🔘 OpenNet: Выпуск nginx 1.30.0 и форка FreeNginx 1.30.0
✉ 14.04.2026 21:15:08
💻 После года разработки опубликована новая стабильная ветка высокопроизводительного HTTP-сервера и многопротокольного прокси-сервера nginx 1.30.0, которая вобрала в себя изменения, накопленные в основной ветке 1.29.x. В дальнейшем все изменения в стабильной ветке 1.30 будут связаны с устранением серьёзных ошибок и уязвимостей. В скором времени будет сформирована основная ветка nginx 1.31, в которой будет продолжено развитие новых возможностей. Для обычных пользователей, у которых нет задачи обеспечить совместимость со сторонними модулями, рекомендуется использовать основную ветку, на базе которой раз в три месяца формируются выпуски коммерческого продукта Nginx Plus. Код nginx написан на языке Си и распространяется под лицензией BSD.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65207
read it on CSN:
https://csn.net4me.net/cyber_security_27171.html
✉ 14.04.2026 21:15:08
💻 После года разработки опубликована новая стабильная ветка высокопроизводительного HTTP-сервера и многопротокольного прокси-сервера nginx 1.30.0, которая вобрала в себя изменения, накопленные в основной ветке 1.29.x. В дальнейшем все изменения в стабильной ветке 1.30 будут связаны с устранением серьёзных ошибок и уязвимостей. В скором времени будет сформирована основная ветка nginx 1.31, в которой будет продолжено развитие новых возможностей. Для обычных пользователей, у которых нет задачи обеспечить совместимость со сторонними модулями, рекомендуется использовать основную ветку, на базе которой раз в три месяца формируются выпуски коммерческого продукта Nginx Plus. Код nginx написан на языке Си и распространяется под лицензией BSD.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65207
read it on CSN:
https://csn.net4me.net/cyber_security_27171.html
csn.net4me.net
Cyber Security News. News 27171 csn.net4me.net
News 27171. Cyber Security News. csn.net4me.net Новости Компьютерной Безопасности.
🔘 OpenNet: Релиз StartWine-Launcher 420, программы для запуска Windows-приложений и игр в Linux
✉ 14.04.2026 21:49:23
💻 Опубликован выпуск приложения Startwine-Launcher 420, развиваемого для запуска в Linux-системах программ и игр, собранных для платформы Windows. Основной целью разработки StartWine-Launcher было упрощение процесса создания новичками префиксов Wine, - наборов библиотек и зависимостей Windows, необходимых для работы Windows-приложений в Linux. Код StartWine-Launcher написан на языке Python и распространяется под лицензией GPLv3. Интерфейс реализован на основе библиотеки GTK.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65205
read it on CSN:
https://csn.net4me.net/cyber_security_27172.html
✉ 14.04.2026 21:49:23
💻 Опубликован выпуск приложения Startwine-Launcher 420, развиваемого для запуска в Linux-системах программ и игр, собранных для платформы Windows. Основной целью разработки StartWine-Launcher было упрощение процесса создания новичками префиксов Wine, - наборов библиотек и зависимостей Windows, необходимых для работы Windows-приложений в Linux. Код StartWine-Launcher написан на языке Python и распространяется под лицензией GPLv3. Интерфейс реализован на основе библиотеки GTK.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65205
read it on CSN:
https://csn.net4me.net/cyber_security_27172.html
🔘 OpenNet: Выпуск криптографической библиотеки OpenSSL 4.0.0
✉ 14.04.2026 23:43:03
💻 Состоялся релиз библиотеки OpenSSL 4.0.0, предлагающей с реализацию протоколов TLS и различных алгоритмов шифрования. OpenSSL 4.0 отнесён к выпускам с обычным сроком поддержки, обновления для которых выпускаются в течение 13 месяцев. Поддержка прошлых веток OpenSSL 3.6, 3.5 LTS, 3.4 и 3.0 LTS продлится до ноября 2026 года, апреля 2030 года, октября 2026 года и сентября 2026 года соответственно. Код проекта распространяется под лицензией Apache 2.0.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65208
read it on CSN:
https://csn.net4me.net/cyber_security_27173.html
✉ 14.04.2026 23:43:03
