/ Безопасность
	- Виртуальные серверы и изолированные окружения
	- Квоты, ограничения
	- Firewall
	- Шифрование, SSH, SSL
	- Приватность
	- Вирусы, вредоносное ПО и спам
	- Исследования
	-       Атаки на инфраструктуры
	-       Методы атак
	-       Механизмы защиты
	-       Проблемы с криптографией
	- Локальные уязвимости
	-       Уязвимости в маршрутизаторах и оборудовании
	-       Удалённые уязвимости
	-       Уязвимости в процессорах
	- Взломы
·	23.04.2025	Google отказался от навязывания блокировки сторонних Cookie в Chrome (104 –11)
	Вице-президент Google, курирующий проект Privacy Sandbox, объявил о решении сохранить сложившийся подход к блокировке сторонних Cookie в Chrome - Cookie, выставляемые при обращении к доменам, отличающимся от домена текущей страницы, будут блокироваться по умолчанию только в режиме "инкогнито". Также будет пересмотрено использование технологий Privacy Sandbox в экосистеме, план по дальнейшему продвижению которых намерены подготовить в ближайшие месяцы... (104 –11) обсуждение | весь текст
·	22.04.2025	Уязвимость в удостоверяющем центре SSL.com, позволявшая получить сертификат для чужого домена (47 +17)
	В удостоверяющем центре SSL.com выявлена уязвимость в системе проверки владения доменом, позволявшая получить TLS-сертификат для любого домена, предоставившего email атакующему. Для получения TLS-сертификата было достаточно доступа к email с целевым доменом. Например, уязвимость позволяла получить TLS-сертификат для доменов, используемых в общедоступных email-сервисах, таких как gmail.com, yandex.ru, yahoo.com, outlook.com и icloud.com... (47 +17) обсуждение | весь текст
·	21.04.2025	Выпуск Bastille 0.14, системы управления контейнерами на основе FreeBSD Jail (102 +9)
	Опубликован выпуск Bastille 0.14.20250420, системы для автоматизации развёртывания и управления приложениями, запускаемыми в контейнерах, изолированных при помощи механизма FreeBSD Jail. Код написан на Shell, не требует для работы внешних зависимостей и распространяется под лицензией BSD... (102 +9) обсуждение | весь текст
·	21.04.2025	14 уязвимостей в библиотеке libsoup, используемой в GNOME (137 +13)
	В библиотеке libsoup, развиваемой проектом GNOME, выявлено 14 уязвимостей. Libsoup предоставляет реализации клиента и сервера HTTP, использующие GObjects для интеграции с приложениями GNOME. Библиотека применяется в GNOME Shell, браузере Epiphany (GNOME Web), просмотрщике изображений Shotwell, в GStreamer-плагине souphttpsrc и в приложениях, использующих libwebkit2gtk. Ранее библиотека libsoup применялась в NetworkManager, который начиная с выпуска 1.8 был переведён на libcurl... (137 +13) обсуждение | весь текст
·	19.04.2025	В Python задействованы криптофункции с математическим доказательством надёжности (66 +28)
	Объявлено об успешном завершении инициативы по замене в Python реализаций криптографических алгоритмов, предлагаемых в модулях hashlib и hmac, на варианты с математическим (формальным) доказательством надёжности, подготовленные проектом "HACL*". Работа по переходу на функции с математическим доказательством надёжности велась с 2022 года и была инициирована после выявления переполнения буфера в реализации алгоритма SHA3, используемой в Python-модуле hashlib... (66 +28) обсуждение | весь текст
·	18.04.2025	Обновление Java SE, MySQL, VirtualBox, Solaris и других продуктов Oracle с устранением уязвимостей (25 +7)
	Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В апрельском обновлении устранено 378 уязвимостей... (25 +7) обсуждение | весь текст
·	18.04.2025	Уязвимость в SSH-сервере из Erlang/OTP, допускающая удалённое выполнение кода (35 +18) ↻
	В библиотеке ssh, входящей в состав инструментария Erlang/OTP, выявлена уязвимость (CVE-2025-32433), позволяющая удалённо без прохождения аутентификации выполнить свой код на SSH-сервере, созданном с использованием уязвимой библиотеки. Проблема присвоен критический уровень опасности (10 из 10)... (35 +18) ↻ обсуждение | весь текст
·	16.04.2025	Для независимого ведения CVE учреждена организация CVE Foundation (21 +28)
	Правительство США возобновило финансирование деятельности MITRE, связанной с поддержанием базы CVE. Контракт продлён на 11 месяцев. Несмотря на это, участники управляющего совета CVE (CVE Board) объявили о создании некоммерческой организации CVE Foundation, нацеленной на поддержание стабильной деятельности и независимости проекта CVE... (21 +28) обсуждение | весь текст
·	16.04.2025	В Android появится опция для автоматической перезагрузки после 3 дней неактивности (98 +3)
	Компания Google реализовала в обновлении сервисов Google Play 25.14 возможность для автоматической перезагрузки смартфона после 3 дней неактивности (отсутствия разблокировки экрана). Для активации данной функции в настройки намерены добавить соответствующую опцию. Обновление сервисов Google Play 25.14 будет доведено до пользователей на следующей неделе... (98 +3) обсуждение | весь текст
·	16.04.2025	Инциденты с безопасностью в репозиториях PyPI и crates.io (42 +17)
	Разработчики репозитория Python-пакетов PyPI (Python Package Index) сообщили о выявлении проблемы с безопасностью в реализации функции "Organization Team", позволяющей сформировать команду из нескольких разработчиков, совместно работающих над проектом в PyPI. Суть выявленных проблем в том, что привилегии, делегированные пользователю как участнику "Organization Team", сохранялись после удаления пользователя из состава организации. Уязвимость в PyPI была устранена спустя 2 часа после сообщения о наличии проблемы. Проведённый аудит не выявил несанкционированных действий, связанных с использованием не отозванных прав доступа... (42 +17) обсуждение | весь текст
·	16.04.2025	MITRE не получил финансирование для продолжения ведения базы CVE-индентификаторов уязвимостей (47 –3) ↻
	Министерство внутренней безопасности США не продлило контракт с организацией MITRE, связанный с финансированием работы по назначению уязвимостям идентификаторов CVE (Common Vulnerabilities and Exposures), ведению централизованной базы данных общеизвестных уязвимостей, а также списка видов уязвимостей (CWE - Common Weakness Enumeration). Кроме того, отмечено общее сокращение финансирования MITRE, которое уже привело к увольнению более 400 сотрудников в этом месяце. Предполагается, что если не будут найдены альтернативные пути поддержания программы, то уже сегодня может быть остановлено обновление и присвоение новых CVE в MITRE... (47 –3) ↻ обсуждение | весь текст
·	14.04.2025	Максимальное время жизни TLS-сертификатов сократят с 398 до 47 дней (284 –48)
	Участники ассоциации CA/Browser Forum, являющейся площадкой для координации совместной работы производителей браузеров и удостоверяющих центров, проголосовали за сокращение максимального времени жизни TLS-сертификатов. Максимальное время действия TLS-сертификатов будет сокращено с 398 до 47 дней, если в дальнейшем CA/Browser Forum не пересмотрит принятое решение. Помимо времени действия сертификатов решено заметно сократить и сроки повторного использования данных валидации объектов: для SAN (Subject Alternative Name, когда один сертификат охватывает несколько ресурсов, например, действует сразу для нескольких доменов) срок будет сокращен с 398 до 10 дней, а для не-SAN - с 825 до 398 дней... (284 –48) обсуждение | весь текст
·	14.04.2025	Переполнение буфера в Perl, связанное с обработкой символов (88 +19)
	Опубликованы корректирующие обновления интерпретатора Perl 5.40.2 и 5.38.4, в которых устранена уязвимость (CVE-2024-56406), приводящая к переполнению буфера при транслитерации специально оформленных не-ASCII символов при помощи оператора "tr/../../". Не исключается возможность эксплуатации уязвимости для организации выполнения своего кода в системе. Проблема проявляется в стабильных релизах Perl начиная с 2021 года и затрагивает ветки Perl 5.34, 5.36, 5.38 и 5.40. Проследить за устранением уязвимости в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Fedora, Arch, FreeBSD. Дистрибутивы на основе RHEL 9, SUSE 15 и openSUSE Leap 15.6 уязвимости не подвержены, так как включают версии Perl 5.32 и 5.26... (88 +19) обсуждение | весь текст
·	12.04.2025	ИИ как новый вектор атаки на разработчиков ПО (191 +48)
	Инструменты программирования с поддержкой искусственного интеллекта (ИИ) всё больше влияют на разработку программного обеспечения и приводят к проблеме в безопасности: генерации несуществующих имён пакетов. ИИ модели как коммерческие, так и открытые, иногда предлагают код с указанием пакетов, которых не существует. Согласно недавним исследованиям, это происходит в 5.2% случаев у коммерческих моделей и в 21.7% - у открытых моделей... (191 +48) обсуждение | весь текст
·	12.04.2025	Утверждено обеспечение повторяемых сборок в Fedora 43 (39 +7)
	Комитет FESCo (Fedora Engineering Steering Committee), отвечающий за техническую часть разработки дистрибутива Fedora Linux, утвердил проект по обеспечению повторяемых сборок пакетов в осеннем выпуске Fedora 43. Целью инициативы заявлена возможность применения повторяемых сборок для не менее, чем 99% пакетов в репозитории... (39 +7) обсуждение | весь текст
Следующая страница (раньше) >>