/ Безопасность
	- Виртуальные серверы и изолированные окружения
	- Квоты, ограничения
	- Firewall
	- Шифрование, SSH, SSL
	- Приватность
	- Вирусы, вредоносное ПО и спам
	- Исследования
	-       Атаки на инфраструктуры
	-       Методы атак
	-       Механизмы защиты
	-       Проблемы с криптографией
	- Локальные уязвимости
	-       Уязвимости в маршрутизаторах и оборудовании
	-       Удалённые уязвимости
	-       Уязвимости в процессорах
	- Взломы
·	05.06.2026	В Chrome устранено 429 уязвимостей, а в Android - 124 (33 +17)
	Компания Google внесла изменения в объявление о выпуске Chrome 149, в котором раскрыла сведения об устранении 429 уязвимостей. 22 уязвимости отмечены как критические, а 87 - как опасные. Критические проблемы позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали пока не раскрываются, упомянуто только, что большая часть критических проблем вызвана переполнением буфера или обращением к уже освобождённой памяти в компонентах ANGLE, Ozone, Chromecast, Chromoting, GFX и процессе для взаимодействия с GPU. Наибольший размер вознаграждения за уязвимость составил 97 тысяч долларов... (33 +17) обсуждение | весь текст
·	04.06.2026	Атака на реализации HTTP/2, приводящая к исчерпанию доступной памяти (128 +31) ↻
	Раскрыта информация об уязвимости "HTTP/2 Bomb", затрагивающей различные реализации протокола HTTP/2 и позволяющей добиться отказа в обслуживании через исчерпание всей доступной процессу памяти. Наличие проблемы подтверждено в HTTP-серверах nginx, Apache httpd (CVE-2026-49975), Microsoft IIS, Envoy (CVE-2026-47774) и Cloudflare Pingora в конфигурации по умолчанию... (128 +31) ↻ обсуждение | весь текст
·	04.06.2026	Уязвимость в libinput, позволяющая повысить свои привилегии в системе (57 +18)
	В библиотеке libinput, предоставляющей унифицированный стек ввода для Wayland и X.Org Server, выявлена уязвимость (CVE-2026-50265), позволяющая добиться выполнения кода с правами root через подключение локальным пользователем виртуального устройства ввода, сэмулированного в пользовательском пространстве через uinput или uhid. Проблема устранена в выпусках 1.31.3 и 1.30.4... (57 +18) обсуждение | весь текст
·	04.06.2026	Fedora Linux помог выявить проблему с безопасностью в почтовом клиенте Outlook (29 +23)
	Администраторы почтовых серверов на базе Fedora Linux обратили внимание на возникновение проблем с работой почтового клиента Microsoft Outlook после обновления дистрибутива. Диагностика проблемы показала, что в новой версии пакета с IMAP/POP3-сервером Dovecot 2.4.3 в настройках по умолчанию была запрещена аутентификация по протоколам IMAP и POP3 с передачей пароля в открытом виде в сеансах без применения шифрования... (29 +23) обсуждение | весь текст
·	03.06.2026	Регрессии в rsync 3.4.3 и принятие изменений, подготовленных с использованием AI (179 +20)
	После выхода обновления утилиты для синхронизации файлов rsync 3.4.3 с исправлением 6 уязвимостей отмечено появление регрессий, нарушающих работоспособность ранее используемых конфигураций. Помимо этого непонимание и недовольство вызвало добавление за последние две недели в репозитории rsync около 50 изменений, подготовленных с использованием AI-ассистента Claude. Некоторые пользователи связали появление регрессий с генерацией низкокачественных исправлений уязвимостей при помощи AI... (179 +20) обсуждение | весь текст
·	02.06.2026	Обновление X.Org Server 21.1.23 с устранением 9 уязвимостей (105 +26)
	Опубликованы корректирующие выпуски X.Org Server 21.1.23 и DDX-компонента (Device-Dependent X) xwayland 24.1.12, обеспечивающего запуск X.Org Server для организации выполнения X11-приложений в окружениях на базе Wayland. В новых версиях устранены 9 уязвимостей. Некоторые уязвимости потенциально могут быть эксплуатированы для повышения привилегий в системах, в которых X-сервер выполняется с правами root, а также для удалённого выполнения кода в конфигурациях, в которых для доступа используется перенаправление сеанса X11 при помощи SSH... (105 +26) обсуждение | весь текст
·	01.06.2026	Атакующие встроили вредоносное ПО в 32 NPM-пакета Red Hat (86 +25)
	В результате компрометации процесса формирования релизов на базе GitHub Actions в принадлежащих компании Red Hat репозиториях RedHatInsights, злоумышленники смогли опубликовать в каталоге NPM 64 вредоносные версии, охватывающие 32 NPM-пакета для платформы Red Hat Cloud Services. Для каждого из поражённых NPM-пакетов были выпущены по две вредоносные версии, в которые был интегрирован код для активации нового варианта червя mini-shai-hulud, выполняющего поиск токенов и учётных данных в текущем окружении... (86 +25) обсуждение | весь текст
·	30.05.2026	Обновление Exim 4.99.4 с устранением уязвимости, приводящей к утечке памяти (8 +7)
	Опубликован корректирующий выпуск почтового сервера Exim 4.99.4, в котором устранена уязвимость (CVE-2026-48840), приводящая к утечке 16 неинициализированных байт из стека процесса-обработчика в отдаваемой клиенту информации об адресе IPv6 в заголовке SMTP Hello. На практике исправленная утечка может использоваться при эксплуатации других уязвимостей для определения раскладки памяти в конфигурациях с рандомизацией адресов (ASLR)... (8 +7) обсуждение | весь текст
·	29.05.2026	CIFSwitch - уязвимость в CIFS-подсистеме ядра Linux, позволяющая получить права root (76 +17)
	Раскрыты детали и опубликован эксплоит для уязвимости CIFSwitch (CVE пока не присвоен) в модуле ядра CIFS и инструментарии cifs-utils, позволяющей непривилегированному пользователю получить права root в системе. Исправление доступно только в виде патча, который опубликован 16 мая и 19 мая был принят в основную ветку ядра Linux (корректирующие выпуски ядра ещё недоступны)... (76 +17) обсуждение | весь текст
·	28.05.2026	Определение посещаемых сайтов через анализ активности SSD из web-браузера (59 +17)
	Группа исследователей из Грацского технического университета (Австрия), разработала технику атаки по сторонним каналам FROST (Fingerprinting Remotely using OPFS-based SSD Timing), позволяющую через анализ активности SSD-накопителя из выполняемого в браузере JavaScript-кода определить открываемые пользователям сайты с точностью 88.95%, а также запускаемые в системе приложения с точностью 95.83%. Метод также можно использовать для организации скрытого канала связи между локально работающим приложением и выполняемым в браузере JavaScript-кодом. Производительность такого обмена данными в Linux составила 661 bit/s, а в macOS - 892 bit/s... (59 +17) обсуждение | весь текст
·	28.05.2026	Уязвимости в Unbound, Kata-Containers, BIND, PostgreSQL, HPLIP, MongoDB, Rsync, 7-zip, Yelp, qSnapper и Suricata (88 +23)
	Несколько выявленных за последнее время опасных уязвимостей:... (88 +23) обсуждение | весь текст
·	28.05.2026	Критические уязвимости в Suricata
	В системе обнаружения и предотвращения сетевых вторжений Suricata выявлено 16 уязвимостей, из которых четырём присвоен критический уровень опасности. Детали об уязвимостях пока не раскрываются публично, но судя по уровню опасности они позволяют организовать выполнение кода на сервере при инспектировании специально оформленного трафика. Уязвимости устранены в выпусках Suricata 8.0.5 и 7.0.16. обсуждение | весь текст
·	28.05.2026	Уязвимость в rsync, позволяющая повысить свои привилегии в системе
	Шесть уязвимостей в утилите для синхронизации файлов rsync. Наиболее опасная проблема (CVE-2026-29518), вызванная состоянием гонки при обработке символических ссылок, позволяет повысить свои привилегии при запуске rsync в режиме фонового процесса без chroot-изоляции. Атака производится через подмену файла на символическую ссылку, указывающую на произвольный файл в системе, в момент после выполнения проверки, но до начала операции записи. Уязвимости устранены в выпуске rsync 3.4.3. обсуждение | весь текст
·	28.05.2026	Уязвимость в MongoDB, позволяющая выполнить код на сервере
	Уязвимость (CVE-2026-8053) в MongoDB Server, позволяющая пользователю, имеющему доступ к БД на запись, инициировать переполнение буфера и добиться выполнения своего кода на сервере с правами процесса mongod. Уязвимость устранена в выпусках MongoDB 5.0.33, 6.0.28, 7.0.34, 8.0.23, 8.2.9 и 8.3.2. обсуждение | весь текст
·	28.05.2026	Уязвимости в PostgreSQL, позволяющие выполнить код на сервере через отправку SQL-запросов
	11 уязвимостей в СУБД PostgreSQL, наиболее опасная из которых (CVE-2026-6637) может привести к выполнению кода на уровне операционной системы с правами серверного процесса PostgreSQL при выполнении специально оформленных SQL-запросов (атакующий должен иметь непривилегированный доступ к СУБД). Другая опасная уязвимость (CVE-2026-6475) позволяет перезаписать файлы на сервере (например, /var/lib/postgres/.bashrc) через манипуляции с символическими ссылками при выполнении операций с pg_basebackup и pg_rewind. Проблемы устранены в выпусках PostgreSQL 18.4, 17.10, 16.14, 15.18 и 14.23. Также можно отметить публикацию рабочего эксплоита для ранее выявленной уязвимости (CVE-2026-2005) в расширении pgcrypto... обсуждение | весь текст
Следующая страница (раньше) >>