💻 Состоялся релиз библиотеки OpenSSL 4.0.0, предлагающей с реализацию протоколов TLS и различных алгоритмов шифрования. OpenSSL 4.0 отнесён к выпускам с обычным сроком поддержки, обновления для которых выпускаются в течение 13 месяцев. Поддержка прошлых веток OpenSSL 3.6, 3.5 LTS, 3.4 и 3.0 LTS продлится до ноября 2026 года, апреля 2030 года, октября 2026 года и сентября 2026 года соответственно. Код проекта распространяется под лицензией Apache 2.0.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65208
read it on CSN:
https://csn.net4me.net/cyber_security_27173.html
🔘 OpenNet: Из ядра Linux 7.1 удалены опции сборки для процессоров i486
✉ 15.04.2026 08:08:31
💻 Линус Торвальдс принял в состав ядра Linux 7.1, релиз которого ожидается в середине июня, первую серию изменений для прекращения поддержки процессоров i486. На данном этапе из Kconfig удалены опции для сборки ядра с поддержкой процессоров 486DX, 486SX и AMD ELAN (CONFIG_M486, CONFIG_M486SX и CONFIG_MELAN), а из Makefile исключены опции компиляции для систем i486 (-march=i486). Код для фактической поддержки работы на процессорах i486 пока оставлен в ядре, но сборка для подобных систем теперь потребует применения патчей к сборочным файлам.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65209
read it on CSN:
https://csn.net4me.net/cyber_security_27174.html
✉ 15.04.2026 08:08:31
💻 Линус Торвальдс принял в состав ядра Linux 7.1, релиз которого ожидается в середине июня, первую серию изменений для прекращения поддержки процессоров i486. На данном этапе из Kconfig удалены опции для сборки ядра с поддержкой процессоров 486DX, 486SX и AMD ELAN (CONFIG_M486, CONFIG_M486SX и CONFIG_MELAN), а из Makefile исключены опции компиляции для систем i486 (-march=i486). Код для фактической поддержки работы на процессорах i486 пока оставлен в ядре, но сборка для подобных систем теперь потребует применения патчей к сборочным файлам.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65209
read it on CSN:
https://csn.net4me.net/cyber_security_27174.html
🔘 OpenNet: Обновление X.Org Server 21.1.22 с устранением 5 уязвимостей
✉ 15.04.2026 08:58:33
💻 Опубликованы корректирующие выпуски X.Org Server 21.1.22 и DDX-компонента (Device-Dependent X) xwayland 24.1.10, обеспечивающего запуск X.Org Server для организации выполнения X11-приложений в окружениях на базе Wayland. В новых версиях устранены 5 уязвимостей. Некоторые уязвимости потенциально могут быть эксплуатированы для повышения привилегий в системах, в которых X-сервер выполняется с правами root, а также для удалённого выполнения кода в конфигурациях, в которых для доступа используется перенаправление сеанса X11 при помощи SSH.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65210
read it on CSN:
https://csn.net4me.net/cyber_security_27175.html
✉ 15.04.2026 08:58:33
💻 Опубликованы корректирующие выпуски X.Org Server 21.1.22 и DDX-компонента (Device-Dependent X) xwayland 24.1.10, обеспечивающего запуск X.Org Server для организации выполнения X11-приложений в окружениях на базе Wayland. В новых версиях устранены 5 уязвимостей. Некоторые уязвимости потенциально могут быть эксплуатированы для повышения привилегий в системах, в которых X-сервер выполняется с правами root, а также для удалённого выполнения кода в конфигурациях, в которых для доступа используется перенаправление сеанса X11 при помощи SSH.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65210
read it on CSN:
https://csn.net4me.net/cyber_security_27175.html
🔘 OpenNet: Новая версия Raspberry Pi OS
✉ 15.04.2026 10:35:15
💻 Проект Raspberry Pi представил новую версию дистрибутива Raspberry Pi OS 2026-04-13 (Raspbian). Дистрибутив основан на пакетной базе Debian 13 и содержит около 35 тысяч пакетов в репозитории. Среда рабочего стола базируется на композитном сервере labwc, использующем библиотеку wlroots от проекта Sway. Для загрузки подготовлены три сборки: сокращённая (537МБ) для серверных систем, с базовым рабочим столом (1.2 ГБ) и полная с дополнительным набором приложений (1.9 ГБ). Сборки доступны для 32- и 64-разрядных архитектур. Дополнительно сформировано обновление для старой редакции Raspberry Pi OS (Legacy), построенное на пакетной базе Debian 12.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65211
read it on CSN:
https://csn.net4me.net/cyber_security_27176.html
✉ 15.04.2026 10:35:15
💻 Проект Raspberry Pi представил новую версию дистрибутива Raspberry Pi OS 2026-04-13 (Raspbian). Дистрибутив основан на пакетной базе Debian 13 и содержит около 35 тысяч пакетов в репозитории. Среда рабочего стола базируется на композитном сервере labwc, использующем библиотеку wlroots от проекта Sway. Для загрузки подготовлены три сборки: сокращённая (537МБ) для серверных систем, с базовым рабочим столом (1.2 ГБ) и полная с дополнительным набором приложений (1.9 ГБ). Сборки доступны для 32- и 64-разрядных архитектур. Дополнительно сформировано обновление для старой редакции Raspberry Pi OS (Legacy), построенное на пакетной базе Debian 12.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65211
read it on CSN:
https://csn.net4me.net/cyber_security_27176.html
🔘 Vulnerability(cybersecuritynews.com): Adobe Acrobat Reader Vulnerabilities Let Attackers Execute Arbitrary Code
✉ 15.04.2026 17:05:46 Abinaya
💻 Adobe has released a critical security bulletin on April 14, 2026, to address multiple vulnerabilities in Adobe Acrobat and Reader for Windows and macOS.
According to the official advisory, successful exploitation of these flaws could allow attackers to execute arbitrary code or read arbitrary files on a targeted system.
While these threats carry high severity ratings, Adobe confirmed that they are not currently aware of any active exploits in the wild.
Arbitrary code execution is particularly dangerous in document readers, as threat actors frequently use phishing emails to trick victims into opening weaponized files.
Once a malicious PDF is opened, an attacker could silently install malware, steal sensitive data, or establish a foothold within a corporate network.
Adobe Acrobat Reader Vulnerabilities
The latest security patch addresses two specific vulnerabilities. Both are categorized as Improperly Controlled Modification of Object Prototype Attributes, commonly known as Prototype Pollution (CWE-1321).
This type of flaw occurs when a script manipulates standard object behavior, allowing attackers to bypass security controls.
The security bulletin highlights the following technical details:
🔸CVE-2026-34622: A critical vulnerability with a high CVSS base score of 8.6, allowing arbitrary code execution in the context of the current user, was reported by a security researcher known as YH from Zscaler.
🔸CVE-2026-34626: Rated as important with a CVSS base score of 6.3, this flaw could result in arbitrary file system reads and expose sensitive local data, discovered by researcher greenapple.
These security flaws affect multiple tracks of Adobe’s PDF software on both Windows and macOS.
Users running outdated software are at risk of potential compromise if they interact with a maliciously crafted document.
The affected products include:
🔸Acrobat DC and Acrobat Reader DC (Continuous Track) versions 26.001.21411 and earlier for both Windows and macOS.
🔸Acrobat 2024 (Classic Track) version 24.001.30362 and earlier for Windows.
🔸Acrobat 2024 (Classic Track) version 24.001.30360 and earlier for macOS.
Mitigations
Adobe rated these updates as Priority 2, meaning no active exploits are known, but patches should be applied promptly to prevent future attacks.
Adobe strongly recommends updating software installations to the newly patched versions: 26.001.21431 for the Continuous Track and 24.001.30365 for the Classic 2024 Track.
Users and IT administrators can secure their environments using the following methods:
🔸Open the Adobe ...
#Adobe #Cyber_Security_News #Vulnerability #cyber_security #cyber_security_news
https://cybersecuritynews.com/adobe-acrobat-reader-vulnerabilities-patch/
read it on CSN:
https://csn.net4me.net/cyber_security_27177.html
✉ 15.04.2026 17:05:46 Abinaya
💻 Adobe has released a critical security bulletin on April 14, 2026, to address multiple vulnerabilities in Adobe Acrobat and Reader for Windows and macOS.
According to the official advisory, successful exploitation of these flaws could allow attackers to execute arbitrary code or read arbitrary files on a targeted system.
While these threats carry high severity ratings, Adobe confirmed that they are not currently aware of any active exploits in the wild.
Arbitrary code execution is particularly dangerous in document readers, as threat actors frequently use phishing emails to trick victims into opening weaponized files.
