/ Безопасность
	- Виртуальные серверы и изолированные окружения
	- Квоты, ограничения
	- Firewall
	- Шифрование, SSH, SSL
	- Приватность
	- Вирусы, вредоносное ПО и спам
	- Исследования
	-       Атаки на инфраструктуры
	-       Методы атак
	-       Механизмы защиты
	-       Проблемы с криптографией
	- Локальные уязвимости
	-       Уязвимости в маршрутизаторах и оборудовании
	-       Удалённые уязвимости
	-       Уязвимости в процессорах
	- Взломы
·	30.04.2025	Использование zip-бомбы для борьбы с вредоносными web-ботами (16)
	Последнее время значительно возросла активность web-ботов, индексирующих трафик. Помимо корректно работающих ботов распространение получили "неистовые" боты, игнорирующие правила индексирования robots.txt, лезущие с десятков тысяч разных IP, притворяющиеся легитимными пользователями и не придерживающиеся разумной политики интенсивности отправки запросов. Данные боты создают огромную паразитную нагрузку на серверы, нарушают нормальную работоспособность систем и отнимают время администраторов. Активность подобных ботов воспринимается многими как вредоносные действия... (16) обсуждение | весь текст
·	27.04.2025	Злоумышленники смогли внедрить бэкдор в NPM-пакет от разработчиков криптовалюты XRP (73 +17)
	В NPM-пакете xrpl выявлен вредоносный код (CVE-2025-32965), отправляющий на внешний сервер мастер-ключи от криптокошельков и закрытые ключи криптовалют. Пакет xrpl позиционируется как официально рекомендованная библиотека (xrpl.js) для взаимодействия JavaScript- и TypeScript-приложений, работающих через браузер или Node.js, с децентрализовнной платёжной сетью XRP Ledger (Ripple), развивающей криптовалюту XRP, занимающую 4 место по капитализации (уступает только BTC, ETH и USDT). Библиотека xrpl.js насчитывает 165 тысяч загрузок за предшествующую инциденту неделю, используется в качестве зависимости в 143 NPM-пакетах и задействована во многих криптовалютных приложениях и сайтах... (73 +17) обсуждение | весь текст
·	24.04.2025	Прототип руткита для Linux, использующий io_uring для обхода анализаторов системных вызовов (52 +27)
	Исследователи из компании ARMO продемонстрировали возможность создания руткитов, не использующих специфичные системные вызовы для выполнения типовых операций, таких как чтение/запись файлов и приём команд от внешнего сервера. Вместо системных вызовов для выполнения сетевых и файловых операций предложено использовать интерфейс асинхронного ввода/вывода io_uring, поддерживаемый начиная с ядра Linux 5.1... (52 +27) обсуждение | весь текст
·	23.04.2025	Google отказался от навязывания блокировки сторонних Cookie в Chrome (109 –12)
	Вице-президент Google, курирующий проект Privacy Sandbox, объявил о решении сохранить сложившийся подход к блокировке сторонних Cookie в Chrome - Cookie, выставляемые при обращении к доменам, отличающимся от домена текущей страницы, будут блокироваться по умолчанию только в режиме "инкогнито". Также будет пересмотрено использование технологий Privacy Sandbox в экосистеме, план по дальнейшему продвижению которых намерены подготовить в ближайшие месяцы... (109 –12) обсуждение | весь текст
·	22.04.2025	Уязвимость в удостоверяющем центре SSL.com, позволявшая получить сертификат для чужого домена (48 +21)
	В удостоверяющем центре SSL.com выявлена уязвимость в системе проверки владения доменом, позволявшая получить TLS-сертификат для любого домена, предоставившего email атакующему. Для получения TLS-сертификата было достаточно доступа к email с целевым доменом. Например, уязвимость позволяла получить TLS-сертификат для доменов, используемых в общедоступных email-сервисах, таких как gmail.com, yandex.ru, yahoo.com, outlook.com и icloud.com... (48 +21) обсуждение | весь текст
·	21.04.2025	Выпуск Bastille 0.14, системы управления контейнерами на основе FreeBSD Jail (107 +11)
	Опубликован выпуск Bastille 0.14.20250420, системы для автоматизации развёртывания и управления приложениями, запускаемыми в контейнерах, изолированных при помощи механизма FreeBSD Jail. Код написан на Shell, не требует для работы внешних зависимостей и распространяется под лицензией BSD... (107 +11) обсуждение | весь текст
·	21.04.2025	14 уязвимостей в библиотеке libsoup, используемой в GNOME (136 +15)
	В библиотеке libsoup, развиваемой проектом GNOME, выявлено 14 уязвимостей. Libsoup предоставляет реализации клиента и сервера HTTP, использующие GObjects для интеграции с приложениями GNOME. Библиотека применяется в GNOME Shell, браузере Epiphany (GNOME Web), просмотрщике изображений Shotwell, в GStreamer-плагине souphttpsrc и в приложениях, использующих libwebkit2gtk. Ранее библиотека libsoup применялась в NetworkManager, который начиная с выпуска 1.8 был переведён на libcurl... (136 +15) обсуждение | весь текст
