·	21.04.2025	14 уязвимостей в библиотеке libsoup, используемой в GNOME (136 +15)
	В библиотеке libsoup, развиваемой проектом GNOME, выявлено 14 уязвимостей. Libsoup предоставляет реализации клиента и сервера HTTP, использующие GObjects для интеграции с приложениями GNOME. Библиотека применяется в GNOME Shell, браузере Epiphany (GNOME Web), просмотрщике изображений Shotwell, в GStreamer-плагине souphttpsrc и в приложениях, использующих libwebkit2gtk. Ранее библиотека libsoup применялась в NetworkManager, который начиная с выпуска 1.8 был переведён на libcurl... (136 +15) обсуждение | весь текст
·	18.04.2025	Обновление Java SE, MySQL, VirtualBox, Solaris и других продуктов Oracle с устранением уязвимостей (25 +8)
	Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В апрельском обновлении устранено 378 уязвимостей... (25 +8) обсуждение | весь текст
·	18.04.2025	Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённое выполнение кода (36 +20) ↻
	В библиотеке ssh, входящей в состав инструментария Erlang/OTP, выявлена уязвимость (CVE-2025-32433), позволяющая удалённо без прохождения аутентификации выполнить свой код на SSH-сервере, созданном с использованием уязвимой библиотеки. Проблема присвоен критический уровень опасности (10 из 10)... (36 +20) ↻ обсуждение | весь текст
·	16.04.2025	Инциденты с безопасностью в репозиториях PyPI и crates.io (42 +17)
	Разработчики репозитория Python-пакетов PyPI (Python Package Index) сообщили о выявлении проблемы с безопасностью в реализации функции "Organization Team", позволяющей сформировать команду из нескольких разработчиков, совместно работающих над проектом в PyPI. Суть выявленных проблем в том, что привилегии, делегированные пользователю как участнику "Organization Team", сохранялись после удаления пользователя из состава организации. Уязвимость в PyPI была устранена спустя 2 часа после сообщения о наличии проблемы. Проведённый аудит не выявил несанкционированных действий, связанных с использованием не отозванных прав доступа... (42 +17) обсуждение | весь текст
·	14.04.2025	Переполнение буфера в Perl, связанное с обработкой символов (88 +19)
	Опубликованы корректирующие обновления интерпретатора Perl 5.40.2 и 5.38.4, в которых устранена уязвимость (CVE-2024-56406), приводящая к переполнению буфера при транслитерации специально оформленных не-ASCII символов при помощи оператора "tr/../../". Не исключается возможность эксплуатации уязвимости для организации выполнения своего кода в системе. Проблема проявляется в стабильных релизах Perl начиная с 2021 года и затрагивает ветки Perl 5.34, 5.36, 5.38 и 5.40. Проследить за устранением уязвимости в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Fedora, Arch, FreeBSD. Дистрибутивы на основе RHEL 9, SUSE 15 и openSUSE Leap 15.6 уязвимости не подвержены, так как включают версии Perl 5.32 и 5.26... (88 +19) обсуждение | весь текст
·	12.04.2025	ИИ как новый вектор атаки на разработчиков ПО (191 +48)
	Инструменты программирования с поддержкой искусственного интеллекта (ИИ) всё больше влияют на разработку программного обеспечения и приводят к проблеме в безопасности: генерации несуществующих имён пакетов. ИИ модели как коммерческие, так и открытые, иногда предлагают код с указанием пакетов, которых не существует. Согласно недавним исследованиям, это происходит в 5.2% случаев у коммерческих моделей и в 21.7% - у открытых моделей... (191 +48) обсуждение | весь текст
·	11.04.2025	CPU AMD Zen 5 подвержены уязвимости, допускающей изменение микрокода и обход изоляции SEV-SNP (94 +17)
	Компания AMD включила процессоры на базе микроархитектуры Zen 5 в список продуктов, подверженных уязвимости EntrySign, позволяющей обойти механизм проверки цифровой подписи при обновлении микрокода. Изначально предполагалось, что уязвимость затрагивает только CPU AMD на базе 1-4 поколений микроархитектуры Zen. Таким образом уязвимость оказалась применима к таким процессорам, как Ryzen 9000 (Granite Ridge), EPYC 9005 (Turin), Ryzen AI 300 (Strix Halo, Strix Point, Krackan Point) и Ryzen 9000HX (Fire Range)... (94 +17) обсуждение | весь текст
·	11.04.2025	Уязвимости в сетевом конфигураторе ConnMan и DNS-библиотеке c-ares (83 +7)
	В сетевом конфигураторе ConnMan, получившем распространение во встраиваемых Linux-системах, автомобильных платформах и устройствах интернета вещей, выявлена уязвимость (CVE-2025-32743), которая потенциально может привести к выполнению кода при обработке специально оформленных ответов от DNS-сервера. Проблеме присвоен критический уровень опасности (9.1 из 10). Уязвимость проявляется вплоть до актуального выпуска ConnMan 1.44 и пока остаётся неисправленной... (83 +7) обсуждение | весь текст
·	10.04.2025	Опубликованы результаты аудита безопасности кодовой базы PHP (42 +22)
	Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, объявил о завершении независимого аудита критических компонентов основной кодовой базы проекта PHP. Работа выполнена французской компанией QuarksLab, которая уже привлекалась для аудита проектов OpenVPN, VeraCrypt и OpenSSL. В ходе проверки выявлено 27 проблем, из которых 17 имеют отношение к безопасности, а 10 носят информационный характер... (42 +22) обсуждение | весь текст
·	08.04.2025	Уязвимости в GNOME Help и GIMP, позволяющие выполнить код при открытии файлов (160 +22)
	В просмотрщике Yelp, применяемом по умолчанию в GNOME для работы со справочными руководствами (GNOME Help), выявлена уязвимость (CVE-2025-3155), позволяющая выполнить произвольный JavaScript-код при открытии специально оформленных page-файлов. Выполнение подобных скриптов даёт возможность отправить файлы пользователя на сервер атакующего. Проследить за устранением уязвимости в дистрибутивах можно на следующих страницах: Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD... (160 +22) обсуждение | весь текст
·	29.03.2025	Изучение начинки sandbox-окружения, используемого в Google Gemini для запуска Python-кода (13 +13)
	Опубликованы результаты исследования защищённости изолированного окружения для выполнения Python-кода, применяемого компанией Google в чатботе Gemini. Чатбот Gemini предоставляет средства для генерации кода по описанию задачи и для языка Python позволяет сразу запустить созданный код, чтобы избавить разработчика от лишних действий при его проверке. Код запускается в изолированном окружении, которое отрезано от внешнего мира и допускает только исполнение интерпретатора Python. Для определения начинки sandbox-окружения исследователи добились запуска кода, использующего возможности Python-библиотеки os для перебора содержимого всех каталогов и построения карты файловой системы... (13 +13) обсуждение | весь текст
·	28.03.2025	Выявлена возможность обхода ограничений доступа к "user namespace" в Ubuntu (74 +22)
	Исследователи безопасности из компании Qualys выявили три способа обхода применяемых в Ubuntu ограничений доступа к пространству имён идентификаторов пользователя (user namespace). Начиная с выпуска 23.10 в Ubuntu применяется дополнительный слой изоляции, не позволяющий обычным непривилегированным пользователям создавать "user namespace". Сам по себе доступ к "user namespace" не является уязвимостью и многие дистрибутивы предоставляют его из коробки, так как он требуется в системах контейнерной изоляции и используется для sandbox-ограничений (например применяется для sandbox-изоляции браузеров)... (74 +22) обсуждение | весь текст
·	27.03.2025	Утечка пользовательской базы списка рассылки автора сервиса HaveIBeenPwned (83 +52)
	Трой Хант (Troy Hunt), известный деятель в области компьютерной безопасности, автор курсов по защите информации, создатель сервиса проверки скомпрометированных паролей "Have I Been Pwned?" и региональный директор Microsoft, раскрыл сведения об утечке базы пользователей собственного списка рассылки. История показательна тем, что даже признанные специалисты в области компьютерной безопасности могут стать жертвами типового фишинга при определённом стечении обстоятельств... (83 +52) обсуждение | весь текст
·	27.03.2025	Обновление почтового сервера Exim 4.98.2 с устранением уязвимости (80 +14)
	Опубликован корректирующий выпуск почтового сервера Exim 4.98.2, в котором устранена уязвимость (CVE-2025-30232), потенциально позволяющая поднять свои привилегии. Возможна ли удалённая эксплуатация уязвимости не уточняется... (80 +14) обсуждение | весь текст
·	25.03.2025	Уязвимости в ingress-nginx, позволяющие выполнить код и захватить управление кластерами Kubernetes (87 +20) ↻
	В развиваемом проектом Kubernetes ingress-контроллере ingress-nginx выявлены четыре уязвимости, позволяющие добиться выполнения своего кода на серверах облачных систем, использующих платформу Kubernetes, и получить полный привилегированный доступ к кластеру Kubernetes. Проблемам присвоен критический уровень опасности (9.8 из 10). Выявившие проблемы исследователи присвоили уязвимостям кодовое имя IngressNightmare и отметили, что уязвимости затрагивают около 43% облачных окружений. Уязвимости устранены в версиях ingress-nginx 1.11.5 и 1.12.1... (87 +20) ↻ обсуждение | весь текст
<< Предыдущая страница (позже)
Следующая страница (раньше) >>