Once a malicious PDF is opened, an attacker could silently install malware, steal sensitive data, or establish a foothold within a corporate network.
Adobe Acrobat Reader Vulnerabilities
The latest security patch addresses two specific vulnerabilities. Both are categorized as Improperly Controlled Modification of Object Prototype Attributes, commonly known as Prototype Pollution (CWE-1321).
This type of flaw occurs when a script manipulates standard object behavior, allowing attackers to bypass security controls.
The security bulletin highlights the following technical details:
🔸CVE-2026-34622: A critical vulnerability with a high CVSS base score of 8.6, allowing arbitrary code execution in the context of the current user, was reported by a security researcher known as YH from Zscaler.
🔸CVE-2026-34626: Rated as important with a CVSS base score of 6.3, this flaw could result in arbitrary file system reads and expose sensitive local data, discovered by researcher greenapple.
These security flaws affect multiple tracks of Adobe’s PDF software on both Windows and macOS.
Users running outdated software are at risk of potential compromise if they interact with a maliciously crafted document.
The affected products include:
🔸Acrobat DC and Acrobat Reader DC (Continuous Track) versions 26.001.21411 and earlier for both Windows and macOS.
🔸Acrobat 2024 (Classic Track) version 24.001.30362 and earlier for Windows.
🔸Acrobat 2024 (Classic Track) version 24.001.30360 and earlier for macOS.
Mitigations
Adobe rated these updates as Priority 2, meaning no active exploits are known, but patches should be applied promptly to prevent future attacks.
Adobe strongly recommends updating software installations to the newly patched versions: 26.001.21431 for the Continuous Track and 24.001.30365 for the Classic 2024 Track.
Users and IT administrators can secure their environments using the following methods:
🔸Open the Adobe ...
#Adobe #Cyber_Security_News #Vulnerability #cyber_security #cyber_security_news
https://cybersecuritynews.com/adobe-acrobat-reader-vulnerabilities-patch/
read it on CSN:
https://csn.net4me.net/cyber_security_27177.html
Cyber Security News
Adobe Acrobat Reader Vulnerabilities Let Attackers Execute Arbitrary Code
Adobe released bulletin APSB26-44 fixing Acrobat and Reader flaws that could allow code execution or file access.
🔘 OpenNet: Выпуск дистрибутива Альт Рабочая станция К 11.3
✉ 15.04.2026 21:09:33
💻 Доступно обновление дистрибутива Linux «Альт Рабочая станция К 11.3», предлагающего среду рабочего стола KDE и ориентированного для работы в офисе и дома. Сборка подготовлена для архитектуры x86_64 и построена на 11 платформе ALT. Для загрузки сформированы установочный iso-образ (8.9 ГБ) и отдельная Live-сборка (5.5 ГБ).
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65214
read it on CSN:
https://csn.net4me.net/cyber_security_27178.html
✉ 15.04.2026 21:09:33
💻 Доступно обновление дистрибутива Linux «Альт Рабочая станция К 11.3», предлагающего среду рабочего стола KDE и ориентированного для работы в офисе и дома. Сборка подготовлена для архитектуры x86_64 и построена на 11 платформе ALT. Для загрузки сформированы установочный iso-образ (8.9 ГБ) и отдельная Live-сборка (5.5 ГБ).
