В спецификации PCIe нашли три уязвимости
Исследователи Intel обнаружили три бреши в протоколе PCIe IDE, который отвечает за шифрование и проверку целостности данных между компонентами. Проблемы затрагивают спецификацию PCIe 5.0 и выше, но для эксплуатации требуется физический доступ к железу, поэтому угроза оценена как низкая — 1,8–3,0 балла по CVSS.
Суть багов в некорректной обработке порядка пакетов и таймаутов, что позволяет подменить или переупорядочить трафик между PCIe-устройствами. Среди подтверждённо уязвимых продуктов — Intel Xeon 6 с P-ядрами и AMD EPYC 9005. Nvidia, Dell и ряд других вендоров заявили, что их железо не затронуто. Исправления уже разосланы производителям, обновления ожидаются в ближайшее время.
Хорошая новость — хакеру придётся буквально залезть внутрь сервера. Плохая — в дата-центрах бывают и не такие гости.
Исследователи Intel обнаружили три бреши в протоколе PCIe IDE, который отвечает за шифрование и проверку целостности данных между компонентами. Проблемы затрагивают спецификацию PCIe 5.0 и выше, но для эксплуатации требуется физический доступ к железу, поэтому угроза оценена как низкая — 1,8–3,0 балла по CVSS.
Суть багов в некорректной обработке порядка пакетов и таймаутов, что позволяет подменить или переупорядочить трафик между PCIe-устройствами. Среди подтверждённо уязвимых продуктов — Intel Xeon 6 с P-ядрами и AMD EPYC 9005. Nvidia, Dell и ряд других вендоров заявили, что их железо не затронуто. Исправления уже разосланы производителям, обновления ожидаются в ближайшее время.
Хорошая новость — хакеру придётся буквально залезть внутрь сервера. Плохая — в дата-центрах бывают и не такие гости.
👍1
Неисправленная уязвимость в Gogs привела к взлому 700 серверов
Критическая 0-day уязвимость в Gogs позволяет удалённо выполнять произвольный код. Из более чем 1400 публично доступных серверов свыше 700 уже скомпрометированы. Патча до сих пор нет.
Проблема CVE-2025-8110 связана с path traversal в API PutContents — атакующие используют символические ссылки для перезаписи файлов за пределами репозитория, обходя предыдущее исправление. Перезаписывая конфигурационные файлы Git, хакеры выполняют произвольные команды. Признак компрометации — репозитории со случайными 8-символьными названиями. Рекомендуется срочно отключить Open Registration и ограничить доступ к серверу.
Self-hosted, говорили они. Безопаснее, говорили они.
Критическая 0-day уязвимость в Gogs позволяет удалённо выполнять произвольный код. Из более чем 1400 публично доступных серверов свыше 700 уже скомпрометированы. Патча до сих пор нет.
Проблема CVE-2025-8110 связана с path traversal в API PutContents — атакующие используют символические ссылки для перезаписи файлов за пределами репозитория, обходя предыдущее исправление. Перезаписывая конфигурационные файлы Git, хакеры выполняют произвольные команды. Признак компрометации — репозитории со случайными 8-символьными названиями. Рекомендуется срочно отключить Open Registration и ограничить доступ к серверу.
Self-hosted, говорили они. Безопаснее, говорили они.
Госдума рассматривает блокировку всех сервисов Google в России
Депутаты обсуждают полное ограничение Google в России. Повод — компания до сих пор хранит персональные данные россиян за границей, а новые поправки к закону о персональных данных ужесточают требования к трансграничной передаче.
По словам Андрея Свинцова, это создаёт угрозу экономике и безопасности: бизнес держит в облаках Google финансовые данные, технологии и сделки — по сути, всю коммерческую тайну. Депутаты считают, что такие данные могут использоваться для мониторинга российской экономики и корректировки санкций.
Российские аналоги, уверяют парламентарии, уже ничем не уступают западным, а многие даже лучше. Переход планируют делать постепенно — через замедление и усложнение сервисов Google, чтобы дать время на миграцию.
Депутаты обсуждают полное ограничение Google в России. Повод — компания до сих пор хранит персональные данные россиян за границей, а новые поправки к закону о персональных данных ужесточают требования к трансграничной передаче.
По словам Андрея Свинцова, это создаёт угрозу экономике и безопасности: бизнес держит в облаках Google финансовые данные, технологии и сделки — по сути, всю коммерческую тайну. Депутаты считают, что такие данные могут использоваться для мониторинга российской экономики и корректировки санкций.
Российские аналоги, уверяют парламентарии, уже ничем не уступают западным, а многие даже лучше. Переход планируют делать постепенно — через замедление и усложнение сервисов Google, чтобы дать время на миграцию.
👎28👍4
Windows 10 без ESU лишилась возможности откладывать обновления
На компьютерах с Windows 10 без программы расширенных обновлений безопасности (ESU) кнопка «Приостановить обновления на 7 дней» стала неактивной. Скорее всего, это баг системы.
Внутренняя система оценки Windows Update, похоже, ошибочно определяет некоторые устройства как «просроченные» и переводит их в режим принудительного обновления. Новая логика разделения устройств с ESU и без неё даёт сбои. Бонус — если случайно кликнуть на обновление до Windows 11, отменить его тоже не получится. Microsoft пока не прокомментировала ситуацию.
На компьютерах с Windows 10 без программы расширенных обновлений безопасности (ESU) кнопка «Приостановить обновления на 7 дней» стала неактивной. Скорее всего, это баг системы.
Внутренняя система оценки Windows Update, похоже, ошибочно определяет некоторые устройства как «просроченные» и переводит их в режим принудительного обновления. Новая логика разделения устройств с ESU и без неё даёт сбои. Бонус — если случайно кликнуть на обновление до Windows 11, отменить его тоже не получится. Microsoft пока не прокомментировала ситуацию.
👎1😱1