·	19.04.2025	В Python задействованы криптофункции с математическим доказательством надёжности (66 +29)
	Объявлено об успешном завершении инициативы по замене в Python реализаций криптографических алгоритмов, предлагаемых в модулях hashlib и hmac, на варианты с математическим (формальным) доказательством надёжности, подготовленные проектом "HACL*". Работа по переходу на функции с математическим доказательством надёжности велась с 2022 года и была инициирована после выявления переполнения буфера в реализации алгоритма SHA3, используемой в Python-модуле hashlib... (66 +29) обсуждение | весь текст
·	18.04.2025	Обновление Java SE, MySQL, VirtualBox, Solaris и других продуктов Oracle с устранением уязвимостей (25 +8)
	Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В апрельском обновлении устранено 378 уязвимостей... (25 +8) обсуждение | весь текст
·	18.04.2025	Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённое выполнение кода (35 +19) ↻
	В библиотеке ssh, входящей в состав инструментария Erlang/OTP, выявлена уязвимость (CVE-2025-32433), позволяющая удалённо без прохождения аутентификации выполнить свой код на SSH-сервере, созданном с использованием уязвимой библиотеки. Проблема присвоен критический уровень опасности (10 из 10)... (35 +19) ↻ обсуждение | весь текст
·	16.04.2025	Для независимого ведения CVE учреждена организация CVE Foundation (21 +28)
	Правительство США возобновило финансирование деятельности MITRE, связанной с поддержанием базы CVE. Контракт продлён на 11 месяцев. Несмотря на это, участники управляющего совета CVE (CVE Board) объявили о создании некоммерческой организации CVE Foundation, нацеленной на поддержание стабильной деятельности и независимости проекта CVE... (21 +28) обсуждение | весь текст
·	16.04.2025	В Android появится опция для автоматической перезагрузки после 3 дней неактивности (98 +2)
	Компания Google реализовала в обновлении сервисов Google Play 25.14 возможность для автоматической перезагрузки смартфона после 3 дней неактивности (отсутствия разблокировки экрана). Для активации данной функции в настройки намерены добавить соответствующую опцию. Обновление сервисов Google Play 25.14 будет доведено до пользователей на следующей неделе... (98 +2) обсуждение | весь текст
·	16.04.2025	Инциденты с безопасностью в репозиториях PyPI и crates.io (42 +17)
	Разработчики репозитория Python-пакетов PyPI (Python Package Index) сообщили о выявлении проблемы с безопасностью в реализации функции "Organization Team", позволяющей сформировать команду из нескольких разработчиков, совместно работающих над проектом в PyPI. Суть выявленных проблем в том, что привилегии, делегированные пользователю как участнику "Organization Team", сохранялись после удаления пользователя из состава организации. Уязвимость в PyPI была устранена спустя 2 часа после сообщения о наличии проблемы. Проведённый аудит не выявил несанкционированных действий, связанных с использованием не отозванных прав доступа... (42 +17) обсуждение | весь текст
·	16.04.2025	MITRE не получил финансирование для продолжения ведения базы CVE-индентификаторов уязвимостей (47 –3) ↻
	Министерство внутренней безопасности США не продлило контракт с организацией MITRE, связанный с финансированием работы по назначению уязвимостям идентификаторов CVE (Common Vulnerabilities and Exposures), ведению централизованной базы данных общеизвестных уязвимостей, а также списка видов уязвимостей (CWE - Common Weakness Enumeration). Кроме того, отмечено общее сокращение финансирования MITRE, которое уже привело к увольнению более 400 сотрудников в этом месяце. Предполагается, что если не будут найдены альтернативные пути поддержания программы, то уже сегодня может быть остановлено обновление и присвоение новых CVE в MITRE... (47 –3) ↻ обсуждение | весь текст
·	14.04.2025	Максимальное время жизни TLS-сертификатов сократят с 398 до 47 дней (287 –48)
	Участники ассоциации CA/Browser Forum, являющейся площадкой для координации совместной работы производителей браузеров и удостоверяющих центров, проголосовали за сокращение максимального времени жизни TLS-сертификатов. Максимальное время действия TLS-сертификатов будет сокращено с 398 до 47 дней, если в дальнейшем CA/Browser Forum не пересмотрит принятое решение. Помимо времени действия сертификатов решено заметно сократить и сроки повторного использования данных валидации объектов: для SAN (Subject Alternative Name, когда один сертификат охватывает несколько ресурсов, например, действует сразу для нескольких доменов) срок будет сокращен с 398 до 10 дней, а для не-SAN - с 825 до 398 дней... (287 –48) обсуждение | весь текст
Следующая страница (раньше) >>