AMD EPYC 4004 Processors: High-performance CPUs designed for easy-to-use, low-cost servers

Идеальное сочетание для малого бизнеса и выделенного хостинга


Крупные предприятия и наиболее требовательные центры обработки данных, суперкомпьютеры и гиперскейлеры полагаются на высокую производительность и масштабируемость, предлагаемые процессорами AMD EPYC серий 9000, 8000 и 7000. Для малых предприятий серверные рабочие нагрузки начального уровня могут быть решены с помощью меньшей и экономически эффективной инфраструктуры. Процессоры AMD EPYC 4004 дополняют широкое семейство процессоров AMD EPYC 4-го поколения, расширяя признанную высокопроизводительную и высокоэффективную архитектуру ядра «Zen4» в расширенный спектр новых систем начального уровня.

Открой будущее: цельный искусственный интеллект и строгая конфиденциальность



endpoints.ai.cloud.ovh.net

Передовые модели GenAI и ML
Получите доступ к набору предварительно обученных всемирно известных моделей искусственного интеллекта, а также к тщательно подобранному набору оптимизированных моделей Nvidia.

Простые, безопасные и готовые к использованию API
Внедряйте инновации с помощью простых API с уверенностью в том, что они соответствуют стандартам безопасности и надежной инфраструктуре.

Простая интеграция для решений нового поколения
Улучшите свои приложения с помощью набора возможностей искусственного интеллекта, созданных на основе масштабируемой инфраструктуры, без необходимости обширных знаний.

Выберите вариант использования
  • Ассистент
  • Аудио анализ
  • Компьютерное зрение
  • Вложения
  • Обработка естественного языка
  • Перевод
endpoints.ai.cloud.ovh.net/catalog

Ваши конечные точки ИИ
Изучите все модели, доступные через API

Backdoor in xz/liblzma (CVE-2024-3094)

29 марта Андрес Фройнд, разработчик Postgres, работающий в Microsoft, обнаружил, что время ответа при аутентификации в openSSH в установке Debian Sid было примерно на 500 мс больше, чем обычно. Он исследовал поведение и пришел к выводу, что liblzma, часть библиотеки xz, была скомпрометирована сложным бэкдором, внедренным в дистрибутивы во время сборки. Затронуты версии библиотеки 5.6.0 и 5.6.1. Дальнейшие расследования привели к обнаружению тщательно продуманного сценария атаки на цепочку поставок. Судя по всему, в команду сопровождающих в течение длительного периода времени (несколько лет) проникли злоумышленники.



История этого бэкдора заслуживает глубокого анализа, который здесь не по теме, но вызывает массу вопросов у open-source-сообществ и всего ИТ-сектора.

Какие системы затронуты?
Поскольку уязвимость была обнаружена за относительно короткое время, ни один крупный дистрибутив еще не интегрировал эти версии библиотеки XZ.

Только дистрибутивы с очень быстрыми темпами интеграции программного обеспечения (постоянные выпуски, тестирование, так называемые «нестабильные») интегрировали поврежденную версию во время обнаружения.

Каковы риски для клиентов OVHcloud?
Это не повлияет ни на один образ Linux, предоставленный OVHcloud клиентам для автоматической установки. Таким образом, ни один клиент не должен быть уязвим для этого бэкдора, используя изображения, предоставленные OVHcloud.

В некоторых случаях в вашей системе мог быть установлен бэкдор:
  • Если вы установили уязвимый дистрибутив самостоятельно, в период, когда компрометация еще не была обнаружена, вне процесса автоматической установки OVHcloud (например, дистрибутив Linux в режиме «скользящего выпуска»)
  • Если вы активировали пограничные репозитории в своей системе (например, «экспериментальные», «нестабильные» или «тестовые» для Debian, «edge» для Alpine, «предлагаемые обновления» для Ubuntu)
  • Если вы установили программное обеспечение, упаковывающее уязвимую версию библиотеки
Если вы используете альтернативный менеджер пакетов (например, Homebrew)
Бэкдор довольно сложен, поэтому даже в этом случае вы могли бы развернуть поврежденную версию библиотеки XZ, но ваша система не была бы фактически уязвима. Дополнительную информацию см. на странице рекомендаций по безопасности вашего дистрибутива/программного обеспечения.

Как я могу проверить, использую ли я защищенную версию библиотеки?
Проверьте вашу активную версию библиотеки XZ:
debian@lab:~$ strings `which xz` | grep "(XZ Utils)"
xz (XZ Utils) 5.2.5


Примечание. Команда «xz -V» даст аналогичный результат. Однако не рекомендуется выполнять двоичный файл, который может быть скомпрометирован.

Убедитесь, что активная версия библиотеки XZ не входит в число известных уязвимых (5.6.0 и 5.6.1). Если у вас взломанная версия XZ, следуйте рекомендациям по безопасности вашего дистрибутива. В некоторых случаях выпущен патч для исправления уязвимости, в других случаях рекомендуется бэкпортировать на более старую версию библиотеки.

В любом случае примените следующие рекомендации:
Уменьшите раскрытие интерфейсов администрирования вашего сервера, отфильтруйте на уровне сети, какой IP-адрес источника разрешен для подключения к SSH.
Используйте бастион для подключения к вашему серверу для администрирования (например: github.com/ovh/the-bastion ).
Выполняйте регулярное резервное копирование ваших данных и системных конфигураций, а также регулярно проверяйте свою способность восстановить службу из резервных копий.
Внешние ссылки:
www.openwall.com/lists/oss-security/2024/03/29/4
www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094
lists.debian.org/debian-security-announce/2024/msg00057.html
news.opensuse.org/2024/03/29/xz-backdoor/
access.redhat.com/security/cve/CVE-2024-3094#cve-cvss-v3
archlinux.org/news/the-xz-package-has-been-backdoored/
boehs.org/node/everything-i-know-about-the-xz-backdoor
zona.media/article/2024/04/03/xz
gynvael.coldwind.pl/?lang=en&id=782
www.wiz.io/blog/cve-2024-3094-critical-rce-vulnerability-found-in-xz-utils
research.swtch.com/xz-timeline