Партнёры:
Хостинг:
| / Безопасность | ||
| - Виртуальные серверы и изолированные окружения | ||
| - Квоты, ограничения | ||
| - Firewall | ||
| - Шифрование, SSH, SSL | ||
| - Приватность | ||
| - Вирусы, вредоносное ПО и спам | ||
| - Исследования | ||
| - Атаки на инфраструктуры | ||
| - Методы атак | ||
| - Механизмы защиты | ||
| - Проблемы с криптографией | ||
| - Локальные уязвимости | ||
| - Уязвимости в маршрутизаторах и оборудовании | ||
| - Удалённые уязвимости | ||
| - Уязвимости в процессорах | ||
| - Взломы | ||
| · | 29.05.2026 | CIFSwitch - уязвимость в CIFS-подсистеме ядра Linux, позволяющая получить права root (71 +13) |
|
Раскрыты детали и опубликован эксплоит для уязвимости CIFSwitch (CVE пока не присвоен) в модуле ядра CIFS и инструментарии cifs-utils, позволяющей непривилегированному пользователю получить права root в системе. Исправление доступно только в виде патча, который опубликован 16 мая и 19 мая был принят в основную ветку ядра Linux (корректирующие выпуски ядра ещё недоступны)...
| ||
| · | 28.05.2026 | Определение посещаемых сайтов через анализ активности SSD из web-браузера (51 +17) |
|
Группа исследователей из Грацского технического университета (Австрия), разработала технику атаки по сторонним каналам FROST (Fingerprinting Remotely using OPFS-based SSD Timing), позволяющую через анализ активности SSD-накопителя из выполняемого в браузере JavaScript-кода определить открываемые пользователям сайты с точностью 88.95%, а также запускаемые в системе приложения с точностью 95.83%. Метод также можно использовать для организации скрытого канала связи между локально работающим приложением и выполняемым в браузере JavaScript-кодом. Производительность такого обмена данными в Linux составила 661 bit/s, а в macOS - 892 bit/s...
| ||
| · | 28.05.2026 | Уязвимости в Unbound, Kata-Containers, BIND, PostgreSQL, HPLIP, MongoDB, Rsync, 7-zip, Yelp, qSnapper и Suricata (82 +19) |
|
Несколько выявленных за последнее время опасных уязвимостей:...
| ||
| · | 28.05.2026 | Критические уязвимости в Suricata |
|
В системе обнаружения и предотвращения сетевых вторжений Suricata выявлено 16 уязвимостей, из которых четырём присвоен критический уровень опасности. Детали об уязвимостях пока не раскрываются публично, но судя по уровню опасности они позволяют организовать выполнение кода на сервере при инспектировании специально оформленного трафика. Уязвимости устранены в выпусках Suricata 8.0.5 и 7.0.16.
| ||
| · | 28.05.2026 | Уязвимость в rsync, позволяющая повысить свои привилегии в системе |
|
Шесть уязвимостей в утилите для синхронизации файлов rsync. Наиболее опасная проблема (CVE-2026-29518), вызванная состоянием гонки при обработке символических ссылок, позволяет повысить свои привилегии при запуске rsync в режиме фонового процесса без chroot-изоляции. Атака производится через подмену файла на символическую ссылку, указывающую на произвольный файл в системе, в момент после выполнения проверки, но до начала операции записи. Уязвимости устранены в выпуске rsync 3.4.3.
| ||
| · | 28.05.2026 | Уязвимость в MongoDB, позволяющая выполнить код на сервере |
|
Уязвимость (CVE-2026-8053) в MongoDB Server, позволяющая пользователю, имеющему доступ к БД на запись, инициировать переполнение буфера и добиться выполнения своего кода на сервере с правами процесса mongod. Уязвимость устранена в выпусках MongoDB 5.0.33, 6.0.28, 7.0.34, 8.0.23, 8.2.9 и 8.3.2.
| ||
| · | 28.05.2026 | IBM и Red Hat вложат $5 млрд в обеспечение безопасности открытого ПО (77 +7) |
|
IBM и Red Hat представили проект Lightwell, в который будет инвестировано 5 миллиардов долларов для помощи в повышении безопасности открытого ПО, применяемого на предприятиях. В проекте будут задействованы новые возможности AI в сочетании экспертизой команды, насчитывающей более 20 тысяч инженеров. Предполагается, что Lightwell поможет сформировать новую модель использования открытого ПО на предприятиях, охватывающую процессы от разработки открытых проектов в upstream до поддержания рабочих внедрений...
