Сентябрь — 256 день года, битва за котиков и новые статьи на Хабре

«У вас есть Сплюш? Меняю на Драматяша!» — примерно вот так прошли все 12 дней празднования Дня программиста в нашем телеграме.

Кошачье безумие било все рекорды по общению в тг-чате: за первый день мы получили больше 9000 сообщений, и 90% из них были о котиках и мемах с ними!



Но сейчас уже все вернулось на круги своя — котики продолжают радовать всех вокруг, Хакермен практически признал, что был неправ, а в чате снова стало спокойно.

Статьи и инструкции


А вы точно программист? Статья без котиков, но с ответами
В этом году мы решили отпраздновать День программистов масштабно: запустили акцию с растущей скидкой, добавили рецепт GitLab и, конечно, подготовили увлекательную игру.

По сюжету Хакермен решил спасти человечество от прокрастинации, удалив из интернета все-все мемы с котиками. Наши пользователи могли их спасти, меняясь карточками и решая непростые загадки.

Если вы всё пропустили или, наоборот, участвовали и до сих пор не понимаете, как надо было правильно расположить перфокарту — заходите в нашу статью. В ней можно погрузиться в игровую атмосферу и посмотреть все загадки с решениями. firstvds.ru/blog/vy-tochno-programmist-statya-bez-kotikov-no-s-otvetami



День программиста: вспоминаем историю праздника и интересные факты о профессии
И опять про День программиста :) К концу 2024 года в мире ожидается 28,7 млн программистов — это чуть больше, чем население Австралии. Лидером по количеству этих специалистов является Китай: там их почти в два раза больше, чем в США, и в восемь раз больше, чем в России.

Ко Дню программиста мы решили написать статью с интересными фактами о данной профессии. Когда отмечают День программиста, какая история у праздника, как сейчас обстоят дела с этой профессией в России — все это в нашей статье. firstvds.ru/blog/den-programmista

Начало работы с GitLab после автоматической установки из рецепта
Одним из подарков ко Дню программиста было добавление рецепта GitLab. Хоть акция и закончилась, рецепт доступен для установки.

GitLab — это веб-платформа для управления проектами и репозиториями программного кода, работа которой основана на популярной системе контроля версий Git. Подробнее про установку рецепта рассказываем в инструкции. firstvds.ru/technology/gitlab_ce

Habr: самое интересное за сентябрь
  • Не дай мозгу себя обмануть: 5 когнитивных искажений, распространённых в IT
  • DSS-43: единственная антенна, которая поддерживает связь с Вояджером-2
  • Забытая история китайских клавиатур
  • Ваш цифровой след: Погружение в форензику Windows


Стань автором FirstVDS
Ищем технических писателей для блога на Хабре
firstvds.ru/blog/ischem-avtorov-dlya-bloga-firstvds-na-habr-i-vc

Новости, точнее новость сентября
Проблемы с доступностью сервисов со стороны Ростелекома

9 сентября от наших пользователей стали поступать жалобы на недоступность некоторых сервисов со стороны провайдера Ростелеком. Блокировка Ростелеком затронула различные протоколы VPN и другие сервисы, которые используют протокол UDP. Также поступали жалобы на недоступность DNS-серверов.
На наше обращение в ЦМУ ССОП (подразделение РКН, отвечающее за мониторинг и управление российским сегментом сети «Интернет») был получен ответ, что блокировок наших сервисов с их стороны нет, а также рекомендации обратиться к интернет-провайдеру.
  • Через день после выхода новости проблемы уже перестали фиксироваться.

Топ-4 новостей сентября из мира безопасности
Уязвимости месяца

Начало сентября выдалось относительно спокойным, и мы даже успели расслабиться. Но не тут-то было. Изменилось всё после новости про проблемы с регистрацией в Google, которая то ли есть, то ли нет. Следом пошли уязвимости. И пусть достойных внимания в этот раз было не так много, но почти все с высоким уровнем угрозы. В общем, больше томить ожиданием не будем, рассказываем.

Google больше не регистрирует аккаунты российских пользователей, но это не точно
У пользователей наблюдаются проблемы с регистрацией аккаунтов Google с использованием номеров телефонов из России. При попытке зарегистрироваться пользователи получают сообщение: «Этот номер нельзя использовать для подтверждения».
Как сообщается, проблема возникает не всегда, и некоторым все-таки удается пройти регистрацию, поэтому причины пока остаются неясными. Возможно, это связано с техническим сбоем на серверах компании или завершением контракта с сервисом, отвечающим за отправку SMS. Некоторые эксперты предпринимают попытки связать данную ситуацию с новыми санкциями США, которые вступили в силу 12 сентября, однако явной связи между этими событиями не наблюдается.
UPD: 26 сентября Минцифры подтвердили, что Google ограничил создание новых аккаунтов для россиян.
3dnews.ru/1110681/rossiyanam-stali-otkazivat-v-registratsii-googleakkaunta

Уязвимость в Ruby-SAML позволяет обходить аутентификацию в GitLab
Критическая уязвимость(CVE-2024-45409) присутствует в механизме SAML-аутентификации. Она затрагивает библиотеки ruby-saml и omniauth-saml и отмечена самым высоким уровнем угрозы — 10 из 10.
Ключевая проблема заключается в некорректной обработке селекторов XPath, что вызывает ошибочную проверку подписей в XML-ответах от SAML-сервера. Атакующий, не имея аутентификации, может создать фальшивый SAML-ответ с использованием атаки XSW (XML Signature Wrapping). Суть этой атаки состоит в том, что, обладая корректно подписанным сообщением, злоумышленник может вставить ложное сообщение в связанный XML-документ с тем же идентификатором. При этом идентификатор будет считаться действительным, что даст возможность злоумышленнику получить доступ к системе от имени любого пользователя.
В сентябре для трех версий GitLab (17.3.3, 17.2.6 и 17.1.8) выпущены обновления, устраняющие эту уязвимость.
www.opennet.ru/opennews/art.shtml?num=61893

В Acronis Backup нашли серьезную уязвимость
В сентябре 2024 года была обнаружена серьёзная уязвимость CVE-2024-8767 с уровнем угрозы оценкой 9.9 по CVSS. Уязвимость найдена в плагинах Acronis Backup, работающих на Linux-серверах с cPanel, WHM, Plesk и DirectAdmin. С ее помощью злоумышленники получают избыточные права и, как следствие, — возможность удаленного доступа к конфиденциальной информации, изменению данных и выполнению несанкционированных действий. Уязвимость затрагивает следующие версии плагинов: до 619 (cPanel), 555 (Plesk) и 147 (DirectAdmin).
Рекомендация тут одна: как можно быстрее обновить свои системы.
www.linux.org.ru/news/security/17736711

Уязвимости в PCP и Nix создают риск повышения привилегий в системе
В системе PCP (Performance Co-Pilot) выявлено две уязвимости. Первая (CVE-2024-45770) затрагивает утилиту pmpost, которая может запускаться с повышенными привилегиями, что дает возможность выполнять код с правами root при наличии доступа к учётной записи PCP и изменении символической ссылки на файл "/var/log/pcp/NOTICES". Вторая уязвимость (CVE-2024-45769) относится к фоновому процессу pcmd и вызывает обращения к памяти за пределами буфера. Однако опасность её снижена, так как приём сетевых запросов в pcmd по умолчанию отключен. Обе проблемы были исправлены в версии PCP 6.3.1.
Дополнительно, в пакетном менеджере Nix (CVE-2024-45593) обнаружена уязвимость, позволяющая записывать данные в несанкционированные области файловой системы при распаковке файлов NAR. Данная проблема была устранена в версии 2.24.6.
К тому же, была выявлена критическая уязвимость в дистрибутивах GNU/Linux, позволяющая осуществлять удалённое выполнение кода без предварительной аутентификации. Уведомления для разработчиков запланированы на 30 сентября, а публикация информации — на 6 октября. Canonical и Red Hat оценили уязвимости как критические (9.9 из 10).
www.opennet.ru/opennews/art.shtml?num=61919

Пополняйте баланс и получайте кешбэк!



До 2 сентября на платежи с рекомендованными суммами и выше будет начисляться кешбэк 10%. Во время акции можно пополнять баланс неограниченное количество раз, максимальной суммы кешбэка нет.

Пополнять баланс можно любым доступным способом, посмотреть рекомендованную сумму можно через форму пополнения баланса на сайте или в Личном кабинете.

https://firstvds.ru

Февраль — OSI для начинающих, совместная акция с ispmanager и новые статьи на Хабре



Призываем весну прийти не только в календарь, но и на уличный термометр. На глобальное потепление надежды нет, приходится справляться самостоятельно. Пока мы перебираем в памяти все подходящие заклинания — посмотрите, чем ещё мы занимались в феврале.


Статьи и инструкции

На заре становления интернета международная организация по стандартизации ISO предприняла масштабную попытку навести порядок в компьютерных сетях и создала набор правил, которому должны были следовать подключённые друг к другу сетевые устройства при обмене данными. Так на свет появилась эталонная сетевая модель OSI.
В новой статье обсуждаем важность этой модели, историю её появления и принципы работы. А также говорим о преимуществах, недостатках и существующих альтернативах.
firstvds.ru/technology/setevaya-model-osi-dlya-nachinayuschikh

Habr: самое интересное за февраль
Даже за самый короткий месяц наши авторы умудряются выпустить кучу новых материалов. Чтобы не перечислять всё, в дайджест собрали только самое интересное. Сегодня говорим о прелестях фотошопа, математическом юморе и автозаправках с водорослями вместо бензина:
  • Мягкие экзоскелеты. Когда сила — не главное
  • Топливо из водорослей и электричество из воздуха: какие есть перспективные источники энергии
  • История визуального редактирования: как Photoshop изменил восприятие изображений
  • Трудная история семьи инженеров, построивших Бруклинский мост
  • Дни генеративных ИИ сочтены? Инструмент для «отравления» датасетов добился неожиданной популярности
  • Эффект дежавю: норма или симптом заболевания?
  • Как шутят математики. Решение первого шифра Олама

Не Хабром единым: новые статьи на VC

Работоспособности наших авторов можно только позавидовать — ребят хватило не только на Хабр, но и на новые статьи на VC. В феврале обсуждали, что слушать при готовке спагетти, как правильно контролировать удалёнщиков и как Nvidia выбилась в лидеры по производству AI-чипов:
  • От фольклора до нейросетей: как бизнес использует любовь к музыке
  • Как управлять удаленной командой
  • Как Nvidia снимает сливки с AI-революции

Станьте автором FirstVDS
Ищем технических писателей для блога на Хабре!
firstvds.ru/blog/ischem-avtorov-dlya-bloga-firstvds-na-habr-i-vc

Новости
Уходящий месяц был не особо богат на новости — всё потому что мы активно готовимся к весенним запускам. Но кое-чем мы всё-таки можем вас порадовать.

Совместная акция с ispmanager
При заказе любого нового VDS можно бесплатно получить ispmanager 6 lite на месяц. Для этого просто закажите сервер, а панель со скидкой 100% на 1 месяц добавится автоматически.
Скидка действует при заказе любого нового сервера — как готовой конфигурации, так и гибкого тарифа CPU.Турбо, Форсажа, Атланта или Storage.
Акция будет активна до 21 мая 2024 года.
firstvds.ru/blog/dopolnitelnyy-den-v-fevrale-i-dopolnitelnye-skidki-na-ispmanager

Февральские уязвимости
Уязвимость в runc, позволяющая выбраться из контейнеров Docker и Kubernetes

В инструментарии для запуска изолированных контейнеров runc, применяемом в Docker и Kubernetes, найдена уязвимость CVE-2024-21626, позволяющая получить доступ к файловой системе хост-окружения из изолированного контейнера. В ходе атаки злоумышленник может перезаписать некоторые исполняемые файлы в хост-окружения и таким образом добиться выполнения своего кода вне контейнера. Уязвимость также может быть эксплуатирована в случае запуска в контейнере процессов командой «runc exec» через привязку рабочего каталога к пространству имён хостового окружения. Уязвимость устранена в выпуске runc 1.1.12. В runtime LXC, crun и youki, альтернативных runc, проблема не проявляется.
www.opennet.ru/opennews/art.shtml?num=60545

Критическая уязвимость в Exchange использовалась как zero-day
Специалисты Microsoft обнаружили баг в Exchange Server, который использовался хакерами в качестве уязвимости нулевого дня еще до выхода патча. Уязвимость (CVE-2024-21410) позволяла неаутентифицированным злоумышленникам повысить привилегии в рамках атак типа NTLM relay, направленных на уязвимые версии Exchange Server. Обновление Exchange Server 2019 Cumulative Update 14 (CU14) устранило эту уязвимость путём активации NTLM credentials Relay Protections. Также компания объявила, что расширенная защита Windows Extended Protection будет включена по умолчанию на всех серверах Exchange после установки CU14.
xakep.ru/2024/02/16/cve-2024-21410-0day/

Уязвимости KeyTrap и NSEC3, затрагивающие DNSSEC
В различных реализациях протокола DNSSEC выявлены две уязвимости, затрагивающие DNS-резолверы BIND, PowerDNS, dnsmasq, Knot Resolver и Unbound. Уязвимости позволяют добиться отказа в обслуживании DNS-резолверов, выполняющих валидацию при помощи DNSSEC, из-за возникновения высокой нагрузки на CPU, мешающей обработке других запросов. Для совершения атаки достаточно отправить на DNS-резолвер, использующий DNSSEC, запрос, приводящий к обращению к специально оформленной DNS-зоне на сервере злоумышленника.
www.opennet.ru/opennews/art.shtml?num=60599

Хакеры атакуют RCE-уязвимость в Brick Builder Theme для WordPress
Обнаружена критическая уязвимость, связанная с удалённым выполнением произвольного кода в теме Brick Builder Theme для WordPress — используется для запуска вредоносного PHP-кода на уязвимых сайтах. Проблема связана с вызовом функции eval в prepare_query_vars_from_settings и позволяет неавторизованному пользователю добиться выполнения произвольного PHP-кода. Производитель Brick Builder Theme сообщал, что никаких доказательств эксплуатации проблемы хакерами пока не обнаружено, однако пользователям настоятельно рекомендовалось как можно скорее обновиться до последней версии.
xakep.ru/2024/02/20/brick-builder-theme-rce/

Важная информация! Платежи через QIWI временно недоступны



21 февраля ЦБ объявил об отзыве лицензии у КИВИ Банка (QIWI). Причиной названо нарушение федеральных законов, а также нормативных актов Банка России.

В связи с этим решением мы вынуждены временно приостановить принятие платежей через QIWI. Пока ситуация не нормализуется, мы просим вас отключить регулярные платежи, настроенные на QIWI, и выбрать действующий способ оплаты.

В данный момент доступны следующие способы оплаты:
  • Банковский перевод
  • Банковские карты
  • SberPay
  • СберБанк Онлайн
  • Система быстрых платежей
  • ЮMoney

Итоги акции в честь 21-летия FirstVDS



Вот мы и отметили день полного совершеннолетия нашего проекта. Да ещё так, что после вечеринки не досчитались самого ценного сотрудника — космонавта Джона. Целую неделю искали его везде, где только могли… Искали бы и дальше, если бы Джон не нашёлся сам — всё это время он работал и отвечал на тикеты. Получается, зря переполошились. Зато праздник получился незабываемым, такое точно надолго запомнится. Спасибо всем, кто принял участие в поисках Джона, шёл по следу и разгадывал загадки!

А теперь настало время узнать имена счастливчиков, которым повезло стать победителями нашего розыгрыша. Запись трансляции можно посмотреть тут.


Итоги праздничного розыгрыша с призовым фондом в 600 000 рублей
Сегодня, 14 декабря, мы разыграли классную технику, уникальный мерч, 5 VDS со 100% скидкой на год, сертификаты на пополнение баланса и подарки от партнёров. Объявляем победителей!

Игровой ПК ARDOR GAMING EVO X031 на базе Intel Core i7-12700KF, 32 Гб DDR5, GeForce RTX 4070 Ti, M2 SSD 1000 ГБ — ID 1084542

34" монитор Samsung Odyssey OLED G8 — ID 523106

AR-очки Rokid Max — ID 1141677

Портативная аудиосистема JBL PARTYBOX 310 — ID 1085961

Экшн-камера GoPro HERO 11 — ID 1087592

Портативная колонка JBL Pulse 5 — ID 1120567
  • 10 промокодов на скидку 21% на любой курс учебного центра Слёрм (1143874 653960 1119129 1045083 1142036 330158 1141206 211618 1112200)
  • 10 комплектов мерча (1143972 1142361 1073630 1016085 1101369 1135631 1099065 1075357 496266 661581)
  • 10 сертификатов AlphaSSL со 100% скидкой на год (178466 1144924 140078 546351 1144866 417507 660553 1020548 1116930 1131528)
  • 5 любых новых готовых конфигураций VDS со 100% скидкой на 12 месяцев (1131353 1145010 20395 29150 495083)
  • 5 лицензий на панель «ispmanager lite» со 100% скидкой на год (1032256 342219 437969 22057 29112)
  • 3 сертификата для пополнения баланса на проекте CLO (10 000 рублей — 647140 20 000 рублей — 1119612 30 000 рублей — 937184)

С каждым из победителей мы свяжемся лично и подробно расскажем, как получить свой приз.

Будем рады увидеть вас снова на нашем 22-летии, но до этого нас ждёт ещё много интересных акций и активностей. Чтобы точно ничего не пропустить, подписывайтесь на телеграм-канал и вступайте в чат, у нас классное комьюнити :)

P.S. До конца декабря выпустим статью с решением всех загадок, следите за обновлениями.

Июль — День сисадмина, руководство по Linux и снижение цен на SSL-сертификаты

Приветы!
Июльский дайджест всегда особенный, ведь он выходит прямо перед Днём сисадмина. Ходят слухи, что админ, познавший дзен, силой мысли может не только ребутнуть комп, но и прокинуть патч-корд в соседний дата-центр. Без шуток, эти люди настоящие супергерои, их вклад в работу сложно переоценить. Но все поздравления — завтра, а сегодня поделимся новостями за прошедший месяц.


Статьи и инструкции
Руководство начинающего сисадмина

Мы не только постоянно развиваем собственные профессиональные качества, но и стремимся помогать другим пользователям погружаться в IT и получать новые навыки. И день сисадмина — отличный повод напомнить про наши гайды по Linux и бесплатный видеокурс «Базовое администрирование Linux-серверов», который мы создали вместе с учебным центром Слёрм, чтобы вы могли прокачать навыки, которые необходимы начинающему админу.

Habr: самое интересное за июль
Как говорится, не администрированием единым. В нашем блоге на Хабре мы пишем статьи на самые разные темы. В июле, например, рассказывали, какие опенсорс-библиотеки помогут начинающим дата-сайентистам, как можно использовать новый фреймворк Kirigami от KDE, чем отличается тестирование на реальном устройстве и эмуляторе, а также осветили много других тем, от искусственного интеллекта до космоса.
  • Опенсорс-библиотеки для Python: 40+ вариантов, как упростить жизнь начинающего дата-сайентиста
  • Изучаем Kirigami от KDE: примеры разработки приложений
  • Радиоприёмник на микросхеме от авторов первого в мире серийного компьютера
  • Чем отличается тестирование на эмуляторах, фермах и физических устройствах
  • Шифровальщик Loki Locker: реальная опасность для малого и среднего бизнеса по всему миру


Как ChatGPT может помочь джуну устроиться на работу
Нейросети становятся популярнее с каждым днем. Некоторые считают, что со временем ИИ заменит большинство IT-профессий, другие же говорят, что нейросеть — отличный помощник, но вытеснить человеческий труд не сможет. Мы присоединяемся к сторонникам второго лагеря и в новой статье попробуем использовать Chat GPT, чтобы найти работу для начинающего специалиста.
vc.ru/chatgpt/747029-kak-chatgpt-mozhet-pomoch-dzhunu-ustroitsya-na-rabotu

Новости
А теперь к новостям июля.

День сисадмина уже завтра!
Приглашаем отметить День сисадмина вместе с нами!
Уже завтра мы будем праздновать один из наших главных профессиональных праздников — День системного администратора. Шаманские бубны уже достали, свитеры тоже, осталось только заварить крафтовый чай и дождаться начала вечеринки!
Ждём вас 28 июля в 10:00 по мск на сайте и в тг-канале FirstVDS. В праздничном меню: скидки 25% на заказ VDS, сертификаты на пополнение баланса номиналом 150 рублей и розыгрыш подарков для истинных сисадминов.
t.me/TakeFirstNews

SSL-сертификаты GlobalSign стали ещё дешевле
Мы снизили цены на все SSL-сертификаты GlobalSign: AlphaSSL, AlphaSSL Wildcard, DomainSSL, DomainSSL Wildcard, ExtendedSSL, Organization SSL, OrganizationSSL Wildcard. Сертификаты GlobalSign доступны для заказа как физическим, так и юридическим лицам из России и Беларуси. Не упустите возможность защитить свой сайт по выгодной цене.
firstvds.ru/services/ssl_certificate


Успейте забрать выделенный сервер со скидкой 35%
До конца акции на сайте FirstDEDIC осталось всего несколько дней. Только до 31 июля 23:59 по мск вы можете заказать любую гибкую конфигурацию выделенного сервера на базе AMD Ryzen 9 3900X (3,8-4,6 ГГц, 12 ядер) со скидкой 35%. При этом скидка применится на весь единовременно оплаченный период — 1, 3, 6 или 12 месяцев.

Уязвимости
Червь P2PInfect, атакующий серверы Redis

Исследователи обнаружили нового червя P2PInfect, создающего свою P2P-сеть и распространяющего вредоносное ПО без использования централизованных управляющих серверов. Для атаки на Linux-системы используется исправленная в апреле прошлого года критическая уязвимость (CVE-2022-0543) в пакетах с Redis для Ubuntu и Debian, позволяющая выполнить произвольный код на языке Lua на удалённом сервере и обойти механизм sandbox-изоляции окружения для выполнения скриптов в Redis.
www.opennet.ru/opennews/art.shtml?num=59473

Уязвимость в реализации ssh-agent OpenSSH
Специалисты по безопасности обнаружили удалённо эксплуатируемую уязвимость в реализации ssh-agent OpenSSH, позволяющую выполнить код в системе, предоставившей доступ к ssh-agent для хоста на другом конце SSH-соединения. Проблема связана с наличием в ssh-agent поддержки загрузки модулей PKCS#11, которая может быть инициирована в том числе через проброшенный на другую систему unix-сокет к ssh-agent. Уязвимость устранена в выпуске OpenSSH 9.3p, в нём по умолчанию запрещены запросы на загрузку модулей PKCS#11.
www.opennet.ru/opennews/art.shtml?num=59469

Три уязвимости в ядре Linux
В ядре Linux обнаружены три уязвимости, позволяющие локальному пользователю выполнить свой код на уровне ядра. Уязвимость в подсистеме Netfilter проявляется начиная с ядра 5.9, исправление проблемы пока доступно только в виде патча. Уязвимость в модуле nf_tables наблюдается еще с версии ядра 3.13, исправляется установкой патча. В классификаторе трафика tcindex проблема решена через удаление модуля tcindex из ядра, начиная с ветки 6.3. В пакете с ядром для Ubuntu и Debian уязвимость устранена в апреле.
www.opennet.ru/opennews/art.shtml?num=59409

Апрель — космическое путешествие, VDS на ARM и день рождения CLO

Месяц выдался насыщенным. И День космонавтики отметили, и несколько важных релизов сделали, а теперь празднуем день рождения проекта CLO! В общем, скучать не приходится. Но даже в такой суете не могли оставить вас без свежего дайджеста.



Статьи и инструкци
Как создать корпоративную почту на своём домене
Клиенты и партнёры будут больше доверять компании, у которой есть почта с собственным адресом — она выглядит более серьёзно и лучше запоминается. Чтобы вы могли настроить такую почту на своём сервере, мы вместе с коллегами из ispmanager приготовили для вас статью.
firstvds.ru/technology/kak-sozdat-korporativnuyu-pochtu-na-svoyom-domene

Читать
Habr: самое интересное за апрель

Кажется, об ИИ сейчас не говорит только ленивый. Мы тоже активно разбираемся в теме, чтобы быть наготове, если вдруг придётся отправиться в прошлое и сражаться со Скайнет. Статью об этом ещё не написали, но выпустили много других. Заглядывайте в наш блог на Хабре, там много интересного.
  • Новое исследование: Microsoft утверждает, что GPT-4 показывает «зачатки настоящего искусственного интеллекта»
  • Мгновенное создание видео — следующий скачок в ИИ-технологиях
  • Компьютерный синдром: личный опыт сохранения зрения в эпоху цифровых технологий
  • Быстрее, больше, сильнее: фреймворки Python с параллельной обработкой данных

Когда провал полезнее успеха: как ошибка выжившего вредит бизнесу
Ошибка выжившего заставляет нас приходить к выводу, пользуясь неполными данными, мешает видеть всю картину происходящего. Один случайный успех затмевает сотни неудач. В новой статье на VC рассказываем, как подойти к делу, чтобы сделать правильные выводы и не попасться на удочку когнитивного искажения.
vc.ru/hr/669954-kogda-proval-poleznee-uspeha-kak-oshibka-vyzhivshego-vredit-biznesu

Новости
А теперь к новостям апреля.

Космическое путешествие подошло к концу. Подводим итоги

Итоги космического путешествия
В честь Дня космонавтики мы предложили клиентам собрать космический корабль и отправиться в путешествие, чтобы найти планету X. Те, кто успешно справился с поисками, получили скидки на серверы и сертификаты на пополнение баланса, а также возможность выиграть один из 12 боксов с нашим мерчем.
Итоги розыгрыша опубликованы в нашем тг-канале. Спасибо каждому за активность! :) Поделиться впечатлениями и оставить фидбэк можно в чате.


Запустили новый тариф VDS на ARM-архитектуре
В качестве эксперимента развернули новый гибкий тариф на базе высоко энергоэффективного процессора Ampere Altra Max M128-30 (3 ГГц, 128 ядер). На тарифе доступно до 16 ядер, до 32 Гб оперативной памяти и до 960 Гб NVMe-накопителя. Так как тариф запущен в статусе «бета», он имеет некоторые ограничения и заказать его можно только через Личный кабинет.


CLO: добавили возможность выходить в интернет через NAT
Добавили возможность включения виртуального роутера с внешним IP-адресом. Теперь серверы проекта CLO могут получить доступ к данным вне локальной сети через NAT. Больше нет необходимости покупать внешние IP-адреса для каждого сервера, при включении роутера оплата будет списываться только за IP самого роутера.


Отмечаем день рождения CLO!
В апреле CLO исполнилось 3 года. За это время команда проекта провела большую работу, добавила много полезных фич и удобных инструментов. Это заслуга не только разработчиков, но и клиентов, которые активно участвовали в развитии проекта и помогали своей обратной связью. Чтобы отметить день рождения вместе, ребята из CLO запустили акцию и до 3 мая дарят бонусы:
  • скидку 50% на 3 месяца всем новым клиентам на любые услуги по промокоду HBDCLO3,
  • кешбэк 30% на все платежи, совершённые во время акции — сработает как для новых, так и для действующих клиентов.

Уязвимости и релизы
Релиз ядра Linux 6.3

Линус Торвальдс представил релиз ядра Linux 6.3. Новая версия ядра Linux содержит много изменений и доработок, в том числе: чистку устаревших ARM-платформ и графических драйверов, продолжение интеграции поддержки языка Rust, утилиту hwnoise, поддержку древовидных структур red-black в BPF, режим BIG TCP для IPv4, встроенный тест производительности Dhrystone, возможность запрета исполнения в memfd.
www.opennet.ru/opennews/art.shtml?num=59022

Релиз Ubuntu 23.04
Разработчики выпустили новую версию дистрибутива Ubuntu 23.04 Lunar Lobster. Среди основных изменений: рабочий стол обновлён до выпуска GNOME 44, добавлена новая минималистичная сборка Netboot весом 143 Мб, усовершенствована работа с обновлениями пакетов в формате snap, задействован новый установщик на базе Flutter UI и новая редакция инсталлятора Subiquity.
www.opennet.ru/opennews/art.shtml?num=59007

Уязвимость в ядре Linux 6.2, позволяющая обойти защиту от атак Spectre v2
Обнаружена уязвимость в ядре Linux 6.2, которая приводит к отключению защиты от атак Spectre v2 и позволяет получить доступ к памяти процессов, выполняемых в разных потоках на одном физическом ядре процессора. Проблема затрагивает только ядро Linux 6.2 и была вызвана некорректной реализацией оптимизаций, призванных снизить накладные расходы при защите от Spectre v2. Уязвимость устранена в экспериментальной ветке ядра Linux 6.3.
www.opennet.ru/opennews/art.shtml?num=58981

Исправлен ряд уязвимостей в Git
Опубликованы корректирующие выпуски Git, в которых устранено пять уязвимостей, позволяющих перезаписать файлы или выполнить свой код. В качестве обходных путей для защиты от уязвимостей рекомендуется избегать выполнения команды «git apply --reject» при работе с непроверенными внешними патчами и проверять содержимое $GIT_DIR/config перед запуском команд «git submodule deinit», «git config --rename-section» и «git config --remove-section» при работе с не заслуживающими доверия репозиториями.Также устранены три уязвимости, проявляющиеся только на платформе Windows.
www.opennet.ru/opennews/art.shtml?num=59033

Январь — новогодние обещания, Атлант 3.0 и базы данных на CLO

Сколько лет прошло, всё о том же гудят провода — как мы с нового года начинаем новую жизнь. Но кто ж нам запретит пытаться? Как и обещали, в 2023-м вас ждёт много интересных обновлений. Начинаем уже сейчас!

В январском дайджесте рассказываем, какое обновление получил наш самый надёжный тариф «Атлант», показываем первый в этом году релиз от CLO и традиционно делимся полезными инструкциями и статьями.

Статьи и инструкции
Как настроить почтовый клиент для работы с email?

Чтобы работать с электронной почтой, вам нужен почтовый клиент. Для каждой операционной системы существуют различные клиенты, при этом не важно, на какой ОС работает сам почтовый сервер. В статье пошагово объясняем, как настроить почтовый клиент, на примере Mozilla Thunderbird.
firstvds.ru/technology/kak-nastroit-pochtovyy-klient-dlya-raboty-s-email

Как настроить серверы имён на VDS без ISPmanager
Если вам необходимо обеспечить работу серверов имён на своём VDS, используйте нашу инструкцию — расписали порядок действий как для серверов с ОС Linux, так и с Windows. Там же рассказываем, как проверить работоспособность DNS-сервера.
firstvds.ru/technology/nastroyka-servera-imen-dns-server-na-vds-bez-ispmanager

Habr: самое интересное за январь
  • Вот и первый месяц нового года за плечами, успели втянуться в рабочий ритм? Наши авторы уже трудятся в поте лица — всё самое-самое в нашей подборке.
  • 7 шагов по организации пространства в серверной стойке
  • Технология ABENICS: революция в области механики?
  • История развития паролей и средств их хранения
  • Исследование сна от MIT: как высыпаться и повысить свою продуктивность
  • Обзор OWASP ZAP. Сканер для поиска уязвимостей в веб-приложениях

Что такое тихое увольнение и почему его боятся американские корпорации
Не менее половины работающих американцев практикуют «тихое увольнение» — обычно это признак того, что менеджменту пора пересмотреть свои отношения с коллективом. Разбираем новый тренд с точки зрения науки, выясняем, почему так происходит и чем это вредит компаниям, а также ищем эффективный выход из ситуации.

Новости
А теперь к новостям января.

Прокачали VDS Атлант до версии 3.0
Обновили наш самый надёжный тариф «Атлант» до версии 3.0 — вот уж по-настоящему мощное начало года! Теперь вы можете собрать VDS с характеристиками:
  • до 192 ядер,
  • до 768 Гб оперативной памяти,
  • до 8 Тб независимого хранилища Ceph на базе NVMe.
И приятный бонус — для нового «Атланта» можно бесплатно подключить автобэкапы.


Релиз облачных баз данных на CLO
Клиентам CLO теперь доступен сервис облачных баз данных. Чтобы задеплоить MySQL и PostgreSQL, достаточно просто заполнить форму в Личном кабинете — базы данных развернутся автоматически, а наши специалисты возьмут на себя мониторинг доступности и восстановление работы сервиса в случае непредвиденных ситуаций.
clo.ru/help/dbaas

Уязвимости и релизы
Уязвимость в nftables позволяет выполнить код на уровне ядра

Исследователи обнаружили уязвимость в Netfilter, подсистеме ядра Linux. Злоумышленник может использовать её, чтобы поднять привилегии локального пользователя и выполнить код на уровне ядра. Проблема проявляется с выпуска ядра 5.5 и вызвана ошибкой в арифметической операции для определения размера данных, извлекаемых из заголовка VLAN. Исправление пока доступно в форме патча.
www.opennet.ru/opennews/art.shtml?num=58480

В процессорах AMD Ryzen и EPYC исправлено более 30 уязвимостей
Компания AMD сообщила о 31 уязвимости в своих процессорах, 28 из них проявляются в серии EPYC, ещё 3 — в Ryzen. Для закрытия обнаруженных уязвимостей разработчики внесли правки в несколько версий библиотеки AGESA и отправили их производителям материнских плат для обновления BIOS.
3dnews.ru/1080343/amd-obnarugila-31-uyazvimost-v-raznih-protsessorah-vklyuchaya-ryzen-i-epyc

В Git исправлены две уязвимости, позволяющие выполнить код удалённо
Разработчики опубликовали корректирующие выпуски для системы Git, где исправили две уязвимости, которые потенциально позволяют злоумышленнику выполнить свой код на системе пользователя при использовании команды «git archive» и работе с не заслуживающими доверия внешними репозиториями.
www.opennet.ru/opennews/art.shtml?num=58498

Linux-бэкдор атакует сайты на WordPress
Специалисты обнаружили вредоносную программу для Linux, которая взламывает сайты на WordPress, используя 30 уязвимостей в плагинах и темах оформления. На уязвимые сайты внедряются вредоносные JavaScript-скрипты, из-за чего при клике мышью в любом месте скомпрометированной страницы посетителей перенаправляют на другие ресурсы.
xakep.ru/2023/01/09/wordpress-malware/

Август — летний отчёт, оплата через бота и новые статьи на Хабре

Взрослая жизнь — это когда вопрос, как ты провёл лето, волнует уже не учителя, а твоего начальника, который ждёт подробный отчёт о проделанной работе. Нам тоже есть о чём вам рассказать, поэтому отчитываемся :)



Инструкции
Как настроить почту для домена через Google, Яндекс и Mail

Настроить почтовый сервер можно как на своём VDS, так и с помощью сторонних сервисов, таких как Яндекс, Google и Mail. Во втором случае почтовый сервер будет работать независимо от VDS, а вам не придётся администрировать его или волноваться о нагрузке и занятом месте. Подробнее о настройке почтового сервера читайте в наших инструкциях.

Как оплачивать и продлевать услуги
Наши услуги делятся на два типа: с ежедневным продлением, как VDS, или с продлением по периодам, как, например, домены или SSL-сертификаты. В статьях напоминаем, как продлеваются разные услуги и какие возможности вы можете использовать, чтобы автоматизировать продление.


Эффективное распределение нагрузки в команде
Наверное, каждый хоть раз сталкивался с неразумным распределением нагрузки на работе и знает, какая это боль. Чтобы шкала стресса не билась в потолок, а выгорание не стало ежедневной рутиной — важно грамотно выстроить все рабочие процессы. В нашем блоге на VC как раз вышла статья на эту тему, рекомендуем всем менеджерам проектов и управленцам.

Habr: самое интересное за август
Лето на Хабре выдалось действительно жарким, столько статей у нас, пожалуй, ещё не выходило :) Как всегда, собрали для вас самое интересное в одну подборку. Остальные статьи можно прочитать в нашем блоге. habr.com/ru/company/first/blog/

Новости
А теперь к новостям августа.


Пополнение баланса через бот для Telegram и Viber
В нашем боте для Telegram и Viber появилась новая функция, с помощью которой вы можете оплачивать услуги через СБП. Ещё бот позволяет получать уведомления о низком балансе, активации, продлении или скором удалении услуг, а также о новых тикетах и многом другом. О том, как его подключить, читайте на нашем сайте.


Дарим подарки с 1 по 12 сентября в честь Дня знаний
Закупаться канцелярией к новому учебному году и собирать рюкзак уже не надо (по крайней мере, для себя), но 1 сентября по-прежнему вызывает ностальгическую теплоту. Чтобы воспоминания о школьных временах были ещё приятнее, запускаем акцию: с 1 по 12 сентября VDS можно будет заказать со скидкой 20%, а для постоянных клиентов мы подготовили 2000 сертификатов на пополнение баланса. Подписывайтесь на наш канал в телеграме, чтобы ничего не пропустить.


Хьюстон, у нас подарки: розыгрыш мерча в телеграм-канале
В нашем телеграм-канале можно не только узнавать новости самыми первыми, но и участвовать в разных активностях. В июле мы написали статью о том, как создавали корпоративный мерч, и получили много тёплых слов от читателей. А чтобы мерч радовал не только нас — решили разыграть его среди подписчиков. Результаты можно посмотреть на канале. t.me/TakeFirstNews/616

Уязвимости
Выявлены уязвимости в ядре Linux

В ядре Linux обнаружено несколько уязвимостей: одна позволяет изменить содержимое tmpfs и разделяемой памяти, вторая проблема кроется в подсистеме io_uring и позволяет получить права root, в том числе из контейнера, и ещё три уязвимости, вызванных обращением к уже освобождённым областям памяти, могут быть использованы, чтобы повысить привилегии локального пользователя в системе.
www.opennet.ru/opennews/

В 10 библиотеках PyPl обнаружен вредоносный код
Из репозитория PyPl было удалено 10 библиотек, которые могли привести к утечке данных: Ascii2text, Pyg-utils, Pymocks, PyProto2, Test-async, Zlibsrc, Free-net-vpn, Free-net-vpn2 и WINRPCexploit, Browserdiv. Вредоносные пакеты распространялись, используя тайпсквоттинг, то есть загружались, если пользователь опечатался в названии настоящего пакета.
xakep.ru/2022/08/10/pypi-malware-3/

Уязвимость процессоров AMD позволяет похищать данные
Исследователи обнаружили уязвимость SQUIP, которой подвержены все процессоры AMD с архитектурами Zen, Zen 2 и
Zen 3: злоумышленники могут использовать очередь планировщика через анализ помех, чтобы получить доступ к чувствительным данным. Чтобы избежать утечки данных, AMD рекомендовала разработчикам использовать алгоритмы с постоянным временем выполнения, отказ от потоков управления, зависимых от секретных данных, и другие передовые подходы.
3dnews.ru/1071973/novaya-uyazvimost-squip-zatragivaet-vse-protsessori-amd-zen-i-moget-ispolzovatsya-dlya-kragi-konfidentsialnih-dannih

Атака AEPIC Leak — утечка ключей из анклавов Intel SGX
Обнаружена новая атака — AEPIC Leak, позволяющая получить конфиденциальные данные из изолированных анклавов SGX процессоров Intel 10, 11 и 12 поколения. Причиной стала архитектурная недоработка, с помощью которой можно получить доступ к неинициализированным данным, оставшимся в регистрах APIC после выполнения прошлых операций. Для устранения проблемы компания Intel готовит исправления в форме обновления микрокода, а разработчикам рекомендовано использовать режим x2APIC вместо устаревшего xAPIC.
www.opennet.ru/opennews/art.shtml?num=57623

Массовый взлом сайтов на Битриксе

Во вторник, 28 июня, владельцы порталов и сайтов на Битриксе столкнулись с массовым взломом своих проектов. Из обсуждения на официальном форуме Битрикса известно, что злоумышленникам удалось получить полный доступ к множеству сайтов на базе этой CMS — вплоть до смены всех паролей и удаления данных.
dev.1c-bitrix.ru/community/forums/forum6/topic147346/

Предполагаем, что для осуществления взлома злоумышленники использовали несколько путей, в том числе:
  • через уязвимость модуля vote (версия ниже 21.0.100). Уязвимость позволяет нарушителям воспользоваться возможностью отправки специально сформированных сетевых пакетов и записывать произвольные файлы в систему;
  • через встроенный редактор html.
Если у вас есть проекты на Битриксе, рекомендуем обновить CMS до последней версии. В версии 21.0.1 модуля vote уже исправлены ошибки безопасности. Также советуем проверить наличие корректных резервных копий сайтов.
dev.1c-bitrix.ru/docs/versions.php?lang=ru&module=vote

Если у вас нет бэкапов, не откладывайте их создание. Дополнительно до выяснения подробностей об уязвимости рекомендуем в файлах /bitrix/tools/vote/uf.php и /bitrix/tools/html_editor_action.php перед require_once вставить следующий код:
if ($_SERVER['REQUEST_METHOD'] === 'POST') 

{          

    header("Status: 404 Not Found");

    die();

}

При возникновении вопросов или проблем с доступностью сайтов на Битриксе вы можете обратиться к специалистам техподдержки в Личном кабинете.