Партнёры:
Хостинг:
| · | 27.03.2025 | Обновление почтового сервера Exim 4.98.2 с устранением уязвимости (80 +14) |
|
Опубликован корректирующий выпуск почтового сервера Exim 4.98.2, в котором устранена уязвимость (CVE-2025-30232), потенциально позволяющая поднять свои привилегии. Возможна ли удалённая эксплуатация уязвимости не уточняется...
| ||
| · | 25.03.2025 | Уязвимости в ingress-nginx, позволяющие выполнить код и захватить управление кластерами Kubernetes (87 +20) ↻ |
|
В развиваемом проектом Kubernetes ingress-контроллере ingress-nginx выявлены четыре уязвимости, позволяющие добиться выполнения своего кода на серверах облачных систем, использующих платформу Kubernetes, и получить полный привилегированный доступ к кластеру Kubernetes. Проблемам присвоен критический уровень опасности (9.8 из 10). Выявившие проблемы исследователи присвоили уязвимостям кодовое имя IngressNightmare и отметили, что уязвимости затрагивают около 43% облачных окружений. Уязвимости устранены в версиях ingress-nginx 1.11.5 и 1.12.1...
| ||
| · | 22.03.2025 | Уязвимости в Pagure и OBS, допускавшие компрометацию пакетов в репозиториях Fedora и openSUSE (40 +11) ↻ |
|
Исследователи безопасности из компании Fenrisk раскрыли информацию об уязвимостях в инструментариях Pagure и OBS (Open Build Service), позволявших скомпрометировать инфраструктуры формирования пакетов дистрибутивов Fedora и openSUSE. Исследователи продемонстрировали возможность совершения атаки для выполнения произвольного кода на серверах с Pagure и OBS, что можно было использовать для подстановки изменений в пакеты в репозиториях Fedora и openSUSE...
| ||
| · | 15.03.2025 | Компрометация GitHub Actions-обработчика changed-files, применяемого в 23 тысячах репозиториев (40 +17) |
|
Выявлена подстановка вредоносного изменения в репозиторий проекта changed-files, развивающего обработчик к системе GitHub Actions, позволяющей автоматически запускать сценарии сборки и тестирования кодовых баз при срабатывании определённых событий, таких как поступление push-запроса, создание релизов, открытие/закрытие issue и открытие/закрытие pull-запросов. Обработчик changed-files использовался в 23 тысячах репозиториев, применяющих GitHub Actions в инфраструктуре непрерывной интеграции, для отслеживания изменения файлов и каталогов...
| ||
| · | 14.03.2025 | Microsoft по ошибке удалил дополнения к VSCode, насчитывающие 9 млн установок (59 +16) |
|
Компания Microsoft восстановила в каталоге Visual Studio Marketplace дополнения к редактору кода VSCode - "Material Theme" и "Material Theme Icons", насчитывающие 3.9 и 5.4 миллионов установок, а также сняла блокировку с учётной записи разработчика. Две недели назад данные дополнения были удалены из-за подозрений на наличие вредоносного кода. В итоге оказалось, что дополнения были удалены по ошибке, так как произошло ложное срабатывание инструментария и недосмотр сотрудников при проверке...
| ||
| · | 13.03.2025 | Уязвимость в библиотеке ruby-saml, приводящая к обходу аутентификации в GitLab (67 +9) |
|
Опубликованы корректирующие обновления платформы для организации совместной разработки GitLab - 17.9.2, 17.8.5 и 17.7.7, в которых устранена уязвимость (CVE-2025-25291, CVE-2025-25292), позволяющая обойти аутентификацию на базе SAML (Security Assertion Markup Language). Уязвимость присутствует в Ruby-библиотеке ruby-saml, реализующей функции для SAML-авторизации. Кроме GitLab уязвимость затрагивает и другие проекты, использующие данную библиотеку. Проблема устранена в обновлениях ruby-saml 1.18.0 и 1.12.4...
| ||
| · | 13.03.2025 | Уязвимость во FreeType, позволяющая выполнить код при обработке шрифтов (68 +16) |
|
В библиотеке отрисовки шрифтов...
| ||
| · | 10.03.2025 | Подмена зависимости в Python-библиотеке, насчитывающей 40 млн загрузок в месяц (73 +26) |
|
В библиотеке Python JSON Logger выявлена уязвимость (CVE-2025-27607) дающая возможность подменить зависимость при установке через каталог PyPI и добиться выполнения своего кода на системах, использующих данный пакет. Библиотека Python JSON Logger, которая позволяет организовать ведение лога в формате JSON, за последний месяц была загружена 40 млн раз. Проблема устранена в версии Python JSON Logger 3.3.0, опубликованной 7 марта...
| ||
| · | 09.03.2025 | В чипах ESP32 выявлены недокументированные команды для управления контроллером Bluetooth (149 +48) |
|
Исследователи из компании Tarlogic Security представили на проходящей в Испании конференции RootedCON результаты анализа низкоуровневой начинки микрочипов ESP32, оснащённых встроенными контроллерами Wi-Fi и Bluetooth. Судя по опубликованному в 2023 году отчёту китайской компании Espressif, по всему миру продано более миллиарда экземпляров ESP32. В ходе анализа загружаемых в чип прошивок исследователи выявили 29 недокументированных HCI-команд (Host Controller Interface), предназначенных для управления Bluetooth-контроллером...
| ||
| · | 06.03.2025 | Google опубликовал инструментарий для анализа и изменения микрокода AMD (101 +38) |
|
Инженеры из компании Google раскрыли детали уязвимости (CVE-2024-56161), позволяющей обойти механизм проверки цифровой подписи при обновлении микрокода в процессорах AMD на базе 1-4 поколений микроархитектуры Zen. Одновременно под лицензией Apache 2.0 опубликован инструментарий Zentool, разработанный в процессе исследования методов работы с микрокодом в процессорах AMD. Также подготовлено руководство по микроархитектуре RISC86, применяемой в микрокоде AMD, и заметка по созданию собственного микрокода. Показано как можно создавать собственные процессорные инструкции, реализуемые на микрокоде RISC86, менять поведение существующих инструкций и загружать изменения микрокода в процессор...
| ||
| · | 06.03.2025 | Уязвимость в LibreOffice, позволяющая выполнить скрипт через подстановку ссылки в документ (50 +13) |
|
Раскрыта информация об уязвимости (CVE-2025-1080), позволяющей добиться выполнения произвольного скрипта без вывода предупреждения пользователю при переходе по специально подготовленной ссылке в документе или при срабатывании определённого события во время работы с документом. Проблеме присвоен высокий уровень опасности (7.2 из 10). Уязвимость устранена в недавних обновлениях LibreOffice 24.8.5 и 25.2.1...
| ||
| · | 03.03.2025 | В БД для обучения AI-моделей Common Crawl выявлено около 12 тысяч API-ключей и паролей (46 +23) |
|
Исследователи из компании Truffle Security опубликовали результаты анализа публичного набора данных Common Crawl, используемого при обучении больших языковых моделей (например, DeepSeek и ChatGPT). В исследовании использован декабрьский архив Common Crawl, включающий 400 терабайт данных с содержимым 2.67 миллиардов web-страниц...
| ||
| · | 26.02.2025 | Обновление X.Org Server 21.1.16 с устранением 8 уязвимостей (254 +36) |
|
Опубликованы корректирующие выпуски X.Org Server 21.1.16 и DDX-компонента (Device-Dependent X) xwayland 24.1.6, обеспечивающего запуск X.Org Server для организации выполнения X11-приложений в окружениях на базе Wayland. В новой версии X.Org Server устранено 8 уязвимостей. Проблемы потенциально могут быть эксплуатированы для повышения привилегий в системах, в которых X-сервер выполняется с правами root, а также для удалённого выполнения кода в конфигурациях, в которых для доступа используется перенаправление сеанса X11 при помощи SSH...
| ||
| · | 22.02.2025 | Уязвимость в OpenH264, позволяющая выполнить код при декодировании видео (82 +11) |
|
В проекте OpenH264, развивающем открытую реализацию видеокодека H.264, выявлена уязвимость (CVE-2025-27091), потенциально способная привести к выполнению кода при декодировании специально оформленного видео. Проблема проявляется в режимах SVC (Scalable Video Coding) и AVC (Advanced Video Coding), и вызвана состоянием гонки, приводящем к записи данных за пределы выделенного буфера. Уязвимость устранена в выпуске OpenH264 2.6.0. Проследить за появлением обновлений в дистрибутивах можно на следующих страницах: Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD...
| ||
| · | 21.02.2025 | В загрузчике GRUB2 выявлена 21 уязвимость (203 +30) |
|
Опубликованы сведения о 21 уязвимости в загрузчике GRUB2, большинство из которых приводят к переполнению буфера и могут использоваться для обхода механизма верифицированной загрузки UEFI Secure Boot. Проблемы пока устранены только в виде патча. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE, RHEL, Fedora. Для устранения проблем в GRUB2 недостаточно просто обновить пакет, требуется также сформировать новые внутренние цифровые подписи и обновлять инсталляторы, загрузчики, пакеты с ядром, fwupd-прошивки и shim-прослойку...
| ||
| << Предыдущая страница (позже) | ||
| Следующая страница (раньше) >> | ||
|
Закладки на сайте Проследить за страницей |
Created 1996-2025 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |