/ Безопасность
	- Виртуальные серверы и изолированные окружения
	- Квоты, ограничения
	- Firewall
	- Шифрование, SSH, SSL
	- Приватность
	- Вирусы, вредоносное ПО и спам
	- Исследования
	-       Атаки на инфраструктуры
	-       Методы атак
	-       Механизмы защиты
	-       Проблемы с криптографией
	- Локальные уязвимости
	-       Уязвимости в маршрутизаторах и оборудовании
	-       Удалённые уязвимости
	-       Уязвимости в процессорах
	- Взломы
·	08.06.2025	Выпуск дистрибутива Network Security Toolkit 42 (25)
	Представлен релиз Live-дистрибутива NST 42 (Network Security Toolkit), предназначенного для проведения анализа безопасности сети и слежения за её функционированием. Размер загрузочного iso-образа (x86_64) составляет 5 ГБ. Для пользователей Fedora Linux подготовлен специальный репозиторий, дающий возможность установить все созданные в рамках проекта NST наработки в уже установленную систему. Дистрибутив построен на базе Fedora и допускает установку дополнительных пакетов из внешних репозиториев, совместимых с Fedora Linux... (25) обсуждение | весь текст
·	05.06.2025	Уязвимость в Python-модуле TarFile, допускающая запись в любые части ФС (36 +9)
	Во входящем в штатную поставку Python модуле tarfile, предоставляющем функции для чтения и записи tar-архивов, выявлено пять уязвимостей, одной из которых присвоен критический уровень опасности. Уязвимости устранены в выпусках Python 3.13.4 и 3.12.11. Наиболее опасная уязвимость (CVE-2025-4517) даёт возможность при распаковке специально оформленного архива записать файлы в любую часть файловой системы. В системных скриптах, использующих tarfile и запускаемых с правами root (например, в утилитах для работы с пакетами и изолированными контейнерами), уязвимость может применяться для повышения своих привилегий или выхода за пределы изолированного контейнера... (36 +9) обсуждение | весь текст
·	03.06.2025	Обновление VirtualBox 7.1.10 (35 +8)
	Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 7.1.10, в котором отмечено 9 изменений... (35 +8) обсуждение | весь текст
·	03.06.2025	Facebook и Yandex использовали свои Android-приложения для деанонимизации сеансов в браузерах (424 +58)
	Компании Meta* и Yandex уличили в скрытом отслеживании пользователей и манипуляциях для обхода предоставляемых браузерами средств обеспечения конфиденциальности, таких как режим инкогнито и возможность очистки Cookie. Активность по деанонимизации сеансов применялась на платформе Android при открытии сайтов, использующих системы web-аналитики Яндекс Метрика или Facebook Pixel... (424 +58) обсуждение | весь текст
·	01.06.2025	Инцидент с подменой коммитов в ветке ядра Linux от Кеса Кука (217 +57) ↻
	Линус Торвальдс потребовал от администратора kernel.org немедленно заблокировать учётную запись Кеса Кука, бывшего главного сисадмина kernel.org и лидера Ubuntu Security Team, сопровождающего в ядре 14 подсистем, связанных с безопасностью. Константин Рябицев, отвечающий за работу инфраструктуры kernel.org, выполнил блокировку. Поводом для блокировки послужил pull-запрос на включение в ветку ядра 6.16 изменений, ссылающийся на git-репозиторий, в котором была изменена информация об авторстве некоторых коммитов... (217 +57) ↻ обсуждение | весь текст
·	30.05.2025	Уязвимости в apport и systemd-coredump, позволяющие извлечь хэши паролей пользователей системы (175 +16)
	Компания Qualys выявила две уязвимости в инструментах apport (CVE-2025-5054) и systemd-coredump (CVE-2025-4598), применяемых для обработки core-файлов, генерируемых после аварийного завершения процессов. Уязвимости позволяют получить доступ к core-файлам, сохранённым после аварийного завершения suid-приложений или некоторых системных фоновых процессов, в памяти которых могут содержаться прокэшированные учётные данные или ключи шифрования. Утилита apport автоматически вызывается для сохранения core-дампов в Ubuntu, а systemd-coredump в Red Hat Enterprise Linux 9+, Fedora и многих других дистрибутивах Linux... (175 +16) обсуждение | весь текст
·	29.05.2025	Уязвимости в пакетах с Kea DHCP и cyrus-imapd, позволяющие повысить привилегии в системе (142 +7)
	В применяемых различными дистрибутивами конфигурациях DHCP-сервера Kea, развиваемого консорциумом ISC в качестве замены классического ISC DHCP, выявлены уязвимости, в некоторых ситуациях позволяющие локальному пользователю выполнить код с правами root или перезаписать любой файл в системе:... (142 +7) обсуждение | весь текст
·	28.05.2025	Уязвимость в MCP-сервере GitHub, приводящая к утечке информации из приватных репозиториев (20 +15)
