exploit-in-the-wild/

WordPress: мошеннические плагины создают 1,4 млрд рекламных запросов в день
Human выявили серьёзную мошенническую схему Scallywag, которая позволяет пиратским веб-сайтам и ресурсам с короткими URL-адресами получать прибыль с помощью специальных плагинов для WordPress. Они создают огромное количество мошеннических запросов — пике активность достигала 1,4 миллиарда запросов в день.
Схема включает четыре плагина: Soralink, Yu Idea, WPSafeLink и Droplink. Злоумышленники перенаправляют пользователей через множество промежуточных страниц с рекламой на пиратский контент.
Многие сайты используют Scallywag через партнёрские соглашения, а не напрямую. Исследователи выявили схему через анализ трафика WordPress-блогов и заблокировали её, что привело к прекращению доходов Scallywag. В ответ операторы схемы пытались скрыться, но были обнаружены.
Сейчас трафик Scallywag практически нулевой, а её клиенты перешли к другим нелегальным методам монетизации.
xakep.ru/2025/04/22/scallywag/

Удостоверяющий центр SSL.com: уязвимость, позволяющая получить сертификат для чужого домена
В системе проверки владения доменом SSL.com была обнаружена брешь в безопасности, позволяющая злоумышленникам получать сертификаты TLS для любых доменов, зная адрес электронной почты владельца. Это происходит из-за ошибки в процессе подтверждения владения через DNS-запись.
Исследователь успешно получил сертификат для домена aliyun.com, используя домен d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com и адрес электронной почты myusername@aliyun.com.
SSL.com временно заблокировал уязвимый режим и отозвал 11 сертификатов, выданных с его использованием, включая домены medinet.ca, help.gurusoft.com.sg и другие
Был отозван только сертификат для aliyun.com. SSL.com планирует опубликовать отчёт об инциденте до 2 мая.
www.opennet.ru/opennews/art.shtml?num=63116

Прослезилась, пока читала в тг-чате все поздравления с победой на ЦОДах — Алёна Морозова

Март — объектное хранилище S3, второй этап голосования ЦОДы.РФ и свежие инструкции

Месяц подходит к концу, а значит, пришло время очередного дайджеста. Март был слегка непредсказуемым — и по погоде, и по апдейтам, но вполне интересным для прохождения. И пусть порой хотелось «сохраниться» и начать всё сначала, считаем, что это было не зря. Мы набрались нового опыта и теперь готовы почти что ко всему. По крайней мере, к апрельским сюрпризам точно.

Спойлер, они на подходе.


А пока вы строите прогнозы, что ждёт в недалёком будущем, поделимся с вами свежими статьями и инструкциями, новостями компании и полезными лайфхаками — кто знает, может, они станут вашими чит-кодами на пути к следующему уровню, то есть месяцу.

Статьи и инструкции
Как установить Docker на Ubuntu

Кратко напомним, GitLab — веб-платформа управления репозиториями Git с широким набором инструментов. В ней есть встроенные возможности для непрерывной интеграции и развертывания кода (CI/CD), а также мониторинга и организации DevOps-процессов. Чтобы полностью контролировать ситуацию и настроить работу с репозиториями под себя, можно установить GitLab на сервер. В статье расскажем, как это сделать на примере с ОС Linux Ubuntu.
firstvds.ru/technology/ustanovka-gitlab-na-ubuntu

Примеры использования tcpdump в Linux
Утилита tcpdump — один из популярных инструментов командной строки для мониторинга сети в Linux. Помогает отладить сетевой трафик и провести его аудит, что может быть весьма полезным для устранения и профилактики потенциальных угроз безопасности. Подробнее о том, что умеет утилита и чем она может быть вам помочь, рассказали в статье.
firstvds.ru/technology/primery-ispolzovaniya-tcpdump-v-linux

Habr: самое интересное за февраль
Если вам нравятся неоднозначные материалы, обзоры «железа» или циклы статей на разные темы, то эта подборка точно для вас. Собрали всё самое любопытное — от фундаментальных открытий в информатике до практических гайдов по 3D и базовым концепциям реактивности.
  • Студент опроверг 40-летнюю гипотезу в информатике
  • 3D для каждого: Оптимизация модели. Часть 1, объяснительная
  • Понимая реактивные системы: Производные, эффекты и оптимизация
  • Подборка видеокарт для работы с несколькими мониторами: от бюджетных моделей до профессиональных устройств

Ищем авторов для блога на Хабр
Подготовьте статью на одну из специальных тем или отправьте материал на тему месяца. И если ваша статья подойдёт для блога, получите повышенный гонорар.
Тема апреля: лайфхаки для гиков.
firstvds.ru/blog/vremya-pisat-stati-ischem-avtorov-dlya-blogov-i-bz

Новости марта
Запустили услугу «Объектное хранилище S3»

Буквально на днях у нас появилась новая услуга «Объектное хранилище S3». Теперь можно надёжно хранить десятки гигабайтов данных и при этом иметь к ним быстрый доступ. Места хватит и для медиафайлов с простыми веб-сайтами, и для критически важных резервных копий.
Масштабирование происходит без перерывов в работе хранилища. А сама услуга удобна тем, что позволяет легко интегрировать хранилище в существующие инфраструктуру по API.
firstvds.ru/services/s3

Национальная премия «ЦОДы.РФ 2024/2025»: стартовал второй этап голосования

Если вы следите за нашими новостями, то уже знаете, что в этом году мы участвуем в Национальной премии «ЦОДы.РФ», которая ежегодно собирает профи, работающих в российской отрасли ЦОД. Два наших номинанта успешно прошли первый этап голосования и перешли во второй, который продлится до 7 апреля.
Хотим сказать огромное спасибо всем, кто уже проголосовал за нас. И просим проверить, учтён ли ваш голос за наших номинантов. А если не голосовали, но хотели бы поддержать нас, ещё не поздно принять участие. Чтобы облегчить процесс, мы подготовили подробную инструкцию, как это сделать.
Напоминаем, что проголосовать можно сразу за двух кандидатов:
Будем рады вашей поддержке!
firstvds.ru/rdca24-25

Топ новостей из мира безопасности

В марте было много всего интересного — начиная с прорыва Amazon в квантовых вычислениях с процессором Ocelot и релиза FreeBSD 13.5, видимо, последнего в этой ветке, и заканчивая повышенной активностью ИИ-ботов, которые вызвали сбои в работе популярных опенсорсных проектов KDE, GNOME, Fedora. Всё это не считая уязвимостей в трёх известных библиотеках или таких системах, как Pagure и OBS. Об этом и не только рассказали в новостях:

Amazon представила квантовый процессор Ocelot
Ocelot решает одну из ключевых проблем квантовых вычислений — снижение аппаратных затрат. Процессор использует гибридную архитектуру, объединяющую два типа кубитов: кошачьи кубиты и трансмоны. Кошачьи кубиты устойчивы к ошибкам переворота бита, а трансмоны корректируют ошибки, связанные с фазовым сдвигом. Такая комбинация обеспечивает стабильность вычислений и снижает количество ошибок.
Процессор Ocelot состоит из двух кристаллов площадью 1 см2 каждый, на которых размещены сверхпроводящие материалы, формирующие квантовые схемы. Чип включает 14 компонентов: пять кошачьих кубитов, пять буферных схем и четыре трансмона для обнаружения ошибок. Осцилляторы, используемые для хранения квантовых состояний, изготовлены из сверхпроводящего тантала, что повышает их производительность.
Компания уверена, что Ocelot ускорит создание практичного квантового компьютера, устойчивого к ошибкам, на пять лет.
3dnews.ru/1119000/amazon-predstavila-kvantoviy-protsessor-ocelot-v-kotorom-reshila-odnu-iz-glavnih-problem-kvantovih-vichisleniy/#67c15acb742eece25e8b456f

Уязвимость в Python-библиотеке, насчитывающей 40 млн загрузок в месяц
В популярной Python-библиотеке JSON Logger, ежемесячно загружаемой более 40 млн раз, обнаружена уязвимость CVE-2025-27607. Она позволяла злоумышленникам подменять зависимость при установке через PyPI, что могло привести к выполнению произвольного кода на системах, использующих этот пакет. Проблема устранена в версии 3.3.0, выпущенной 7 марта 2025 года.
Уязвимость возникла из-за наличия в списке необязательных зависимостей библиотеки msgspec-python313-pre, которая была удалена её авторами из PyPI в декабре 2024 года без предупреждения. Это позволило злоумышленникам загрузить в каталог PyPI пакет с тем же именем, который автоматически подключался при установке JSON Logger с опцией разработки (pip install python-json-logger[dev]). Исследователь, обнаруживший проблему, подтвердил возможность выполнения стороннего кода, зарегистрировав поддельный пакет.
Ранее администраторов PyPI неоднократно предупреждали о рисках, связанных с удалением проектов, чтобы избежать инцидентов, подобных left-pad, и предотвратить атаки через цепочку поставок (supply chain). Однако предложения о запрете удаления пакетов не были реализованы, что оставило возможность для повторной регистрации и эксплуатации уязвимостей.
www.opennet.ru/opennews/art.shtml?num=62856

Релиз FreeBSD 13.5
После шести месяцев разработки выпущен финальный релиз FreeBSD 13.5, завершающий ветку 13.x. Поддержка этой версии продлится до 30 апреля 2026 года. Параллельно развиваются ветки FreeBSD 14 (следующий релиз 14.3 запланирован на 3 июня 2025 года) и FreeBSD 15, первый выпуск которой ожидается в декабре 2025 года.
Основные изменения:
  • Jail-окружения: Добавлена возможность запуска утилит sysctl и ip6addrctl в контексте изолированных Jail, что упрощает управление параметрами ядра и сетевых настроек для контейнеров.
  • ZFS: В инсталляторе bsdinstall появилась возможность редактирования параметров создания ZFS-пулов, включая выбор алгоритма сжатия.
  • LLVM: Компиляторы и инструменты LLVM обновлены до версии 19.1.7.
  • UFS1: Решена проблема 2038 года, теперь файловая система поддерживает даты до 2106 года.
  • Сетевые драйверы: Добавлена поддержка алгоритма AIM (Adaptive Interrupt Moderation) для драйверов igc и e1000, что улучшает производительность UDP и снижает нагрузку на CPU.
  • Облачные платформы: Улучшена поддержка Oracle Cloud Infrastructure (OCI), Amazon EC2 и Vagrant, включая увеличение размера виртуальной памяти до 8 ГБ.
  • Обновления ПО: Версии OpenSSH, Unbound, SQLite, libarchive и других компонентов обновлены до последних стабильных выпусков.
Устаревшие функции:
  • В FreeBSD 15 прекратится поддержка 32-разрядных платформ (кроме armv7), драйвера AGP и инструментария gvinum.
  • Утилита shar для создания самораспаковывающихся архивов признана устаревшей из-за потенциальных рисков безопасности.
  • Среда рабочего стола KDE удалена из установочных образов из-за проблем совместимости с OpenSSL 1.1.1.
  • Архитектуры и образы
FreeBSD 13.5 поддерживает архитектуры amd64, i386, armv6, armv7, aarch64, riscv64 и другие. Также доступны образы для виртуализации (QCOW2, VHD, VMDK) и облачных платформ.
Этот релиз завершает эпоху FreeBSD 13.x, открывая путь к новым возможностям в ветках 14 и 15.
www.opennet.ru/opennews/art.shtml?num=62857

В библиотеке FreeType обнаружена критическая уязвимость
Специалисты Facebook сообщили о 0-day уязвимости (CVE-2025-27363) в библиотеке FreeType, используемой для рендеринга шрифтов (применяется в Linux, Android, игровых движках, GUI-фреймворках и онлайн-платформах). Проблема, оцененная в 8,1 балла по шкале CVSS, позволяет злоумышленникам выполнять произвольный код удаленно. Уязвимость затрагивает все версии FreeType до 2.13.0.
Ошибка связана с некорректной обработкой подглифовых структур в шрифтах TrueType GX и переменных файлах. Это приводит к переполнению буфера и возможности записи данных за его пределами, что может быть использовано для выполнения произвольного кода.
Проблема была устранена в версии FreeType 2.13.0, выпущенной в феврале 2023 года. Однако исследователи предупреждают, что уязвимость уже эксплуатировалась в атаках. Рекомендуется обновить библиотеку до актуальной версии 2.13.3.
xakep.ru/2025/03/14/freetype-0day/

GitLab устранил опасные уязвимости в библиотеке ruby-saml
Команда GitLab выпустила обновления для своих версий Community Edition (CE) и Enterprise Edition (EE), чтобы устранить критические уязвимости в библиотеке ruby-saml. Проблемы (CVE-2025-25291 и CVE-2025-25292) могли позволить злоумышленникам обходить механизмы аутентификации, использующие SAML Single Sign-On (SSO).
Причиной уязвимостей стали различия в обработке XML-документов парсерами REXML и Nokogiri. Это создавало условия для атаки типа XML Signature Wrapping (XSW), при которой злоумышленник мог подделать SAML-ответ и выдать себя за другого пользователя. Для успешной эксплуатации уязвимости атакующему требовался доступ к одной из действующих учетных записей, что могло привести к компрометации данных или несанкционированному повышению привилегий.
Исправления включены в версии ruby-saml 1.12.4 и 1.18.0, а также в GitLab CE/EE 17.7.7, 17.8.5 и 17.9.2. Пользователям, которые управляют своими инсталляциями (self-managed), рекомендуется не откладывать установку обновлений вручную. Для клиентов GitLab.com и GitLab Dedicated обновления применены автоматически.
GitHub, обнаруживший уязвимости, подчеркнул, что его платформа не пострадала, так как библиотека ruby-saml не используется с 2014 года. Тем не менее проблема актуальна для других проектов, где применяется эта библиотека. Помимо этого, GitLab устранил еще одну серьезную уязвимость (CVE-2025-27407), связанную с возможностью удаленного выполнения кода через функцию Direct Transfer, которая по умолчанию отключена.
xakep.ru/2025/03/14/ruby-saml-bugs/

Перегрузка инфраструктуры открытых проектов из-за ИИ-скраперов
Крупные open-source проекты, включая KDE, GNOME, Fedora, Codeberg и SourceHut, столкнулись с перебоями в работе из-за агрессивного сканирования ИИ-индексаторами (скраперов). Эти боты собирают данные для обучения нейросетей (например, Claude 3.7 от Anthropic с веб-поиском), игнорируя правила robots.txt и создавая чрезмерную нагрузку.
Среди основных проблем выделяют:
  • Массовые запросы: ИИ-скраперы работают в многопоточном режиме, не соблюдая ограничения.
  • Обход блокировок: боты маскируются под обычные браузеры (подменяя User-Agent) и используют распределённые сети IP-адресов.
  • Угроза безопасности инфраструктуры: особенно страдают Git-хостинги, форумы и Wiki, не рассчитанные на высокую нагрузку.
Ситуация усугубляется тем, что каждая компания использует свой скрапер, что приводит к созданию общей нагрузки на элементы инфраструктуры и разнообразным последствиям для открытых проектов. Например, у GNOME только 3% запросов прошли проверку, остальные — боты, у Fedora наблюдаются сбои в Pagure из-за атак, а также заблокированы целые подсети, включая IP Бразилии, у KDE перегружен GitLab из-за ботов Alibaba, маскирующихся под MS Edge. И это только часть подобных последствий. Проблемы возникли и у платформы совместной разработки SourceHut, развиваемой Дрю ДеВолтом (Drew DeVault), автором пользовательского окружения Sway. Вместо того, чтобы развивать свои проекты, специалистам приходится тратить время на поиск решений для возникших проблем. Так можно отметить «AI Labyrinth» — ловушку для ботов от Cloudflare", выдающую фейковый контент ботам и запускающую повторную обработку данных.
www.opennet.ru/opennews/art.shtml?num=62925

Уязвимости в Pagure и OBS угрожают безопасности Fedora и openSUSE
Исследователи из Fenrisk обнаружили критические уязвимости в системах Pagure (используется Fedora) и Open Build Service (OBS, применяется в openSUSE), которые позволяли злоумышленникам модифицировать пакеты в официальных репозиториях.
Выявлено 4 уязвимости в Fedora, все они требуют наличия учётной записи в Pagure, которую довольно легко получить. Три проблемы позволяют прочитать файлы в системе, а одна — выполнить свой код на сервере:
  • CVE-2024-4981, CVE-2024-47515 – чтение произвольных файлов через символьные ссылки (например, конфигурации администратора).
  • CVE-2024-4982 – обход ограничений каталога (/../../) для доступа к системным файлам (например, /etc/passwd).
  • CVE-2024-47516 – выполнение произвольного кода через инъекцию в параметры Git.
  • Злоумышленник мог перезаписать .bashrc пользователя git, выполнив код с его правами, что давало контроль над репозиториями пакетов Fedora. Уязвимости были оперативно устранены (в течение 3 часов после уведомления).
Что касается уязвимости в OBS (openSUSE), то она (CVE-2024-22033) предполагает CVE-2024-22033 инъекцию команд в сервис obs-service-download_url через параметры wget. Через подмену URL в конфигурации пакета злоумышленник мог читать/записывать файлы (--output-document, --post-file) и запускать произвольный код, используя .wgetrc и prove. Это позволяло получить доступ к ключам подписи пакетов.
Команда безопасности openSUSE считает угрозу преувеличенной, так как сборка происходит в изолированных контейнерах. Уязвимость актуальна только для локальных установок OBS.
Обе уязвимости устранены, но инцидент подчеркивает риски, связанные с инфраструктурой сборки дистрибутивов.
www.opennet.ru/opennews/art.shtml?num=62928

Опасная уязвимость в Apache Tomcat активно эксплуатируется злоумышленниками
На прошлой неделе в Apache Tomcat обнаружили опасную уязвимость (CVE-2025-24813). Она позволяет выполнять произвольный код на сервере (RCE) через простой PUT-запрос. Уже через 30 часов после публикации информации в сети появились первые эксплойты, и начались активные атаки. Проблема затрагивает версии 11.0.0-M1 – 11.0.2, 10.1.0-M1 – 10.1.34 и 9.0.0.M1 – 9.0.98. Она стала причиной масштабных кибератак по всему миру. Эксперты предупреждают о необходимости срочного обновления систем.
Как это работает. Злоумышленники используют простую, но эффективную схему. Отправляют на сервер специально сформированный PUT-запрос с вредоносным Java-кодом (в base64). Код сохраняется в файловом хранилище сессий Tomcat под видом легитимных данных. Последующий GET-запрос с поддельным JSESSIONID приводит к выполнению кода.
Разработчики Apache выпустили обновлённые версии, устраняющие проблему: 11.0.3 и выше, 10.1.35 и выше, 9.0.99 и выше. Администраторам также рекомендуется:
  • как можно скорее установить обновления,
  • отключить поддержку partial PUT,
  • проверить настройки безопасности.
Специалисты считают, что это только первая волна атак. По их мнению, возможно появление новых вариантов атак, включая установку скрытых бэкдоров.
xakep.ru/2025/03/18/apache-tomcat-rce-attacks/