| ||
| · | 28.05.2026 | Уязвимости в PostgreSQL, позволяющие выполнить код на сервере через отправку SQL-запросов |
|
11 уязвимостей в СУБД PostgreSQL, наиболее опасная из которых (CVE-2026-6637) может привести к выполнению кода на уровне операционной системы с правами серверного процесса PostgreSQL при выполнении специально оформленных SQL-запросов (атакующий должен иметь непривилегированный доступ к СУБД). Другая опасная уязвимость (CVE-2026-6475) позволяет перезаписать файлы на сервере (например, /var/lib/postgres/.bashrc) через манипуляции с символическими ссылками при выполнении операций с pg_basebackup и pg_rewind. Проблемы устранены в выпусках PostgreSQL 18.4, 17.10, 16.14, 15.18 и 14.23. Также можно отметить публикацию рабочего эксплоита для ранее выявленной уязвимости (CVE-2026-2005) в расширении pgcrypto...
| ||
| · | 28.05.2026 | Уязвимости в Memcached, приводящие к повреждению памяти |
|
Десять уязвимостей (CVE не назначены) в системе кэширования данных в оперативной памяти Memcached, наиболее опасные из которых приводят к переполнению буфера при отправке специально оформленных запросов и потенциально могут использоваться для организации выполнения кода на сервере. Уязвимости устранены в версии Memcached 1.6.42.
| ||
| · | 28.05.2026 | Уязвимость в qSnapper, позволяющая получить права root в системе |
|
Уязвимости в D-Bus-сервисе, используемом в qSnapper, графическом интерфейсе для управления снапшотами Btrfs. Уязвимости могут привести к повышению своих привилегий в системе (CVE-2026-41046), утечке информации об изменениях между снапшотами (CVE-2026-41047) и обходу аутентификации при доступе к Polkit (CVE-2026-41045). Наиболее опасная уязвимость вызвана отсутствием проверки символов "../" в путях, передаваемых в функцию snapper::Snapper() при обращении через D-Bus, что можно использовать для подмены файла конфигурации для libsnapper в обработчике, выполняемом с повышенными привилегиями...
| ||
| · | 28.05.2026 | Уязвимость в 7-Zip, приводящая к выполнению кода при обработке образов NTFS |
|
Уязвимость (CVE-2026-48095) в архиваторе 7-Zip, приводящая к переполнению буфера при обработке сжатых данных NTFS. Потенциально уязвимость может привести к выполнению кода атакующего при обращении через 7-Zip к специально оформленному образу файловой системы NTFS. Уязвимость устранена в версии 7-Zip 26.01.
| ||
| · | 28.05.2026 | Грег Кроа-Хартман рассказал о том, как Rust может помочь в борьбе с ошибками в ядре Linux (278 +5) |
|
Грег Кроа-Хартман (Greg Kroah-Hartman), отвечающий за поддержку стабильной и "staging" веток ядра Linux и занимающий пост мэйнтейнера в 16 подсистемах ядра, выступил с докладом на конференции Rust Week 2026, в котором рассказал, как язык Rust может помочь в предотвращении появления в ядре уязвимостей, возникающих из-за типичных ошибок разработчиков на языке Си при работе с памятью, блокировками, обработкой ошибок и работой с не заслуживающими доверия данными. В качестве основного преимущества Rust называется возможность выявлять подобные ошибки на этапе сборки, а не рецензирования кода людьми. При этом Rust не рассматривается как панацея, способная избавить от всех проблем, и никто не собирается переписывать ядро на Rust: ожидается постепенное внедрение Rust через его использования для новых драйверов и подсистем...
| ||
| · | 25.05.2026 | Уязвимость в Kata Containers, позволяющая обойти изоляцию контейнера |
|
Уязвимость (CVE-2026-47243) в Kata Containers, стеке для выполнения контейнеров с использованием изоляции на базе виртуализации, позволяющая при наличии прав root в контейнере создать с правами root символическую ссылку на стороне хост-системы. Через создание символической ссылки в /etc/cron.d можно огранизовать выполнение своего кода с правами root в хост-окружении. Уязвимость вызвана возможностью отправки прямого запроса FUSE_SYMLINK в обработчик virtiofsd, выполняемый на стороне хоста. Проблема проявляется при использовании runtime-rs и устранена в выпуске 3.31.0...
| ||
| · | 25.05.2026 | Уязвимость в GNOME Help (Yelp), позволяющая обойти изоляцию Flatpak |
|
Уязвимость (CVE не назначен) в просмотрщике справочных руководств Yelp (GNOME Help), позволяющая в обход sandbox-окружения пакетов Flatpak получить доступ к файлам основной системы через открытие специально оформленного help-файла. Уязвимость походит на прошлогоднюю проблему и отличается использованием для подстановки CSS-стиля, встроенного в SVG-файл. Проблема устранена в выпуске Yelp 49.1.
| ||
| · | 25.05.2026 | Уязвимость в haveged, позволяющая получить права root |
|
Уязвимость (CVE-2026-41054) в haveged, фоновом процессе формирования энтропии для генератора псеведослучайных чисел, позволяющая поднять свои привилегии до пользователя root через отправку специально оформленной команды через управляющий Unix-сокет. Проблема устранена в выпуске haveged 1.9.21.
| ||
| Следующая страница (раньше) >> | ||
|
Закладки на сайте Проследить за страницей |
Created 1996-2026 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |