ПОГОДА, НОВОСТИ И ГОРОСКОП
Уязвимости в Mongoose ставят под удар MongoDB // dl // 20.02.25 18:23
Библиотека Mongoose используется для интеграции MongoDB в Node.js-приложения, обеспечивая дополнительный уровень абстракции для отображения объектов JS в базы MongoDB. Две обнародованные сегодня (и уже закрытые сначала в актуальной версии) уязвимости приводят к классической SQL-инъекции (хотя для NOSQL базы звучит забавно) со всеми вытекающими последствиями вплоть до удаленного исполнения кода.
Источник: The Register
Библиотека Mongoose используется для интеграции MongoDB в Node.js-приложения, обеспечивая дополнительный уровень абстракции для отображения объектов JS в базы MongoDB. Две обнародованные сегодня (и уже закрытые сначала в актуальной версии) уязвимости приводят к классической SQL-инъекции (хотя для NOSQL базы звучит забавно) со всеми вытекающими последствиями вплоть до удаленного исполнения кода.
Источник: The Register
По роутерам Juniper расползается бэкдор, активирующийся "волшебным пакетом" // dl // 27.01.25 17:33
Исследователи из Black Lotus Labs сообщают о том, что с середины 2023 года ряд корпоративных роутеров Juniper с Junos OS, половина из которых была сконфигурирована как VPN-шлюз, тихо и незаметно заражается вариантом "невидимого" бэкдора cd00r, заточенного под максимально незаметное исполнение в атакованной системе. В отличие от традиционных бэкдоров, которые незатейливо открывают какой-нибудь порт и ожидают поступления команд, J-Magic мониторит стандартный трафик, проходящий через роутер, на предмет обнаружения "магического пакета", содержащего определенные значения в TCP-заголовке. Далее отправителю этого пакета отсылается случайная строка из пяти символов, зашифрованная публичным RSA-ключом, и если отправителю удается ее расшифровать и отправить роутеру для верификации, тот начинает выполнять удаленные команды.
Источник: The Register
Исследователи из Black Lotus Labs сообщают о том, что с середины 2023 года ряд корпоративных роутеров Juniper с Junos OS, половина из которых была сконфигурирована как VPN-шлюз, тихо и незаметно заражается вариантом "невидимого" бэкдора cd00r, заточенного под максимально незаметное исполнение в атакованной системе. В отличие от традиционных бэкдоров, которые незатейливо открывают какой-нибудь порт и ожидают поступления команд, J-Magic мониторит стандартный трафик, проходящий через роутер, на предмет обнаружения "магического пакета", содержащего определенные значения в TCP-заголовке. Далее отправителю этого пакета отсылается случайная строка из пяти символов, зашифрованная публичным RSA-ключом, и если отправителю удается ее расшифровать и отправить роутеру для верификации, тот начинает выполнять удаленные команды.
Источник: The Register
С наступающим // dl // 31.12.24 23:59
Всех присутствующих — с неумолимо надвигающимися 5*5 и 45*45.
Источник:
Всех присутствующих — с неумолимо надвигающимися 5*5 и 45*45.
Источник:
Microsoft обещает радикально усилить безопасность Windows в следующем году // dl // 19.11.24 17:09
Традиционно любой крупный провал в области безопасности (будь то червь Морриса, эпидемия Blaster и т.п.) приводил серьезной перетряске устоявшихся правил и практик. Не исключением стала и летняя катастрофа с CrowdStrike, обрушившая 8 с лишним миллионов пользовательских компьютеров и серверов, что обошлось пострадавшим в не один миллиард долларов. Для предотвращения подобных инцидентов в будущем Microsoft выступила с инициативой Windows Resiliency. Самые заметные изменения, ожидаемые в следующем году, включают быстрое восстановление (Quick Machine Recovery) позволяющее удаленно вытащить систему из постоянной перезагрузки, и защиту администратора (Administrator Protection), требующую для выполнения критичных действий не просто подтверждения в диалоге, а биометрическую аутентификацию через Windows Hello либо ввода отдельного пин-кода. Наконец, включенный по умолчанию Smart App Control не даст запускать неизвестные приложения и скачанные из сети скрипты,...»»
Источник: ZDNet
Традиционно любой крупный провал в области безопасности (будь то червь Морриса, эпидемия Blaster и т.п.) приводил серьезной перетряске устоявшихся правил и практик. Не исключением стала и летняя катастрофа с CrowdStrike, обрушившая 8 с лишним миллионов пользовательских компьютеров и серверов, что обошлось пострадавшим в не один миллиард долларов. Для предотвращения подобных инцидентов в будущем Microsoft выступила с инициативой Windows Resiliency. Самые заметные изменения, ожидаемые в следующем году, включают быстрое восстановление (Quick Machine Recovery) позволяющее удаленно вытащить систему из постоянной перезагрузки, и защиту администратора (Administrator Protection), требующую для выполнения критичных действий не просто подтверждения в диалоге, а биометрическую аутентификацию через Windows Hello либо ввода отдельного пин-кода. Наконец, включенный по умолчанию Smart App Control не даст запускать неизвестные приложения и скачанные из сети скрипты,...»»
Источник: ZDNet
Ядро Linux избавляется от российских мейнтейнеров // dl // 23.10.24 23:10
22 октября Грег Кроа-Хартман (Greg Kroah-Hartman), поддерживающий стабильную ветку ядра Linux, исключил из списка мейнтейнеров ядра 11 разработчиков, у 10 из которых по случайному стечению обстоятельств почтовые адреса заканчивались на .ru. Одиннадцатым был сотрудник «Байкал Электроникс» Сергей Сёмин, патчи которого отказались принимать еще в марте 2023 года с формулировкой «нам некомфортно принимать патчи от вашей организации». На этот раз причиной названы various compliance requirements (прекрасная формулировка, под которой может скрываться что угодно, от юридических требований до всё той же некомфортности). Проделано всё было без каких-либо предварительных объявлений или объяснений, сообщество узнало о случившемся просто из описания очередного патча. Тут надо понимать, что исключение из списка мейнтейнеров само по себе не ведёт к автоматическому исключению ранее одобренного этими мейнтейнерами кода, не лишает возможности отправлять патчи и т.п. Просто эти люди не будут упоминаться, как будто бы их никогда...»»
Источник: lore.kernel.org
22 октября Грег Кроа-Хартман (Greg Kroah-Hartman), поддерживающий стабильную ветку ядра Linux, исключил из списка мейнтейнеров ядра 11 разработчиков, у 10 из которых по случайному стечению обстоятельств почтовые адреса заканчивались на .ru. Одиннадцатым был сотрудник «Байкал Электроникс» Сергей Сёмин, патчи которого отказались принимать еще в марте 2023 года с формулировкой «нам некомфортно принимать патчи от вашей организации». На этот раз причиной названы various compliance requirements (прекрасная формулировка, под которой может скрываться что угодно, от юридических требований до всё той же некомфортности). Проделано всё было без каких-либо предварительных объявлений или объяснений, сообщество узнало о случившемся просто из описания очередного патча. Тут надо понимать, что исключение из списка мейнтейнеров само по себе не ведёт к автоматическому исключению ранее одобренного этими мейнтейнерами кода, не лишает возможности отправлять патчи и т.п. Просто эти люди не будут упоминаться, как будто бы их никогда...»»
Источник: lore.kernel.org
20 лет Ubuntu // dl // 20.10.24 19:11
20 октября 2004 было объявлено о выходе первого релиза Ubuntu с кодовым именем The Warty Warthog (Бородавчатый бородавочник). Кстати, при желании его до сих пор можно скачать — как и любую более позднюю версию.
Источник: ubuntu-announce mailing list
20 октября 2004 было объявлено о выходе первого релиза Ubuntu с кодовым именем The Warty Warthog (Бородавчатый бородавочник). Кстати, при желании его до сих пор можно скачать — как и любую более позднюю версию.
Источник: ubuntu-announce mailing list
Tailscale окончательно забанила российские адреса // dl // 02.10.24 18:54
Популярная mesh-vpn Tailscale, позволяющая без особых усилий объединить в одну сеть узлы, закопанные за корпоративными nat'ами, еще год назад решила сделать жест доброй воли и заблокировала скачивание своего дистрибутива с российских адресов. Работе это особо не мешало, клиенты продолжали работать как ни в чем не бывало. Отпиливание хвоста по частям продолжилось, и весной этого года отвалилась проверка обновлений. Ну а с 1 октября блокировка по geoip была включена и для панели администратора, и для подключения клиентов к управляющему серверу. Запущенные ранее клиенты продолжали работать, но при первой же перезагрузке переставали видеть сеть. Причем если с Notion пользователей хотя бы предупредили заранее, тут многие даже не сразу поняли, что произошло. Впрочем, альтернатив пока хватает. Тот же опенсорсный ZeroTier работает ничуть не хуже. Можно даже просто поднять self-hosted управляющий сервер Headscale (если...»»
Источник: reddit
Популярная mesh-vpn Tailscale, позволяющая без особых усилий объединить в одну сеть узлы, закопанные за корпоративными nat'ами, еще год назад решила сделать жест доброй воли и заблокировала скачивание своего дистрибутива с российских адресов. Работе это особо не мешало, клиенты продолжали работать как ни в чем не бывало. Отпиливание хвоста по частям продолжилось, и весной этого года отвалилась проверка обновлений. Ну а с 1 октября блокировка по geoip была включена и для панели администратора, и для подключения клиентов к управляющему серверу. Запущенные ранее клиенты продолжали работать, но при первой же перезагрузке переставали видеть сеть. Причем если с Notion пользователей хотя бы предупредили заранее, тут многие даже не сразу поняли, что произошло. Впрочем, альтернатив пока хватает. Тот же опенсорсный ZeroTier работает ничуть не хуже. Можно даже просто поднять self-hosted управляющий сервер Headscale (если...»»
Источник: reddit
Прекращение работы антивируса Касперского в США // dl // 30.09.24 17:30
30 сентября вступает в силу запрет на использование программ "Лаборатории Касперского" в США. За неделю до этого многие американские пользователи обнаружили на своих машинах вместо антивируса Касперского не слишком-то известный продукт UltraAV от Pango Group. В Windows-системах замена произошла автоматически, пользователи macOS и Android получили извещения по почте. Всего Pango Group было передано около миллиона пользовательских аккаунтов.
Источник: The Register
30 сентября вступает в силу запрет на использование программ "Лаборатории Касперского" в США. За неделю до этого многие американские пользователи обнаружили на своих машинах вместо антивируса Касперского не слишком-то известный продукт UltraAV от Pango Group. В Windows-системах замена произошла автоматически, пользователи macOS и Android получили извещения по почте. Всего Pango Group было передано около миллиона пользовательских аккаунтов.
Источник: The Register
Microsoft Authenticator теряет пользовательские аккаунты // dl // 05.08.24 22:21
Внезапно выяснилось, что довольно популярное приложение для двухфакторной аутентификации Microsoft Authenticator всю свою жизнь (с 2016 года) имело неприятную особенность: при добавлении через QR-код перезаписывало аккаунт с тем же именем пользователя. С учетом того, что ряд сервисов в качестве имени использует электронную почту, вероятность затереть существующий аккаунт совершенно другого сервиса тут совершенно ненулевая. Причем узнаете вы об этом, когда станет уже слишком поздно что-то менять.
Источник: Slashdot
Внезапно выяснилось, что довольно популярное приложение для двухфакторной аутентификации Microsoft Authenticator всю свою жизнь (с 2016 года) имело неприятную особенность: при добавлении через QR-код перезаписывало аккаунт с тем же именем пользователя. С учетом того, что ряд сервисов в качестве имени использует электронную почту, вероятность затереть существующий аккаунт совершенно другого сервиса тут совершенно ненулевая. Причем узнаете вы об этом, когда станет уже слишком поздно что-то менять.
Источник: Slashdot
Облачнолазурное // dl // 31.07.24 17:34
Как-то совсем не задалось с облаками у Microsoft в этом июле. Сначала инцидент с обновлением CrowdStrike Falcon 19 июля, который зацепил заодно и Azure с собственными сервисами MS, да так хорошо, что версия с Azure как источником проблемы некоторое время была одной из основных. Хотя в той ситуации самой Microsoft удалось более-менее оправдаться, осадочек остался. И вот как будто чтобы закрепить впечатление, теперь уже в самой инфраструктуре Azure 30 июля случился восьмичасовой сбой, зацепивший Azure Front Door (AFD) и Azure Content Delivery Network (CDN), что по цепочке потащило за собой, например, проблемы с Minecraft, GitHub, мобильным приложением Starbucks и т.п. Источником сбоя названа DDoS-атака. С основными проблемами удалось разобраться за пару часов, но в Microsoft признали, что "ошибки в реализации защиты усилили негативные последствия атаки вместо их устранения".
Источник: The Register
Как-то совсем не задалось с облаками у Microsoft в этом июле. Сначала инцидент с обновлением CrowdStrike Falcon 19 июля, который зацепил заодно и Azure с собственными сервисами MS, да так хорошо, что версия с Azure как источником проблемы некоторое время была одной из основных. Хотя в той ситуации самой Microsoft удалось более-менее оправдаться, осадочек остался. И вот как будто чтобы закрепить впечатление, теперь уже в самой инфраструктуре Azure 30 июля случился восьмичасовой сбой, зацепивший Azure Front Door (AFD) и Azure Content Delivery Network (CDN), что по цепочке потащило за собой, например, проблемы с Minecraft, GitHub, мобильным приложением Starbucks и т.п. Источником сбоя названа DDoS-атака. С основными проблемами удалось разобраться за пару часов, но в Microsoft признали, что "ошибки в реализации защиты усилили негативные последствия атаки вместо их устранения".
Источник: The Register
Russian Security Newsline
Понравилась новость? Поделись с друзьями.........