В 2024 году в экосистеме WordPress выявлено около 8000 уязвимостей
Согласно отчету компании Patchstack, специализирующейся на безопасности WordPress, в 2024 году исследователи обнаружили 7966 уязвимостей в экосистеме этой популярной CMS. Подавляющее большинство проблем (96%) касались плагинов, тогда как на темы приходилось лишь 4% от общего числа.
Краткая статистика:
Ядро WordPress: затронуто всего 7 уязвимостей
Популярные плагины:
  • 1018 уязвимостей в плагинах с более 100 000 установок
  • 115 проблем в плагинах, установленных более 1 млн раз
  • 7 критических уязвимостей в плагинах с 10 млн+ установок
Уровень опасности:
  • 69,6% уязвимостей – низкий риск эксплуатации
  • 18,8% – могли использоваться в целевых атаках
  • 11,6% – активно эксплуатировались или представляли высокую угрозу
  • Только треть проблем получила высокие или критические оценки по шкале CVSS.
Типы уязвимостей:
  • XSS (межсайтовый скриптинг): 47,7% случаев
  • Нарушения контроля доступа: 14,19%
  • CSRF (межсайтовая подделка запроса): 11,35%
Требования для эксплуатации:
  • 43% уязвимостей – не требовали аутентификации,
  • 43% – нужны были низкие привилегии (например, роль подписчика),
  • 12% – требовали прав администратора или редактора.
Проблемы с исправлениями:
33% обнаруженных уязвимостей оставались неисправленными даже после публичного раскрытия информации. Аналитики Patchstack призвали разработчиков плагинов оперативнее выпускать обновления для защиты пользователей.
Несмотря на большое количество уязвимостей, большинство из них не представляли серьезной угрозы. Однако риск атак остается высоким из-за медленного внедрения исправлений в популярных плагинах.
xakep.ru/2025/03/19/wordpress-bugs-2024/

Февраль — Docker на Ubuntu, квантовый чип от Microsoft и новые уязвимости

Если вы ждёте весны также сильно, как и мы, есть хорошие новости. Март не за горами! А это значит, что пришла пора подводить итоги февраля и рассказывать о том, как прошел этот месяц.



В этот раз собрали свежие статьи и инструкции, интересные и важные обновления, которые вы могли пропустить. И добавили лёгкий и приятный анонс — возможно, он поднимет вам настроение в разгар рабочих будней.

Статьи и инструкции
Как установить Docker на Ubuntu

Docker — открытая платформа для разработки, доставки и запуска приложений в контейнерах. Контейнеризация позволяет объединять приложение со всеми его зависимостями в единый автономный модуль, что обеспечивает одинаковую работу в любой среде: от разработки до тестирования и эксплуатации.
В статье рассказываем, как установить Docker на Ubuntu и начать работать с контейнерами. Вы узнаете, сколько ресурсов требуется для работы, разберетесь с основными командами и вместе с нами пройдете основные шаги по запуску контейнеров и загрузке образов.
firstvds.ru/technology/kak-ustanovit-docker-na-ubuntu

Habr: самое интересное за февраль
Что общего у квантового чипа от Microsoft и трансатлантического кабеля? Верный ответ — технологии, меняющие мир. В нашу подборку вошли статьи на самую разную тематику, но все они рассказывают о том, как наука, инженерия и творчество помогают расширять границы возможного.
  • 3D для каждого: DIY-текстуры
  • Microsoft представила квантовый чип Majorana 1 с топологическими кубитами
  • Магия полупроводниковых диодов: начало
  • От мечты к реальности: история трансатлантических кабелей

Новости февраля
Скоро! Старт акции на День хостера… и котиков


Всеми силами приближаем весну — время обновления и свежих стартов! Тем более, что первый день марта — наш профессиональный праздник, День хостера, и одновременно День кошек. Совпадение? Не думаем. Наши пушистые коллеги заслуживают особого внимания, ведь столько нам помогают.
Поэтому завтра, не дожидаясь официальной даты, начнём праздновать и раздавать подарки:
  • Промокод со скидкой 25% на заказ новых VDS для всех желающих.
  • И сертификаты на пополнение баланса номиналом 150 рублей для тех, кто с нами больше года.
Количество сертификатов ограничено.
Акция продлится до 12 марта 2025. Следите за новостями в нашем телеграм-канале, чтобы не пропустить начало праздника.
t.me/TakeFirstNews

Обновили условия сотрудничества для внештатных авторов

Бывает душа просит творчества, а куда направить этот порыв — неясно. Особенно если хочется, чтобы не просто так, а с пользой для себя и для дела. Выход есть!
В феврале мы обновили условия для наших внештатных авторов — повысили размер гонораров и добавили кое-что интересное для пишущих в блог на Хабре.
Так, например, можно получить повышенный гонорар за статьи, которые попадают в одну из специальных тематик (действуют постоянно) или тему месяца. В марте стартует новая тема — DIY или Сделай Сам. И будет действовать до начала апреля.
firstvds.ru/blog/vremya-pisat-stati-ischem-avtorov-dlya-blogov-i-bz

Топ новостей из мира безопасности
Февраль не особо баловал нас новостями из мира безопасности первые пару недель. Но потом ситуация изменилась. И хотя речь пойдет о критических уязвимостях, которые затрагивают многих, мы настроены оптимистично. Почти для всех из них уже выпущены обновления с исправлениями.

Школьник запустил Linux внутри PDF-файла
Старшеклассник Аллен Динг, ранее запускавший Doom в PDF, представил новый проект — LinuxPDF, встроенную в PDF операционную систему Linux. Проект использует JavaScript и работает в браузерах на базе Chromium (Chrome, Edge, Opera). Исходный код доступен на GitHub. LinuxPDF работает на эмуляторе RISC-V через TinyEMU. Управление осуществляется через виртуальную клавиатуру. Несмотря на то, что PDF создан для текста и изображений, поддержка JavaScript позволила реализовать такой необычный проект.
Производительность низкая: загрузка ядра занимает около минуты из-за отсутствия JIT-компиляции в движке V8 Chromium. По умолчанию система 32-битная, но можно создать 64-битную версию, которая будет работать ещё медленнее.
Проект демонстрирует нестандартное использование JavaScript, расширяя возможности PDF.
3dnews.ru/1118227/starsheklassnik-zapustil-linux-vnutri-pdffayla

Исправлена уязвимость в PostgreSQL, задействованная при атаке на BeyondTrust
Для всех поддерживаемых версий PostgreSQL (17.3, 16.7, 15.11, 14.16, 13.19) выпущены обновления, устраняющие более 70 ошибок, включая уязвимость CVE-2025-1094. Эта уязвимость была использована в атаке на BeyondTrust и Министерство финансов США в декабре 2024 года. Проблема связана с библиотекой libpq, которая предоставляет API для взаимодействия с СУБД PostgreSQL.
Уязвимость позволяет злоумышленникам внедрять произвольный SQL-код через функции экранирования спецсимволов (PQescapeLiteral, PQescapeIdentifier, PQescapeString, PQescapeStringConn). В BeyondTrust уязвимость эксплуатировалась через утилиту psql, где некорректные Unicode-символы в UTF-8 обходили экранирование кавычек.
В результате атаки злоумышленники получили доступ к API для удалённой поддержки клиентов BeyondTrust. Как следствие, они смогли загрузить конфиденциальные данные и получить доступ к рабочим станциям.
Дополнение: Исправление в libpq вызвало регрессию — функция PQescapeIdentifier перестала учитывать поле с размером. Внеплановое обновление для устранения этой проблемы запланировано на 20 февраля.
www.opennet.ru/opennews/art.shtml?num=62722

В OpenSSH устранены уязвимости, угрожающие безопасным соединениям
Разработчики OpenSSH выпустили обновление 9.9p2, устраняющее две критические уязвимости, которые могли привести к атакам типа «человек посередине» (MiTM) и отказам в обслуживании (DoS). Обе проблемы были обнаружены специалистами компании Qualys.
Первая уязвимость, CVE-2025-26465, существует с 2014 года и затрагивает клиенты с включенной опцией VerifyHostKeyDNS. Она позволяет злоумышленникам перехватывать SSH-соединения, обходя проверку ключей сервера. Атака возможна даже при нехватке памяти на стороне клиента, что вынуждает его принять поддельный ключ. Хотя опция по умолчанию отключена, она была активна в FreeBSD с 2013 по 2023 год.
Вторая уязвимость, CVE-2025-26466, появилась в OpenSSH 9.5p1 (август 2023 года) и связана с утечкой памяти при обработке пакетов SSH2_MSG_PING. Атакующие могут отправлять множество небольших пакетов, что приводит к перегрузке памяти и процессора, вызывая сбои в работе системы.
Разработчики настоятельно рекомендуют пользователям обновиться до версии 9.9p2 и отключить VerifyHostKeyDNS, если её использование не является необходимым. Также для защиты от DoS-атак предлагается настроить ограничения с помощью директив LoginGraceTime, MaxStartups и PerSourcePenalties.
www.opennet.ru/opennews/art.shtml?num=62742

Уязвимости в процессорах AMD позволяют запускать код в режиме SMM
Компания AMD устранила 6 уязвимостей в процессорах EPYC и Ryzen. Наиболее опасные (CVE-2023-31342, CVE-2023-31343, CVE-2023-31345) позволяют выполнять код в режиме SMM (System Management Mode), который имеет приоритет выше гипервизора и нулевого кольца защиты. Если кратко, то это дает доступ ко всей системной памяти и контроль над ОС. Проблема связана с недостаточной проверкой входных данных в обработчике SMM, что дает возможность атакующему с привилегиями изменять содержимое SMRAM. Детали эксплуатации уязвимостей пока не раскрываются.
Другие исправленные уязвимости:
  • CVE-2023-31352 – ошибка в AMD SEV (применяется для защиты VM), позволяющая администратору хост-системы читать незашифрованную память гостевой системы.
  • CVE-2023-20582 – обход проверок RMP в SEV-SNP, что может нарушить целостность памяти виртуальных машин.
  • CVE-2023-20581 – ошибка в IOMMU, позволяющая обойти проверку RMP и повлиять на память гостевой системы.
Уязвимости затрагивают процессоры AMD EPYC 3-го и 4-го поколений, Ryzen Embedded серий R1000, R2000, 5000, 7000, V2000, V3000, а также десктопные Ryzen 3000-8000 и Athlon 3000.
www.opennet.ru/opennews/art.shtml?num=62734