	В GitHub MCP Server, реализации протокола MCP (Model Context Protocol) от GitHub, выявлена уязвимость, позволяющая извлечь данные из приватных репозиториев пользователей, использующих AI-ассистенты для автоматизации работы с репозиториями... (20 +15) обсуждение | весь текст
·	28.05.2025	Уязвимость в GNU sort, приводящая к выходу за границу буфера (187 +13)
	В утилите sort, поставляемой в составе пакета GNU Coreutils, выявлена уязвимость (CVE-2025-5278), приводящая к обращению к данным вне границы буфера при сортировке с использованием синтаксиса "+POS1[.C1][OPTS]", применяемого для выделения сортируемых ключей в обрабатываемых данных. Проблема вызвана целочисленным переполнением (wraparound) в функции begfield(), позволяющим прочитать содержимое одного байта данных вне буфера. Уязвимость может использоваться для вызова аварийного завершения приложений или организации утечки информации из процесса при передаче атакующим специально оформленных параметров сортировки. Проблема проявляется начиная с версии 7.2 (2009 год) и пока устранена в форме патча... (187 +13) обсуждение | весь текст
·	27.05.2025	Google оценил возможности квантового компьютера, необходимые для взлома RSA-2048 (174 +26)
	Компания Google опубликовала результаты прогнозирования возможностей квантового компьютера, необходимого для успешной факторизации параметров 2048-битных RSA-ключей. В ходе исследования был сделан вывод, что теоретически взлом ключа RSA-2048 может быть осуществлён за неделю вычислений на квантовом компьютере, имеющим миллион неидеальных ("шумных") кубитов. На текущем этапе развития квантовые компьютеры позволяют использовать от 100 до 1000 кубитов с необходимым для проведения атаки уровнем ошибок (0.1%)... (174 +26) обсуждение | весь текст
·	25.05.2025	Удалённая уязвимость в модуле ksmbd ядра Linux, выявленная при помощи AI (253 +30)
	В модуле ksmbd, предлагающем встроенную в ядро Linux реализацию файлового сервера на базе протокола SMB, выявлена уязвимость (CVE-2025-37899), потенциально позволяющая добиться выполнения своего кода на уровне ядра через отправку специально оформленных пакетов. Примечательно, что проблема была выявлена в ходе анализа кода AI-моделью OpenAI o3. Так как полный код модуля ksmbd превышает допустимый для модели размер контекста, проверка выполнялась поэтапно для кода с реализацией отдельных команд SMB, используя типовые запросы... (253 +30) обсуждение | весь текст
·	21.05.2025	Уязвимость в библиотеке OpenPGP.js, позволяющая обойти верификацию сообщений (19 +7)
	В библиотеке OpenPGP.js выявлена уязвимость (CVE-2025-47934), позволяющая злоумышленнику отправить модифицированное сообщение, которое будет воспринято получателем как верифицированное (функции openpgp.verify и openpgp.decrypt вернут признак успешной проверки цифровой подписи, несмотря на то, что содержимое заменено и отличается от данных, для которых создавалась подпись). Уязвимость устранена в выпусках OpenPGP.js 5.11.3 и 6.1.1. Проблема проявляется только в ветках OpenPGP.js 5.x и 6.x, и не затрагивает OpenPGP.js 4.x... (19 +7) обсуждение | весь текст
·	19.05.2025	Уязвимость в Glibc, затрагивающая статически собранные suid-файлы с dlopen (44 +13)
	В стандартной Си-библиотеке Glibc выявлена уязвимость (CVE-2025-4802), позволяющая добиться выполнения кода с привилегиями другого пользователя, выставляемыми при запуске приложений с флагом suid. Опасность проблемы сводят на нет условия, при которых она проявляется - разработчики Glibc не смогли найти ни одной suid-программы, к которой была бы применима найденная уязвимость. При этом не исключено, что в обиходе могут использоваться собственные suid-программы, удовлетворяющие условиям совершения атаки... (44 +13) обсуждение | весь текст
·	18.05.2025	На соревновании Pwn2Own в Берлине продемонстрированы взломы RHEL, Firefox, Redis и VirtualBox (107 +42)
	Подведены итоги трёх дней соревнований Pwn2Own Berlin 2025, на которых были продемонстрированы 26 успешных атак с использованием 28 ранее неизвестных уязвимостей (0-day) в операционных системах, браузерах, AI-системах и платформах виртуализации. При проведении атак использовались самые свежие программы и операционные системы со всеми доступными обновлениями и в конфигурации по умолчанию... (107 +42) обсуждение | весь текст
·	16.05.2025	Google добавит в Android режим расширенной защиты (259 –3)
	Компания Google объявила о включении в состав будущего выпуска Android 16 дополнительных возможностей для обеспечения защиты устройства. В настройках платформы появится режим... (259 –3) обсуждение | весь текст
Следующая страница (раньше) >>