Выявлена возможность обхода ограничений доступа к \"user namespace\" в Ubuntu
Исследователи безопасности из компании Qualys выявили три способа обхода применяемых в Ubuntu ограничений доступа к пространству имён идентификаторов пользователя (user namespace). Начиная с выпуска 23.10 в Ubuntu применяется дополнительный слой изоляции, не позволяющий обычным непривилегированным пользователям создавать "user namespace". Сам по себе доступ к "user namespace" не является уязвимостью и многие дистрибутивы предоставляют его из коробки, так как он требуется в системах контейнерной изоляции и используется для sandbox-ограничений (например применяется для sandbox-изоляции браузеров).
Уязвимости в ingress-nginx, позволяющие выполнить код и захватить управление кластерами Kubernetes
В развиваемом проектом Kubernetes ingress-контроллере ingress-nginx выявлены четыре уязвимости, позволяющие добиться выполнения своего кода на серверах облачных систем, использующих платформу Kubernetes, и получить полный привилегированный доступ к кластеру Kubernetes. Проблемам присвоен критический уровень опасности (9.8 из 10). Выявившие проблемы исследователи присвоили уязвимостям кодовое имя IngressNightmare и отметили, что уязвимости затрагивают около 43% облачных окружений. Уязвимости устранены в версиях ingress-nginx 1.11.5 и 1.12.1.
Уязвимости в Pagure и OBS, допускавшие компрометацию пакетов в репозиториях Fedora и openSUSE
Исследователи безопасности из компании Fenrisk раскрыли информацию об уязвимостях в инструментариях Pagure и OBS (Open Build Service), позволявших скомпрометировать инфраструктуры формирования пакетов дистрибутивов Fedora и openSUSE. Исследователи продемонстрировали возможность совершения атаки для выполнения произвольного кода на серверах с Pagure и OBS, что можно было использовать для подстановки изменений в пакеты в репозиториях Fedora и openSUSE.
Уязвимость в библиотеке ruby-saml, приводящая к обходу аутентификации в GitLab
Опубликованы корректирующие обновления платформы для организации совместной разработки GitLab - 17.9.2, 17.8.5 и 17.7.7, в которых устранена уязвимость (CVE-2025-25291, CVE-2025-25292), позволяющая обойти аутентификацию на базе SAML (Security Assertion Markup Language). Уязвимость присутствует в Ruby-библиотеке ruby-saml, реализующей функции для SAML-авторизации. Кроме GitLab уязвимость затрагивает и другие проекты, использующие данную библиотеку. Проблема устранена в обновлениях ruby-saml 1.18.0 и 1.12.4.
Google отключил дополнение uBlock Origin в каталоге Chrome Web Store
На странице дополнения uBlock Origin в каталоге Chrome Web Store деактивирована кнопка установки и размещено предупреждение "Дополнение больше недоступно, так как оно не следует рекомендациям по разработке дополнений к Chrome". Ранее пользователям выдавалось предупреждение о предстоящем прекращении поддержки дополнения uBlock Origin и необходимости поиска альтернативы. Отключение uBlock Origin связано с инициативой Google по прекращению поддержки второй версии манифеста Chrome, которую планируют распространить на всех пользователей Chrome до середины этого года. Изначально, поддержку второй версии манифеста планировалось прекратить в январе 2023 года, но затем сроки несколько раз сдвигались.
Подмена зависимости в Python-библиотеке, насчитывающей 40 млн загрузок в месяц
В библиотеке Python JSON Logger выявлена уязвимость (CVE-2025-27607) дающая возможность подменить зависимость при установке через каталог PyPI и добиться выполнения своего кода на системах, использующих данный пакет. Библиотека Python JSON Logger, которая позволяет организовать ведение лога в формате JSON, за последний месяц была загружена 40 млн раз. Проблема устранена в версии Python JSON Logger 3.3.0, опубликованной 7 марта.
В 2024 году Google выплатил 11.8 млн долларов вознаграждений за выявление уязвимостей
Компания Google подвела итоги программы выплаты вознаграждений за выявление уязвимостей в Chrome, Android, приложениях Google Play, продуктах Google и различном открытом ПО. Общая сумма выплаченных в 2024 году вознаграждений составила 11.8 млн долларов, что на 2 млн меньше, чем в 2023 году и примерно столько же как в 2022 году. Вознаграждения получили 660 исследователей (в прошлом году - 632, в позапрошлом - 703). С 2010 года суммарный размер выплат составил 65 млн долларов.
Chrome, Firefox и Safari ограничат время жизни TLS-сертификатов 13 месяцами
Разработчики проекта Chromium внесли изменение, прекращающее доверие к TLS-сертификатам, время жизни которых превышает 398 дней (13 месяцев). Ограничение будет действовать только для сертификатов, выписанных начиная с 1 сентября 2020 года. Для полученных до 1 сентября сертификатов с длительным сроком действия доверие будет сохранено, но ограничено 825 днями (2.2 года).
Google будет выплачивать вознаграждения за повышение безопасности популярного свободного ПО
Компания Google объявила о расширении действия программы по выплате вознаграждений за предоставление информации о наличии уязвимостей в браузере Chrome, компонентах Chrome OS и web-сервисах Google. Отныне вознаграждение смогут получить также исследователи безопасности, работающие в области повышения безопасности популярного сетевого и системного свободного ПО, а также распространённых открытых библиотек. При этом вознаграждения будут выплачиваться не только за выявление факта наличия уязвимостей, но и за создание улучшений, препятствующих возникновению проблем с безопасностью и упреждающих появление потенциальных уязвимостей.
Беспечность разработчиков ZPanel обернулась взломом инфраструктуры проекта
Поучительная история развивается вокруг открытой панели управления хостингом ZPanel, разработчики которой пренебрежительно отвечали на критику об использовании небезопасного стиля кодирования (например, использование eval, прямая подстановка переменных из массива $_POST в запросы SQL, наличие процесса zsudo для запуска любого кода ZPanel с правами root). Критика игнорировалась даже при демонстрации конкретных уязвимостей.
В инфраструктуре проекта Fedora выявлены проблемы с безопасностью
Робин Бергерон (Robyn Bergeron), лидер проекта Fedora, опубликовал уведомление о выявлении ошибки в системе управления аккаунтами разработчиков дистрибутива, которая могла привести к утечке данных об учётных записях разработчиков проекта, на стадии, когда аккаунты ещё не прошли подтверждение. Среди информации, которая могла попасть не в те руки присутствуют хэши паролей (SHA-512 с солью), тайные вопросы и ответы для восстановления пароля и персональные данные.
Почтовые ящики Google оказались устойчивыми к взлому
Компания Google принимала активные меры по улучшению защиты почтовых ящиков в сервисе Gmail. Эти усилия не стали напрасными. По сравнению с данными за 2011 год количество взломов сократилось на 99,7%. Эти данные были опубликованы разработчиками в корпоративном блоге компании.
Массовая атака аккаунтов на Twitter коснулась журналистов и политиков
Аналитическая компания Peerreach в своем блоге опубликовала информацию о последствиях хакерской атаки сервиса микроблогов Twitter. Злоумышленникам удалось получить доступ к личной информации 250 000 пользователей. Среди них оказались Джо Байден, Барак Обама и другие политики.
Сайт Пенитенциарной комиссии был взломан из-за ее нечестности
Группа хакеров Anonymous четырнадцатого января взломала сайт технологического института Массачусатса. Из библиотеки этого института Аарон Шварц незаконно скачал около пяти миллионов статей, связанный с наукой. Эти действия стали причиной возбуждения уголовного дела против интернет-активиста.
Повторно взломан сайт омбудсмена Лукина
Сайт Владимира Лукина, который занимает должность уполномоченного по правам человека, взломали уже во второй раз. Первая атака на портал состоялась в августе этого года. Новый взлом произошел ночью с 11 на 12 ноября.
Хакеры объявляют войну России
Группа хакеров GhostShell объявила о начале кибервойны с Россией. В доказательство своих намерений они разместили информацию о 2,5 миллионов аккаунтов различных официальных учреждений страны. Как заявили сами хакеры, их проект называется Project BlackStar, и они будут бороться против российской власти.
LinuxDoc.Ru