Уязвимость в OpenH264 приводит к выполнению произвольного кода при обработке видео
В открытой реализации видеокодека H.264, OpenH264, найдена уязвимость (CVE-2025-27091). Она возникает в режимах SVC (Scalable Video Coding) и AVC (Advanced Video Coding) из-за состояния гонки, которое приводит к выходу за границы выделенного буфера памяти. Проблема устранена в версии OpenH264 2.6.0. Информацию о доступности обновлений можно отслеживать на страницах популярных дистрибутивов: Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD.
OpenH264 разрабатывается и поддерживается компанией Cisco. Эта библиотека позволяет использовать технологии сжатия H.264 в сторонних приложениях без лицензионных ограничений и выплат, так как Cisco имеет лицензию от MPEG-LA. Однако право на использование запатентованных технологий распространяется только на сборки, предоставляемые Cisco, например, загруженные с их официального сайта. Это позволяет таким проектам, как Firefox, openSUSE и Fedora, легально использовать кодек H.264. Дистрибутивы включают пакет-обёртку, а Firefox — плагин, который автоматически загружает готовую сборку OpenH264 с сайта ciscobinary.openh264.org.
www.opennet.ru/opennews/art.shtml?num=62775

Обнаружены критические уязвимости в загрузчике GRUB2
21 февраля 2025 года специалисты по безопасности сообщили о 21 уязвимости в популярном загрузчике GRUB2. Эти проблемы могут быть использованы для обхода защиты UEFI Secure Boot путём переполнения буфера. На данный момент исправления доступны только в виде патчей.
Статус устранения проблем можно проверить на страницах ведущих дистрибутивов: Debian, Ubuntu, SUSE, RHEL, Fedora. Обновление GRUB2 требует не только установки новых версий пакетов, но и создания пересоздания подписей, а также обновления связанных компонентов — ядра, инсталляторов, прошивок fwupd и прослойки shim.
Список выявленных проблем включает:
  • несанкционированную запись за пределы буфера при обработке изображений в формате JPEG,
  • целочисленные переполнения при работе с mo-файлами и различными файловыми системами (BFS, UFS, HFS и др.),
  • уязвимости при сетевой загрузке и обработке клавиатурного ввода,
  • возможность выполнения кода через неправильно обработанные модули,
  • обход режима Lockdown и извлечение данных памяти.
Для защиты от атак используется механизм SBAT (Secure Boot Advanced Targeting), разработанный совместно с Microsoft. Этот подход позволяет блокировать конкретные версии уязвимых компонентов без отзыва сертификатов подписантов. Это значительно упрощает процесс обновления по сравнению с традиционным использованием списка отозванных сертификатов dbx.
Проблемы затрагивают цепочку доверия Secure Boot, позволяя потенциальному злоумышленнику внедрять произвольный код после проверки shim, но до запуска ОС. Для полноценной защиты требуется комплексное обновление всех связанных компонентов загрузочной цепочки.
www.opennet.ru/opennews/art.shtml?num=62771

Финальный дайджест этого года

Ну как ваше предновогоднее настроение? Надеемся, что вы уже доделали все срочные задачи, а несрочные со всей ответственностью переложили на следующий год. Давайте честно: за 5 дней до Нового года уже поздно рваться в бой. Единственный верный подход — это удобное кресло, чашка горячего чая и подготовленный ответ «Давайте уже после праздников».



Если вы всё же хотите делать вид, что работаете — откройте наш дайджест. Это отличная возможность вспомнить, как пролетел декабрь, и одновременно занять себя чем-то абсолютно нерабочим на целых полчаса! Праздники — это же не только про подарки, но и про умение прокрастинировать :)

Чтобы прокрастинация продлилась ещё чуточку дольше, приготовили для вас небольшой квест: разбросали по дайджесту в письме части сертификата. Первые 25 читателей, которые смогут найти и собрать сертификат, получат по 50 рублей на баланс. Удачи!

Статьи и инструкции
Как создать ключ для авторизации по SSH и добавить его на сервер?

Обновлённая статья про использование SSH-ключей для идентификации клиента при подключении к серверу по SSH-протоколу. Этот метод можно использовать вместо аутентификации по паролю.
В статье рассказываем про создание SSH-ключей в Linux и Windows, про OpenSSH, PuTTY и отключение аутентификации по паролю.
firstvds.ru/technology/kak-sozdat-klyuch-dlya-avtorizacii-po-ssh-i-dobavit-ego-na-server

Habr: самое интересное за декабрь
Финальная в этом году подборка статей из нашего Хабра. Самые интересные попали сюда, а остальные можно посмотреть в блоге.
  • Домашние эксперименты с радиолампами. В двух частях с теорией и практикой
  • Невероятная история первого транзисторного радиоприемника TR-1
  • Странные числа странной вселенной
  • Start Me Up: Как Windows 95 завоевала сердца пользователей

Новости декабря
На ваш счёт зачислено 365 счастливых дней! А также скидка 20% на новые VDS и 150 ₽ на пополнение баланса

В Новый год с подарками от FirstVDS
Новый год приносит с собой особую ностальгию по детству, когда праздник был наполнен волшебством и ожиданием чуда. Мы окунулись в приятные воспоминания и подготовили для вас праздничную акцию.

Охладили игристое, почистили мандарины и упаковали подарки к празднику. Забирайте промокод со скидкой 20% на заказ новых VDS для всех. Акция продлится до 13 января. Хо-хо-хо! С наступающим!
firstvds.ru/actions/new-year-2025



FirstVDS 22: как мы отметили день рождения!
День рождения провели, подарки на стриме вручили, выдохнули. Так прошла наша первая половина декабря.
Спасибо всем, кто пришёл на наш праздник и принял в нём активное участие. Вы разгадывали головоломки, искали пасхалки и путешествовали сквозь эпохи к порталу желаний. Обо всех победителях, которым достались сертификаты на пополнение баланса, наш классный мерч и, самое главное, исполнение заветного желания на 500 тысяч рублей.
firstvds.ru/blog/itogi-akcii-v-chest-22-letiya-firstvds

Топ новостей декабря из мира безопасности
Декабрь — месяц насыщенный, в том числе и сфере безопасности. Знаем точно, так как следили за тем, что там происходило. Начало декабря удивило отставкой гендиректора Intel и новым примером Linux-буткита, подробнее об этом рассказали здесь. Что же касается конца месяца, тот тут отличился WordPress и уязвимости в двух популярных плагинах — если интересно, что да как, загляните в эту новость. А пока желаем вам спокойных праздников, если вы понимаете, о чем мы :)

Уязвимость в tuned позволяет выполнять код с правами root
В системном процессе tuned от Red Hat выявлена уязвимость (CVE-2024-52336), которая позволяет локальному пользователю, не проходя авторизацию, запускать команды от имени root. Основная проблема кроется в DBus-методе «com.redhat.tuned.instance_create», который позволяет передавать скрипты «script_pre» и «script_post». В связи с настройками Polkit любой локальный пользователь может без аутентификации отправлять запросы к этому методу и, как следствие, запускать указанные скрипты с привилегиями root. Кроме того, имеется менее критичная уязвимость (CVE-2024-52337), вызванная тем, что имя экземпляра плагина не очищается перед записью в лог, что может быть использовано для внедрения вредоносных данных.
Эти уязвимости наблюдаются начиная с версии tuned 2.23 (выпущена в начале июня 2024 года) и были исправлены в версии 2.24.1. Уязвимости устранены в дистрибутивах RHEL 9, Fedora 40, Arch Linux и Gentoo. В стабильных сборках Ubuntu, Debian и SUSE/openSUSE отсутствуют, поскольку там используются более ранние версии tuned (<2.23).
www.opennet.ru/opennews/art.shtml?num=62307

Гендиректор Intel Пэт Гелсингер уходит в отставку
Корпорация Intel неожиданно сообщила о том, что генеральный директор Пэт Гелсингер уходит со своего поста — это произошло 1 декабря, и он также вышел из состава совета директоров. До назначения нового гендиректора его обязанности будут исполнять Дэвид Цинснер и Мишель Джонстон Холтхаус, а временным председателем совета стал Фрэнк Йери.
Изменения в руководстве сигнализируют о необходимости трансформации бизнеса Intel в условиях растущей конкуренции, особенно со стороны компании NVIDIA. В августе Intel сообщила о значительном падении финансовых показателей и планирует увольнение более 15% сотрудников для реализации программы экономии в 10 миллиардов долларов. Рыночная капитализация Intel снизилась более чем на 50% с 2021 года, а акции упали на 52% с начала текущего года, хотя после объявления об уходе Гелсингера они выросли на 5%.
servernews.ru/1114844/

Linux-буткит Bootkitty использует уязвимость LogoFAIL для атак на системы с уязвимой прошивкой
Не так давно исследователи из ESET сообщили об этой угрозе, уточнив, что Bootkitty функционирует лишь с определенными версиями Ubuntu и, скорее всего, представляет собой пример концепции (proof-of-concept).
Уязвимость LogoFAIL была выявлена компанией Binarly в конце 2023 года и дает возможность обходить защиту Secure Boot, внедряя вредоносные изображения в прошивку. Bootkitty внедряет шелл-код в BMP-файлы, позволяя атакующим захватывать устройства, на которых не установлены патчи для устранения этой уязвимости. Наиболее уязвимыми к атакам оказались устройства Lenovo с прошивкой Insyde, поскольку они используют специфические имена переменных. Исследователи также выделили несколько моделей Lenovo, которые до сих пор остаются под угрозой.
После публикации отчета Binarly специалисты ESET выяснили, что разработкой буткита занимались южнокорейские студенты в рамках программы Best of the Best, целью которой является повышение осведомленности о киберугрозах. Несмотря на это, Bootkitty продолжает оставаться первым UEFI-буткитом для Linux и все еще является примером концепции, как и заявлялось ранее.
xakep.ru/2024/12/03/bootkitty-logofail/

Уязвимость в плагине WPForms
В плагине WPForms, который используется более чем на 6 миллионах сайтов WordPress, была обнаружена уязвимость с идентификатором CVE-2024-11205. Эта проблема позволяет пользователям возвращать средства через Stripe или отменять подписки. И хотя уязвимость не является критической, она все же может представлять угрозу, так как даже аутентифицированные пользователи с правами уровня subscriber могут инициировать атаки. Проблема обусловлена некорректным применением функции, предназначенной для проверки источника AJAX-запросов.
Уязвимость затрагивает версии WPForms от 1.8.4 до 1.9.2.1. Разработчики выпустили исправление в версии 1.9.2.2, но около 3 миллионов сайтов по-прежнему функционируют на уязвимых версиях. Компания Wordfence настоятельно рекомендует администраторам обновить плагин до безопасной версии или временно его отключить.
xakep.ru/2024/12/11/wpforms-bug/

Уязвимость в плагине Hunk Companion может использоваться для установки других уязвимых плагинов WordPress
Злоумышленники активно использует уязвимость в плагине Hunk Companion для WordPress, которая дает возможность устанавливать другие уязвимые плагины. Уязвимость с идентификатором CVE-2024-11972 (9,8 по CVSS) затрагивает все версии до 1.9.0. Плагин Hunk Companion насчитывает более 10 тысяч активных установок, однако лишь 12% пользователей обновили его, что ставит под угрозу около 9000 сайтов.
Специалисты WPScan предупреждают, что это уязвимость может привести к удаленному выполнению кода (RCE), SQL-инъекциям и созданию бэкдоров. Проблема была выявлена на одном из зараженных сайтов, где хакеры использовали уязвимость для установки плагина WP Query Console и RCE-уязвимости для запуска вредоносного кода.
Данная уязвимость является обходом исправления для похожей проблемы CVE-2024-9707. Кроме того, RCE-уязвимость в WP Query Console (CVE-2024-50498) все еще не устранена.
Ошибки в скрипте hunk-companion/import/app/app.php позволяют неаутентифицированным запросам миновать проверки прав на установку. Пользователям Hunk Companion настоятельно рекомендуется немедленно обновиться до версии 1.9.0.
xakep.ru/2024/12/13/hunk-companion-attacks/

Стилер Lumma внедряется через поддельные CAPTCHA
Эксперты Guardio Labs сообщили о новой кампании по распространению стилера Lumma, где злоумышленники используют фальшивые CAPTCHA. Они маскируются под легитимные предложения, побуждая пользователей выполнять команды PowerShell.
Эта инициатива называется DeceptionAds и использовалась в рекламе через сеть Monetag, где ежедневно отображается более миллиона объявлений на 3000 разных сайтов. За этой деятельностью, скорее всего, стоит хакерская группировка Vane Viper, которая применяет законные методы рекламы для обмана пользователей.
При нажатии на такое объявление срабатывает обфусцированный код, который проверяет, является ли пользователь настоящим человеком, а затем перенаправляет его на страницу с фальшивой CAPTCHA, маскируясь через сервис BeMob. На этой странице содержится JavaScript, который тайно копирует вредоносную PowerShell-команду в буфер обмена и предлагает жертве выполнить её с помощью Windows Run. В результате на устройство пользователя устанавливается стилер Lumma, который способен похищать файлы cookie, пароли и данные банковских карт.
Несмотря на то что 200 аккаунтов, связанных со злоумышленниками, были удалены, кампания снова активировалась с использованием другой рекламной сети.
xakep.ru/2024/12/17/fake-lumma-captcha/

Ноябрь — ПО в ispmanager, AMD Ryzen 9 9950X на CPU.Турбо 2.0 и новости CLO

Благодаря дайджесту мы заметили, что пролетел ещё один месяц. Уже одиннадцатый в этом году. После этой новости резко запахло мандаринами и сразу захотелось произнести волшебное «господа, а давайте уже после январских».



Но ещё рано растекаться в предпраздничном блаженстве. Впереди важный забег — целый месяц доделывания дел и закрытия хвостов.

Что-то мы начали уже в ноябре, об этом и рассказываем в дайджесте.

Статьи и инструкции


Запрет на использование и рекламу VPN: миф или реальность?
В интернете периодически появляются статьи, утверждающие, что использование и реклама VPN-сервисов запрещены. Причина кроется в некоторых изменениях законодательства, касающихся VPN.
Мы обратились к нашим юристам, чтобы разобраться в этом вопросе. Возможно, не всё так однозначно, и использование этих сервисов остаётся законным, следовательно, нет причин для волнения?
Что такое VPN, какие изменения произошли в законах, кого они касаются, и действительно ли запрещены реклама и использование VPN-сервисов, читайте в нашей новой статье.
firstvds.ru/blog/zapret-na-ispolzovanie-i-reklamu-vpn-mif-ili-realnost

Установка ПО в ispmanager
При установке панели ispmanager пользователю сразу доступен некий базовый набор ПО — стандартная сборка «из коробки», функциональности которой может не хватить для решения задач конкретного проекта. Поэтому в панели предусмотрена возможность установки альтернативного или дополнительного ПО.
В статье на примере VDS с Ubuntu 22 мы рассмотрим, какие варианты изменения базового набора доступны в панели версии 6 в редакциях Lite, Host и Pro. Материал будет полезен и тем, кто использует другую ОС, так как отличия небольшие и не влияют на логику работы с ПО.
firstvds.ru/technology/ustanovka-po-v-ispmanager

Habr: самое интересное за ноябрь
Когда дело касается выпуска материалов в блог на Хабре, нашим авторам неведомы никакие преграды. Кажется, даже в новогоднюю ночь они одной рукой будут держать бокал с шампанским бенгальский огонь, а второй — писать статьи. Такие вот увлечённые люди.
Но до этого ещё целый месяц, пока можно посмотреть, какие статьи были самыми рейтинговыми в ноябре. Остальные тоже можно почитать, хоть в дайджест они и не попали.
habr.com/ru/companies/first/articles/

Новости ноября

Тариф «CPU.Турбо 2.0» теперь и на AMD Ryzen 9 9950X
Теперь тариф «CPU.Турбо 2.0 запускается не только на базе AMD Ryzen 9 7950X, но и на флагманских процессорах AMD Ryzen 9 9950X с архитектурой Zen 5.
Кратко о VDS на базе новых AMD Ryzen 9 9950X:
  • 16 ядер,
  • частота до 5,7 ГГц,
  • быстрые NVMe-накопители,
  • водяное охлаждение.
Тариф «CPU.Турбо 2.0» отлично подходит для проектов с высокими требованиями к производительности, а также для работы с продуктами 1С-Битрикс.

Кибер Бэкап: новые условия предоставления услуги
С 1 декабря 2024 года изменятся условия остановки и удаления услуги «Кибер Бэкап».
Списание за «Кибер Бэкап» будет всё так же производиться 1 числа месяца за предыдущий месяц использования услуги. Если на 1 число баланс счёта уйдёт в минус, то пользователю поступит уведомление о том, что через 7 календарных дней услуга будет приостановлена.
Если по истечении периода приостановки баланс счёта так и не будет пополнен, то услуга удалится вместе со всеми данными. После удаления восстановить данные будет уже нельзя.
Пожалуйста, учитывайте это при планировании расходов и пополнении баланса.

Новости от проекта CLO: подключение хранилища S3 как виртуального диска в ОС Windows
Теперь на проекте CLO хранилище S3 можно подключить в ОС Windows как виртуальный диск. Работа с файлами в таком хранилище не будет отличаться от работы с обычным логическим диском.
Виртуальный диск можно использовать для синхронизации данных между двумя компьютерами, для облачного бэкапа файлов и для других задач, где требуется сетевое хранение информации.
clo.ru/help/setup-guides/s3-disk-windows

Топ новостей ноября из мира безопасности
Ну и раз месяц подходит к концу, пора рассказать о том, какие новые критические уязвимости были обнаружены, какие патчи выпущены, а главное — какие последствия могут быть, если вовремя не принять меры и не обновиться. Хотя в свете последних событий, как оказалось, не все обновления могут быть полезны, особенно, если они автоматические.

Опасная уязвимость нулевого дня в ОС Windows исправлена сторонним разработчиком
Уязвимость затрагивает учётные данные NTLM, используемые для сетевой аутентификации.
В январе 2024 года Microsoft устранила связанный с этой проблемой недостаток CVE-2024-21320, однако эксперт по кибербезопасности из Akamai обнаружил, что патч можно обойти, если отправить пользователю файл темы Windows и убедить провести над ним некоторые действия. Всё это может привести к утечке данных даже без открытия файла.
Как следствие, регистрация новой уязвимости CVE-2024-38030 (была устранена в июле). Далее специалисты Acros Security проанализировали ситуацию и выявили ещё одну опасную уязвимость, касающуюся всех актуальных версий Windows, включая 24H2. Чтобы злоумышленник мог ей воспользоваться, пользователю требуется выполнить определённые действия, например, переместить файл темы или посетить вредоносный сайт, откуда файл может скачаться автоматически.
Специалисты Acros Security уведомили Microsoft и выпустили собственный микропатч, устраняющий проблему. Представители Microsoft пообещали принять необходимые меры для защиты пользователей.
3dnews.ru/1113310/v-windows-ntlm-obnarugena-uyazvimost-nulevogo-dnya-kotoruyu-zakril-storonniy-razrabotchik

Автообновление Windows Server может привести к серьезным проблемам
Неожиданное автоматическое обновление с Windows Server 2022 до версии 2025 может привести к значительным проблемам для компаний и системных администраторов. В начале ноября на платформе Reddit пользователи оставляли сообщения о том, что их серверы обновились без возможности возврата к предыдущей версии.
Хотя такая миграция может показаться положительной на первый взгляд, для IT-отделов это создает множество сложностей, так как обновленную ОС следует тщательно проверять на совместимость с уже установленным ПО. Один из системных администраторов, известный под ником Fatboy40, утверждает, что все его серверы были обновлены до Windows Server 2025, для использования которой требуется новая лицензия.
Согласно свежим данным от Heimdal, существует вероятность ошибки на стороне Microsoft. Обновление с идентификатором KB5044284 связано с Windows 11, а не с Server 2025. Более того, переход на новую версию не имеет официальной поддержки, и администраторы не могут вернуться к предыдущей версии ОС без применения сторонних инструментов для восстановления данных из резервных копий.
servernews.ru/1113795/

Уязвимость в плагине WordPress угрожает миллионам сайтов
В плагине Really Simple Security (ранее Really Simple SSL) для WordPress обнаружен критический баг, которая угрожает безопасности 4 млн сайтов, предоставляя злоумышленникам возможность полностью компрометировать систему. Эксперты компании Defiant обозначили уязвимость как одну из наиболее значительных за 12 лет своей работы.
Уязвимость (CVE-2024-10924) с баллом 9,8 по шкале CVSS позволяет обойти процесс аутентификации из-за неправильной обработки пользовательских данных и уязвимости в REST API. Проблема затрагивает версии плагина от 9.0.0 до 9.1.1.1, включая бесплатные и платные версии, такие как Pro и Pro Multisite.
Разработчики были оповещены о данной угрозе 6 ноября, и в последующие дни, 12 и 14 ноября, были выпущены патчи. В связи с рисками команда WordPress.org приняла меры для принудительного обновления плагина до безопасной версии 9.1.2. Администраторам сайтов настоятельно рекомендуется проверить наличие обновлений, так как около 3,5 миллиона сайтов могут оставаться под угрозой атаки.
xakep.ru/2024/11/18/really-simple-security-auth-bypass/

Уязвимость в needrestart позволяет получить root-права в Ubuntu Server
В утилите needrestart, которая применяется в Ubuntu начиная с версии 21.04 и существует свыше 10 лет, были обнаружены пять уязвимостей (CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-10224 и CVE-2024-11003). Они позволяют злоумышленникам получить права root без участия пользователя.
Уязвимости сохранялись с версии 0.8, выпущенной в апреле 2014 года, и были устранены лишь на этой неделе в новой версии 3.8. Каждая из уязвимостей позволяет запускать произвольный код с правами root при наличии предварительного локального доступа. Эти атаки могут происходить через манипуляцию переменными среды (такими как PYTHONPATH и RUBYLIB), использование состояния гонки или чрезмерно щадящую обработку имен файлов в используемых библиотеках.
Исследователи подчеркивают повышенный риск эксплуатации этих недостатков в системах, где needrestart широко применяется. Рекомендуется обновить утилиту до версии 3.8 или новее, а также изменить настройки в файле needrestart.conf, отключив функцию сканирования интерпретаторов, чтобы избежать возможных угроз.
xakep.ru/2024/11/21/needrestart-lpe/

Сентябрь — 256 день года, битва за котиков и новые статьи на Хабре

«У вас есть Сплюш? Меняю на Драматяша!» — примерно вот так прошли все 12 дней празднования Дня программиста в нашем телеграме.

Кошачье безумие било все рекорды по общению в тг-чате: за первый день мы получили больше 9000 сообщений, и 90% из них были о котиках и мемах с ними!



Но сейчас уже все вернулось на круги своя — котики продолжают радовать всех вокруг, Хакермен практически признал, что был неправ, а в чате снова стало спокойно.

Статьи и инструкции


А вы точно программист? Статья без котиков, но с ответами
В этом году мы решили отпраздновать День программистов масштабно: запустили акцию с растущей скидкой, добавили рецепт GitLab и, конечно, подготовили увлекательную игру.

По сюжету Хакермен решил спасти человечество от прокрастинации, удалив из интернета все-все мемы с котиками. Наши пользователи могли их спасти, меняясь карточками и решая непростые загадки.

Если вы всё пропустили или, наоборот, участвовали и до сих пор не понимаете, как надо было правильно расположить перфокарту — заходите в нашу статью. В ней можно погрузиться в игровую атмосферу и посмотреть все загадки с решениями. firstvds.ru/blog/vy-tochno-programmist-statya-bez-kotikov-no-s-otvetami



День программиста: вспоминаем историю праздника и интересные факты о профессии
И опять про День программиста :) К концу 2024 года в мире ожидается 28,7 млн программистов — это чуть больше, чем население Австралии. Лидером по количеству этих специалистов является Китай: там их почти в два раза больше, чем в США, и в восемь раз больше, чем в России.

Ко Дню программиста мы решили написать статью с интересными фактами о данной профессии. Когда отмечают День программиста, какая история у праздника, как сейчас обстоят дела с этой профессией в России — все это в нашей статье. firstvds.ru/blog/den-programmista

Начало работы с GitLab после автоматической установки из рецепта
Одним из подарков ко Дню программиста было добавление рецепта GitLab. Хоть акция и закончилась, рецепт доступен для установки.

GitLab — это веб-платформа для управления проектами и репозиториями программного кода, работа которой основана на популярной системе контроля версий Git. Подробнее про установку рецепта рассказываем в инструкции. firstvds.ru/technology/gitlab_ce

Habr: самое интересное за сентябрь
  • Не дай мозгу себя обмануть: 5 когнитивных искажений, распространённых в IT
  • DSS-43: единственная антенна, которая поддерживает связь с Вояджером-2
  • Забытая история китайских клавиатур
  • Ваш цифровой след: Погружение в форензику Windows


Стань автором FirstVDS
Ищем технических писателей для блога на Хабре
firstvds.ru/blog/ischem-avtorov-dlya-bloga-firstvds-na-habr-i-vc

Новости, точнее новость сентября
Проблемы с доступностью сервисов со стороны Ростелекома

9 сентября от наших пользователей стали поступать жалобы на недоступность некоторых сервисов со стороны провайдера Ростелеком. Блокировка Ростелеком затронула различные протоколы VPN и другие сервисы, которые используют протокол UDP. Также поступали жалобы на недоступность DNS-серверов.
На наше обращение в ЦМУ ССОП (подразделение РКН, отвечающее за мониторинг и управление российским сегментом сети «Интернет») был получен ответ, что блокировок наших сервисов с их стороны нет, а также рекомендации обратиться к интернет-провайдеру.
  • Через день после выхода новости проблемы уже перестали фиксироваться.

Топ-4 новостей сентября из мира безопасности
Уязвимости месяца

Начало сентября выдалось относительно спокойным, и мы даже успели расслабиться. Но не тут-то было. Изменилось всё после новости про проблемы с регистрацией в Google, которая то ли есть, то ли нет. Следом пошли уязвимости. И пусть достойных внимания в этот раз было не так много, но почти все с высоким уровнем угрозы. В общем, больше томить ожиданием не будем, рассказываем.

Google больше не регистрирует аккаунты российских пользователей, но это не точно
У пользователей наблюдаются проблемы с регистрацией аккаунтов Google с использованием номеров телефонов из России. При попытке зарегистрироваться пользователи получают сообщение: «Этот номер нельзя использовать для подтверждения».
Как сообщается, проблема возникает не всегда, и некоторым все-таки удается пройти регистрацию, поэтому причины пока остаются неясными. Возможно, это связано с техническим сбоем на серверах компании или завершением контракта с сервисом, отвечающим за отправку SMS. Некоторые эксперты предпринимают попытки связать данную ситуацию с новыми санкциями США, которые вступили в силу 12 сентября, однако явной связи между этими событиями не наблюдается.
UPD: 26 сентября Минцифры подтвердили, что Google ограничил создание новых аккаунтов для россиян.
3dnews.ru/1110681/rossiyanam-stali-otkazivat-v-registratsii-googleakkaunta

Уязвимость в Ruby-SAML позволяет обходить аутентификацию в GitLab
Критическая уязвимость(CVE-2024-45409) присутствует в механизме SAML-аутентификации. Она затрагивает библиотеки ruby-saml и omniauth-saml и отмечена самым высоким уровнем угрозы — 10 из 10.
Ключевая проблема заключается в некорректной обработке селекторов XPath, что вызывает ошибочную проверку подписей в XML-ответах от SAML-сервера. Атакующий, не имея аутентификации, может создать фальшивый SAML-ответ с использованием атаки XSW (XML Signature Wrapping). Суть этой атаки состоит в том, что, обладая корректно подписанным сообщением, злоумышленник может вставить ложное сообщение в связанный XML-документ с тем же идентификатором. При этом идентификатор будет считаться действительным, что даст возможность злоумышленнику получить доступ к системе от имени любого пользователя.
В сентябре для трех версий GitLab (17.3.3, 17.2.6 и 17.1.8) выпущены обновления, устраняющие эту уязвимость.
www.opennet.ru/opennews/art.shtml?num=61893

В Acronis Backup нашли серьезную уязвимость
В сентябре 2024 года была обнаружена серьёзная уязвимость CVE-2024-8767 с уровнем угрозы оценкой 9.9 по CVSS. Уязвимость найдена в плагинах Acronis Backup, работающих на Linux-серверах с cPanel, WHM, Plesk и DirectAdmin. С ее помощью злоумышленники получают избыточные права и, как следствие, — возможность удаленного доступа к конфиденциальной информации, изменению данных и выполнению несанкционированных действий. Уязвимость затрагивает следующие версии плагинов: до 619 (cPanel), 555 (Plesk) и 147 (DirectAdmin).
Рекомендация тут одна: как можно быстрее обновить свои системы.
www.linux.org.ru/news/security/17736711

Уязвимости в PCP и Nix создают риск повышения привилегий в системе
В системе PCP (Performance Co-Pilot) выявлено две уязвимости. Первая (CVE-2024-45770) затрагивает утилиту pmpost, которая может запускаться с повышенными привилегиями, что дает возможность выполнять код с правами root при наличии доступа к учётной записи PCP и изменении символической ссылки на файл "/var/log/pcp/NOTICES". Вторая уязвимость (CVE-2024-45769) относится к фоновому процессу pcmd и вызывает обращения к памяти за пределами буфера. Однако опасность её снижена, так как приём сетевых запросов в pcmd по умолчанию отключен. Обе проблемы были исправлены в версии PCP 6.3.1.
Дополнительно, в пакетном менеджере Nix (CVE-2024-45593) обнаружена уязвимость, позволяющая записывать данные в несанкционированные области файловой системы при распаковке файлов NAR. Данная проблема была устранена в версии 2.24.6.
К тому же, была выявлена критическая уязвимость в дистрибутивах GNU/Linux, позволяющая осуществлять удалённое выполнение кода без предварительной аутентификации. Уведомления для разработчиков запланированы на 30 сентября, а публикация информации — на 6 октября. Canonical и Red Hat оценили уязвимости как критические (9.9 из 10).
www.opennet.ru/opennews/art.shtml?num=61919

Август — VDS в Амстердаме, репутация в сети и новый рецепт «1С-Битрикс: Веб-окружение»

Пролетел, пронёсся, промчался и ещё много «про», указывающих на скоротечность времени. Это мы об августе — финальной летней точке. И заодно о множестве рабочих новостей, которые успели произойти за этот месяц.



А пока вы ещё не погрузились в наш дайджест, держите совет: отложите чтение до сентября. Дайджест никуда не денется, а вот последние тёплые деньки с нами явно ненадолго — насладитесь ими на полгода вперёд!



Статьи и инструкции
Обзор изменений (и их последствий) в Linux 6.10

Несколько запоздалый, но всё-таки обзор изменений (и их последствий) в Linux 6.10
14 июля свет увидел новый 6.10 релиз ядра Linux. Завершившийся цикл разработки выдался продуктивным и содержит много интересного. С момента предыдущего релиза прошло 2 месяца, за которые изменилось больше 12 000 файлов.
В статье обсуждаем, какие нововведения появились в Linux 6.10, и что по этому поводу говорит сам Линус Торвальдс.
firstvds.ru/blog/obzor-izmeneniy-i-ikh-posledstviy-v-linux-610

Репутация в сети: что это такое и роль хостинг-провайдера в ее защите
Современные технологии позволяют быстро публиковать информацию, включая недостоверные данные о людях и компаниях. И последнее удалить сложнее всего. В 2023 году суды рассматривали 714 исков о защите репутации, многие из которых касались ложных сведений в сети.
В статье обсудим деловую репутацию в интернете, её защиту и роль хостинг-провайдеров в удалении недостоверной информации.
firstvds.ru/blog/reputaciya-v-seti-chto-eto-takoe

Что такое персональные данные, их хранение и обработка
Согласно Positive Technologies, каждая вторая хакерская атака приводит к утечке данных. 2024 год уже устанавливает рекорды: количество судебных дел о защите персональных данных в России выросло на 70%, законодательство ужесточается.
Если ваша политика по персональным данным основана на документах 2014 года, эта статья для вас. Мы расскажем, как собирать, хранить и обрабатывать персональные данные в рамках закона.
firstvds.ru/blog/chto-takoe-personalnye-dannye

Habr: самое интересное за июль
  • Как рождалась и умирала легенда. Двадцатилетняя история Skype
  • История Роберта Нойса: создателя интегральных схем и основателя Intel
  • Миссия Opportunity: скачок в исследовании Марса
  • 3D-печать для чайников. Часть 2: Разработка и подготовка моделей для печати

Новости августа

Запуск VDS в Амстердаме!

Пожалуй, главная новость прошедшего месяца — открытие заказа серверов с локацией в Амстердаме, в дата-центре euNetworks. На этой локации были запущены тарифы только с NVMe-накопителями: готовые VDS и гибкий VDS Форсаж.
В данный момент заказ VDS с этой локацией временно приостановлен — в связи с очень высоким спросом. Наши инженеры уже занимаются масштабированием кластера и установкой дополнительного оборудования, поэтому совсем скоро ожидается новое поступление серверов с этой локацией.
Подписывайтесь на наш тг-канал и следите за новостями, чтобы не пропустить.

Повышение цен на «Кибер Бэкап»
В сентябре компания «Киберпротект» повысит стоимость своих продуктов. Мы в свою очередь тоже будем вынуждены внести изменения в прайс.
С 1 сентября новая стоимость услуги «Кибер Бэкап» (ex-Acronis) составит:
  • Локальное хранилище — 9 руб/мес за 1 Гб.
  • Облачное хранилище — 12 руб/мес за 1 Гб.
Обратите внимание, что так как оплата данной услуги производится 1-го числа месяца за предыдущий месяц использования, списания по новым ценам произойдут 1 октября за сентябрь.

Рецепт «1С-Битрикс: Веб-окружение» на CentOS 9 Stream
В конце июня мы сообщали о завершении поддержки CentOS 7 и представили рецепт для Битрикс на Debian. Теперь 1С-Битрикс выпустила окружение VMBitrix 9.0.0 с переходом на CentOS 9 Stream.
Новый рецепт «1C-Битрикс: Веб-окружение» уже доступен на нашем сайте. Установка возможна только на чистый сервер, бесшовное обновление недоступно.
Если вы собираетесь развернуть проект на Битрикс, посмотрите мощный тариф «CPU.Турбо 2.0» с CPU до 5,7 ГГц — он оптимален для ресурсоемких проектов.
firstvds.ru/hosting/bitrix

Топ-9 новостей августа из мира безопасности


«Дыра» в Roundcube Webmail
Специалисты компании Sonar обнаружили критические недостатки безопасности в Roundcube Webmail, которые позволяют злоумышленникам исполнять вредоносный JavaScript в браузере пользователя, угрожая конфиденциальности данных. Так преступники могут украсть письма, контакты или пароли жертвы, а также отправлять сообщения от её имени — всё это после открытия зараженного письма.
Из нюансов: уязвимость CVE-2024-42009 может использоваться вообще без каких-либо действий от пользователя, в то время как для CVE-2024-42008 требуется всего лишь один клик.
В начале августа были выпущены обновления для версий 1.6.8 и 1.5.8, которые устранили сразу три проблемы:
  • CVE-2024-42008 — XSS уязвимость, связанная с вредоносными вложениями;
  • CVE-2024-42009 — XSS ошибка при обработке HTML-кода;
  • CVE-2024-42010 — утечка данных из-за недостаточной фильтрации CSS.
Sonar не раскрывает подробности о технических аспектах, чтобы побудить пользователей своевременно обновить ПО, так как данные уязвимости уже использовались в атаках групп хакеров APT28, Winter Vivern и TAG-70.
xakep.ru/2024/08/08/roundcube-webmail-flaws/

Проблема безопасности в PostgreSQL позволяет запускать SQL-код с правами пользователя, инициирующего pg_dump
9 августа 2024 года были представлены обновления для версий PostgreSQL 16.4, 15.8, 14.13, 13.16 и 12.20, которые исправили 56 дефектов, среди которых критическая уязвимость CVE-2024-7348 с рейтингом 8.8 из 10 по уровню опасности.
Эта уязвимость возникает из-за состояния гонки в утилите pg_dump, что предоставляет злоумышленнику, имеющему разрешения на создание и удаление объектов в СУБД, возможность выполнить произвольный SQL-код. Чтобы реализовать атаку, необходимо следить за моментом запуска pg_dump и заменить последовательность на представление или внешнюю таблицу.
Для устранения уязвимости добавлена опция «restrict_nonsystem_relation_kind», которая ограничивает доступ к не системным объектам в pg_dump.
www.opennet.ru/opennews/art.shtml?num=61677

Уязвимость в CPU AMD позволяет получить доступ к SMM
Уязвимость, известная как Sinkclose (CVE-2023-31315), выявлена в процессорах AMD. Она затрагивает возможность внесения изменений в настройки SMM (System Management Mode) и выполнения кода на этом уровне, что позволяет обойти SMM Lock. Это открывает неограниченный доступ к системной памяти и предоставляет контроль над ОС.
Причиной уязвимости стала ошибка в проверке моделезависимых регистров (MSR). Затронутыми являются процессоры AMD, производимые с 2006 года, включая модели EPYC и Ryzen. Были выпущены обновления микрокода для мобильных и десктопных версий, встраиваемые обновления ожидаются в октябре. Для удаления вредоносного кода необходимо использовать программатор SPI Flash.
www.opennet.ru/opennews/art.shtml?num=61684

Intel обновила микрокод 0x129 для Raptor Lake
Компания Intel сообщила о проблемах с процессорами Core 13-го и 14-го поколений (Raptor Lake), которые могут вызывать сбои. Для техники с уже возникшими неполадками предусмотрена замена, а новые устройства получат BIOS с микрокодом 0x129 для предотвращения неисправностей.
Обновление не решит проблемы у имеющихся процессоров, но поможет моделям K, KF и KS, ограничивая напряжение до 1,55 В. Intel продляет гарантию на два года для клиентов с неисправностями и предлагает обмен через поддержку или OEM-партнёров.
3dnews.ru/1109280/intel-opublikovala-ofitsialnoe-zayavlenie-o-sposobah-resheniya-problemi-s-protsessorami-raptor-lake

Даунгрейд-атака позволяет использовать старые уязвимости в Windows
На конференции Black Hat 2024 специалист компании SafeBreach Алон Левиев сообщил о наличии двух 0-day уязвимостей (CVE-2024-38202 и CVE-2024-21302), которые открывают возможность даунгрейд-атак на операционные системы Windows 10, 11 и Server. Такие атаки могут привести к повторной эксплуатации устаревших уязвимостей даже на полностью обновленных устройствах.И на данный момент решения для устранения этих проблем ещё не разработаны.
Даунгрейд-атаки заставляют системы возвращаться к предыдущим версиям ПО, что вновь делает их уязвимыми. Левиев подчеркнул, что с помощью этих уязвимостей можно снизить уровень защиты, затрагивая такие компоненты, как Credential Guard и Hyper-V, что открывает доступ к старым уязвимостям повышения привилегий.
В феврале 2024 года он уведомил Microsoft о данных уязвимостях, но компания всё еще занятa их исправлением. В Microsoft заявили, что пока не зафиксировали фактов эксплуатации этих уязвимостей, и рекомендовали соблюдать меры безопасности до выпуска патчей.
xakep.ru/2024/08/09/windows-downdate/

Уязвимость IPv6 в Windows
15 августа 2024 года Microsoft сообщила о серьезной уязвимости в IPv6 (CVE-2024-38063), позволяющей злоумышленникам удалённо выполнять код на Windows 10, 11 и Server из-за целочисленного переполнения в TCP/IP.
Уязвимость, выявленная экспертом из Kunlun Lab, может эксплуатироваться через специально подготовленные IPv6 пакеты без аутентификации. Отключение IPv6 не решает проблему, так как атака может быть произведена до обработки пакетов. Полное отключение IPv6 может вызвать сбои в системе. Дастин Чайлдс из Trend Micro назвал уязвимость одной из самых серьезных. Исправлена в последнем обновлении, рекомендуется установить обновления безопасности.
3dnews.ru/1109495/obnarugena-uyazvimost-windows-ugrogayushchaya-sistemam-so-vklyuchyonnim-ipv6

Компания расширяет лимиты FAT32 в Windows 11
В последней сборке Windows 11 на канале Canary компания Microsoft увеличила максимальный размер раздела FAT32 до 2 Тбайт, что превышает предыдущий лимит в 32 Гбайт. Данное обновление доступно в сборке 27686, позволяя пользователям использовать команду «format» в командной строке для создания больших разделов без помощи дополнительных утилит.
Стоит отметить, что Windows продолжает поддерживать чтение FAT32-разделов объемом более 32 Гбайт, созданных в других ОС. Однако графический инструмент форматирования сохраняет свое ограничение на уровне 32 Гбайт.
Другая новинка в 27686 — обновление Windows Sandbox Client, которое включает новые функции, такие как возможность общего доступа к папкам. Также улучшена эффективность работы аккумулятора и исправлен индикатор заряда на экране блокировки. Участники программы Windows Insider теперь могут отправлять диагностическую информацию Microsoft с ограничением в 10 Мбайт в день через Ethernet и Wi-Fi.
3dnews.ru/1109547/microsoft-uvelichila-maksimalniy-razmer-razdela-fat32-v-windows-11-s-32-gbayt-do-2-tbayt-no-poka-ne-dlya-vseh

Microsoft сломала ПК с двойной загрузкой Windows и Linux в последнем обновлении безопасности
В новом обновлении безопасности, Microsoft неожиданно нарушила работу ПК, на которых установлены Windows и Linux в режиме двойной загрузки. Цель обновления была исправить уязвимость в загрузчике GRUB, однако оно привело к сложностям с загрузкой операционной системы Linux. Пользователи Ubuntu быстро нашли способ решить этот недуг, отключив Secure Boot в BIOS и удалив политику Microsoft SBAT через терминал. Secure Boot, применяемый Microsoft для обеспечения безопасности Windows 11, оказался под угрозой и подвергся атакам на некоторых компьютерах.
3dnews.ru/1109797/poslednee-obnovlenie-bezopasnosti-microsoft-slomalo-pk-s-dvoynoy-zagruzkoy-windows-i-linux

Переход Debian 11 на LTS
Debian 11 «Bullseye» завершает стандартную поддержку и переходит на Long Term Support (LTS) до 31 августа 2026 года. Поддержка текущей версии Debian 12 продлится до 10 июня 2026 года с LTS-обновлениями до 30 июня 2028 года.
Обновления будет предоставлять команда LTS Team. Поддержка включает архитектуры i386, amd64, arm64 и armhf. Некоторые пакеты, например, такие как chromium, xen, phppgadmin, tor и другие, не будут обновляться.
С завершением LTS начнётся «Расширенное LTS» от Freexian для выбранных пакетов до 2031 года. Теперь поддержка может длиться до 10 лет.
www.opennet.ru/opennews/art.shtml?num=61707

Июль — уязвимости в GitLab и Exim, новые статьи в Базе знаний и День сисадмина

Сотрудники FirstVDS разделились на два лагеря: на тех, кто уже сходил в отпуск и сверкает на созвонах загаром, и тех, кто вот-вот туда уйдёт — этих коллег почти не видно, видимо, стараются не отсвечивать.



А тот, кто не успел вовремя уйти в отпуск — писал этот дайджест :)

Статьи и инструкции
SSH-туннели: настройка и примеры использования

Служба SSH (Secure Shell) — ключевой инструмент для администраторов на серверах под управлением Linux и Unix-подобных систем, используемый для управления удалёнными компьютерами. Протокол SSH стал стандартом администрирования благодаря своей надёжности и безопасности. Он также позволяет монтировать удалённые файловые системы (SSHFS), передавать файлы по SFTP и SCP.
В статье обсуждаем возможность создания защищённых туннелей для безопасной передачи интернет-трафика.
firstvds.ru/technology/ssh-tunnels

Установка, настройка и примеры синхронизации rsync
Важность обмена информацией в современном мире невозможно переоценить. От сохранности данных зачастую зависит не только IT-бизнес, но и частная жизнь.
В статье рассмотрим утилиту командной строки rsync (Remote Synchronization, удаленная синхронизация) — программу с открытым исходным кодом, предназначенную для передачи файлов и синхронизации данных между удалёнными компьютерами, с помощью которой можно легко и быстро сохранить и восстановить данные на сервере или персональном компьютере.
firstvds.ru/technology/primery-sinhronizacii-rsync-v-linux

Habr: самое интересное за июль
  • Подборка эргономичных мышек для работы и игр
  • «Трон» — пионер компьютерной графики в кино
  • Почему цифровые покупки нам не принадлежат

Новости июля
SysAdmin Day: поздравляем сисадминов новой акцией!

Системные администраторы — настоящие супергерои, спасающие мир от цифровых катастроф. Без них вообще никуда!
Обойти такой день стороной мы не могли и запустили акцию с промокодом на скидку 25% для заказа новых VDS.
Забрать подарки можно на странице акции, там же все условия.
firstvds.ru/actions/sysadmin-day-2024

Бесплатный месяц ispmanager 6 lite при заказе VDS
Возобновили совместную акцию с партнёрами из ispmanager!
При аренде нового сервера на панель управления ispmanager 6 lite в первый месяц будет действовать скидка 100%. В акции участвуют почти все тарифы — как готовые, так и гибкие конфигурации. За исключением VDS ARM, VDS Storage и серверов для Windows.


Лето — время писать статьи!
Если вы разбираетесь в сфере IT, регулярно пишете статьи, ведёте аккаунт на Хабре или хотите попробовать свои писательские силы — то у нас отличное предложение!
До 29 августа присылайте статьи для нашего блога на Хабре и получайте до 22 000 ₽ за каждый материал.
firstvds.ru/actions/summertime

Повышение цен на VDS и автобэкапы
С 9 июля 2024 года стоимость аренды VDS и резервного копирования увеличится. Изменение коснётся всех VDS, кроме всех версий спецтарифов «Freddy», «Jason», «First John», «Восток» и VDS ARM. Также с 9 августа повысится стоимость тарифов группы реселлинга. Посмотреть новые цены можно в новостях.

Топ новостей из мира безопасности: уязвимость в RADIUS, GitLab и Exim

Сегодня атаки и уязвимости мало кого могут удивить, однако следить за событиями необходимо — таков путь. В начале месяца мы писали об уязвимости в OpenSSH, позволяющей удалённо выполнить код с правами root без аутентификации. А сегодня расскажем, какие ещё уязвимости наши специалисты отметили, как важные.

Уязвимость в протоколе RADIUS, позволяющая подделать ответ при аутентификации
Группа исследователей из США разработала атаку на протокол RADIUS под названием Blast-RADIUS, позволяющую обойти аутентификацию без пароля.
Атакующий проводит MITM-атаку, перехватывая UDP-пакеты и заменяя Access-Reject на Access-Accept. Уязвимость связана с алгоритмом MD5, уязвимым к коллизиям, что позволяет создать поддельный хэш за 3-6 минут.
Код атаки не опубликован, но в проект hashclash переданы изменения для улучшения коллизий MD5. Уязвимость в RADIUS-сервере FreeRADIUS устранена в версиях 3.0.27 и 3.2.5 путём применения атрибута Message-Authenticator и настройки ограничения обработки пакетов с атрибутом Proxy-State.
www.opennet.ru/opennews/art.shtml?num=61517

Критическая уязвимость в GitLab
Опубликованы обновления GitLab 17.1.2, 17.0.4 и 16.11.6, которые устраняют 6 уязвимостей. Одна из проблем (CVE-2024-6385) имеет критический уровень опасности и позволяет запускать конвейеры CI под произвольным пользователем.
Это даёт атакующему доступ к внутренним репозиториям и закрытым проектам. Информация об уязвимости передана в GitLab через программу на HackerOne. Подробнее о проблеме станет известно через 30 дней после публикации исправления.
www.opennet.ru/opennews/art.shtml?num=61525

1,5 миллиона почтовых серверов оказались под угрозой взлома из-за уязвимости в Exim
Специалисты по кибербезопасности обнаружили уязвимость CVE-2024-39929 в почтовом сервере Exim, позволяющую отправлять вредоносные письма.
Из 6,5 миллионов SMTP-серверов, 4,8 миллиона работают на Exim, 1,5 миллиона используют уязвимые версии. Уязвимость имеет критичность 9,1 по CVSS.
Хотя активного использования ещё не зафиксировано, эксперты предупреждают о вероятных атаках. Рекомендуется обновить Exim до версии 4.98 для защиты. Уязвимость затрагивает версии до 4.97.1 включительно.
3dnews.ru/1107854/uyazvimost-v-exim-ugrogaet-bezopasnosti-15-milliona-pochtovih-serverov