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65214
read it on CSN:
https://csn.net4me.net/cyber_security_27178.html
🔘 OpenNet: Фонд СПО призвал ONLYOFFICE удалить ограничения, добавленные сверх лицензии AGPL
✉ 15.04.2026 21:45:53
💻 Кшиштоф Севич (Krzysztof Siewicz), юрист Фонда свободного ПО, отвечающий за контроль над соблюдением лицензий, заявил о необоснованности претензий разработчиков ONLYOFFICE к создателям форка Euro-Office, отбросившим добавленные в текст лицензии дополнения и продолжившие развитие кодовой базы ONLYOFFICE под чистой лицензией AGPLv3. Фонд СПО призвал ONLYOFFICE прояснить, что так как заявлено, что пакет поставляется под лицензией AGPLv3, то получившие копию кода пользователи имеют право удалить из текста лицензии любые дополнительные ограничения.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65217
read it on CSN:
https://csn.net4me.net/cyber_security_27179.html
✉ 15.04.2026 21:45:53
💻 Кшиштоф Севич (Krzysztof Siewicz), юрист Фонда свободного ПО, отвечающий за контроль над соблюдением лицензий, заявил о необоснованности претензий разработчиков ONLYOFFICE к создателям форка Euro-Office, отбросившим добавленные в текст лицензии дополнения и продолжившие развитие кодовой базы ONLYOFFICE под чистой лицензией AGPLv3. Фонд СПО призвал ONLYOFFICE прояснить, что так как заявлено, что пакет поставляется под лицензией AGPLv3, то получившие копию кода пользователи имеют право удалить из текста лицензии любые дополнительные ограничения.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65217
read it on CSN:
https://csn.net4me.net/cyber_security_27179.html
🔘 OpenNet: Опубликован черновик спецификации протокола IPv8
✉ 16.04.2026 11:21:41
💻 Организация IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, выставила на обсуждение первый черновой вариант спецификации протокола IPv8. Документ предложен сторонней компаний One Limited, создан вне процесса стандартизации IETF и имеет статус "Internet-Draft" (любой при соблюдении формальностей может опубликовать подобный черновик). Протокол IPv8 примечателен использованием JWT-токенов OAuth2 для авторизации элементов в сетях и верификацией каждого устанавливаемого исходящего соединения через запрос в DNS8 (без обращения к DNS8 не создаётся запись в таблице состояния XLATE8 (подобие NAT) и соединение блокируется).
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65218
read it on CSN:
https://csn.net4me.net/cyber_security_27181.html
✉ 16.04.2026 11:21:41
💻 Организация IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, выставила на обсуждение первый черновой вариант спецификации протокола IPv8. Документ предложен сторонней компаний One Limited, создан вне процесса стандартизации IETF и имеет статус "Internet-Draft" (любой при соблюдении формальностей может опубликовать подобный черновик). Протокол IPv8 примечателен использованием JWT-токенов OAuth2 для авторизации элементов в сетях и верификацией каждого устанавливаемого исходящего соединения через запрос в DNS8 (без обращения к DNS8 не создаётся запись в таблице состояния XLATE8 (подобие NAT) и соединение блокируется).
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65218
read it on CSN:
https://csn.net4me.net/cyber_security_27181.html
csn.net4me.net
Cyber Security News. News 27181 csn.net4me.net
News 27181. Cyber Security News. csn.net4me.net Новости Компьютерной Безопасности.
🔘 OpenNet: По статистике Google доля IPv6-трафика превысила 50%
✉ 16.04.2026 13:29:16
💻 В соответствии с предоставляемой компанией Google статистикой, количество запросов к сервисам Google по протоколу IPv6 впервые превысило отметку в 50%. По данным регистратора APNIC (Asia Pacific Network Information Centre) общемировой охват пользователей IPv6 оценён в 43.13%, а число пользователей, предпочитающих IPv6 в системах с двойным стеком - 41.66%.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65221
read it on CSN:
https://csn.net4me.net/cyber_security_27182.html
✉ 16.04.2026 13:29:16
💻 В соответствии с предоставляемой компанией Google статистикой, количество запросов к сервисам Google по протоколу IPv6 впервые превысило отметку в 50%. По данным регистратора APNIC (Asia Pacific Network Information Centre) общемировой охват пользователей IPv6 оценён в 43.13%, а число пользователей, предпочитающих IPv6 в системах с двойным стеком - 41.66%.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65221
read it on CSN:
https://csn.net4me.net/cyber_security_27182.html
🔘 Vulnerability(cybersecuritynews.com): Nginx-ui Vulnerability Actively Exploited in Attack – Enables Full Server Takeover
✉ 16.04.2026 12:27:20 Abinaya
💻 A critical authentication bypass vulnerability in Nginx UI, tracked as CVE-2026-33032 with a maximum CVSS score of 9.8, is currently being actively exploited in the wild.
This flaw allows unauthenticated remote attackers to gain complete control over affected Nginx web servers.
Cybersecurity researchers from Pluto Security discovered the vulnerability, which stems from a single missing function call in the application’s Model Context Protocol (MCP) integration.
With over 2,600 publicly exposed instances identified on Shodan, the risk to organizations relying on Nginx UI for web server management is severe.
Shodan search results showing 2,689 publicly exposed nginx-ui instances(source : pluto.security)
Nginx-ui Vulnerability Actively Exploited
The vulnerability exists within the MCP integration of Nginx UI, a popular web-based interface for managing Nginx configurations.
The application uses two HTTP endpoints for its MCP functionality:
While the
Furthermore, the IP whitelist mechanism features a fail-open design. By default, the whitelist is completely empty, which the system interprets as allowing all traffic.
This combination of missing authentication and a permissive default configuration means that any attacker on the network can send direct HTTP POST requests to the
An unauthenticated attacker can exploit this flaw to execute any of the 12 available MCP tools.
The authentication gap: both endpoints share a handler, but only one authenticates(source : pluto.security)
Because these tools are designed to manage the underlying Nginx server, the consequences of unauthorized access are devastating.
The most critical impacts and attacker capabilities include:
🔸Complete Service Takeover: Attackers can use tools like
🔸Traffic Interception: By rewriting server blocks, threat actors can proxy all traffic through an attacker-controlled endpoint to capture credentials, session tokens, and sensitive data in transit.
🔸Credential Harvesting: Attackers can inject custom logging directives to capture authorization headers from administrators accessing Nginx UI.
🔸Conf...
#Cyber_Security_News #Exploit #Vulnerability #cyber_security #cyber_security_news
https://cybersecuritynews.com/nginx-ui-vulnerability-exploited/
read it on CSN:
https://csn.net4me.net/cyber_security_27183.html
✉ 16.04.2026 12:27:20 Abinaya
💻 A critical authentication bypass vulnerability in Nginx UI, tracked as CVE-2026-33032 with a maximum CVSS score of 9.8, is currently being actively exploited in the wild.
This flaw allows unauthenticated remote attackers to gain complete control over affected Nginx web servers.
Cybersecurity researchers from Pluto Security discovered the vulnerability, which stems from a single missing function call in the application’s Model Context Protocol (MCP) integration.
With over 2,600 publicly exposed instances identified on Shodan, the risk to organizations relying on Nginx UI for web server management is severe.
Shodan search results showing 2,689 publicly exposed nginx-ui instances(source : pluto.security)
Nginx-ui Vulnerability Actively Exploited
The vulnerability exists within the MCP integration of Nginx UI, a popular web-based interface for managing Nginx configurations.
The application uses two HTTP endpoints for its MCP functionality:
/mcp and /mcp_message.While the
/mcp endpoint correctly enforces both IP whitelisting and authentication, the /mcp_message endpoint lacks the necessary authentication middleware entirely.Furthermore, the IP whitelist mechanism features a fail-open design. By default, the whitelist is completely empty, which the system interprets as allowing all traffic.
This combination of missing authentication and a permissive default configuration means that any attacker on the network can send direct HTTP POST requests to the
/mcp_message endpoint and invoke administrative tools without needing a password, token, or session cookie.An unauthenticated attacker can exploit this flaw to execute any of the 12 available MCP tools.
The authentication gap: both endpoints share a handler, but only one authenticates(source : pluto.security)
Because these tools are designed to manage the underlying Nginx server, the consequences of unauthorized access are devastating.
The most critical impacts and attacker capabilities include:
🔸Complete Service Takeover: Attackers can use tools like
nginx_config_add to create or modify configuration files, which automatically triggers an immediate server reload.🔸Traffic Interception: By rewriting server blocks, threat actors can proxy all traffic through an attacker-controlled endpoint to capture credentials, session tokens, and sensitive data in transit.
🔸Credential Harvesting: Attackers can inject custom logging directives to capture authorization headers from administrators accessing Nginx UI.
🔸Conf...
#Cyber_Security_News #Exploit #Vulnerability #cyber_security #cyber_security_news
https://cybersecuritynews.com/nginx-ui-vulnerability-exploited/
read it on CSN:
https://csn.net4me.net/cyber_security_27183.html
Cyber Security News
Nginx-ui Vulnerability Actively Exploited in Attack – Enables Full Server Takeover
A critical authentication bypass flaw in Nginx UI is actively exploited, allowing unauthenticated attackers full control of affected servers.
🔘 OpenNet: В ядре Linux 7.1 начали удаление поддержки процессоров Baikal
✉ 16.04.2026 14:39:03
💻 Линус Торвальдс принял в состав ядра Linux 7.1 изменения, удаляющие поддержку контроллеров AHCI SATA и PCIe, применяемых в SoC Baikal-T1. Помимо этого на рассмотрении находятся pull-запросы на удаление связанных с Baikal драйверов таймера, памяти, physmap, шины, hwmon, dwc и bt1-rom. До этого в ядре 7.0 уже была удалена поддержка драйверов i2c и spi dw для SoC Baikal-T1.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65222
read it on CSN:
https://csn.net4me.net/cyber_security_27184.html
✉ 16.04.2026 14:39:03
💻 Линус Торвальдс принял в состав ядра Linux 7.1 изменения, удаляющие поддержку контроллеров AHCI SATA и PCIe, применяемых в SoC Baikal-T1. Помимо этого на рассмотрении находятся pull-запросы на удаление связанных с Baikal драйверов таймера, памяти, physmap, шины, hwmon, dwc и bt1-rom. До этого в ядре 7.0 уже была удалена поддержка драйверов i2c и spi dw для SoC Baikal-T1.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65222
read it on CSN:
https://csn.net4me.net/cyber_security_27184.html
csn.net4me.net
Cyber Security News. News 27184 csn.net4me.net
News 27184. Cyber Security News. csn.net4me.net Новости Компьютерной Безопасности.
🔘 OpenNet: Опубликован KDE Gear 26.04, набор приложений от проекта KDE
✉ 16.04.2026 18:40:50
💻 После четырёх месяцев разработки представлено апрельское сводное обновление приложений KDE Gear 26.04, развиваемых проектом KDE. В составе набора опубликованы выпуски более 250 программ, библиотек и плагинов. Информацию о наличии Live-сборок с новыми выпусками приложений можно получить на данной странице. Новые версии отдельных приложений можно загрузить из каталогов Flathub и SnapCraft.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65226
read it on CSN:
https://csn.net4me.net/cyber_security_27185.html
✉ 16.04.2026 18:40:50
💻 После четырёх месяцев разработки представлено апрельское сводное обновление приложений KDE Gear 26.04, развиваемых проектом KDE. В составе набора опубликованы выпуски более 250 программ, библиотек и плагинов. Информацию о наличии Live-сборок с новыми выпусками приложений можно получить на данной странице. Новые версии отдельных приложений можно загрузить из каталогов Flathub и SnapCraft.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65226
read it on CSN:
https://csn.net4me.net/cyber_security_27185.html
csn.net4me.net
Cyber Security News. News 27185 csn.net4me.net
News 27185. Cyber Security News. csn.net4me.net Новости Компьютерной Безопасности.
🔘 OpenNet: Выпуск Zorin OS 18.1, дистрибутива для пользователей, привыкших к Windows или macOS
✉ 16.04.2026 21:10:45
💻 Опубликован релиз Linux-дистрибутива Zorin OS 18.1, основанного на пакетной базе Ubuntu 24.04. Отмечается, что сформированный 6 месяцев назад релиз Zorin OS 18 был загружен 3.3 млн раз, при том, что около 80% от всех загрузок выполнены пользователями Windows. Публикация обновлений для выпуска Zorin OS 18.1 будет осуществляться до июня 2029 года. Для загрузки предложены три варианта iso-образов (Core, Lite и Education), размером 4 и 8 ГБ.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65225
read it on CSN:
https://csn.net4me.net/cyber_security_27186.html
✉ 16.04.2026 21:10:45
💻 Опубликован релиз Linux-дистрибутива Zorin OS 18.1, основанного на пакетной базе Ubuntu 24.04. Отмечается, что сформированный 6 месяцев назад релиз Zorin OS 18 был загружен 3.3 млн раз, при том, что около 80% от всех загрузок выполнены пользователями Windows. Публикация обновлений для выпуска Zorin OS 18.1 будет осуществляться до июня 2029 года. Для загрузки предложены три варианта iso-образов (Core, Lite и Education), размером 4 и 8 ГБ.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65225
read it on CSN:
https://csn.net4me.net/cyber_security_27186.html
csn.net4me.net
Cyber Security News. News 27186 csn.net4me.net
News 27186. Cyber Security News. csn.net4me.net Новости Компьютерной Безопасности.
🔘 OpenNet: Релиз nxs-universal-chart 3.0, инструмента для развёртывания приложений в Kubernetes
✉ 17.04.2026 09:37:38
💻 Опубликован релиз nxs-universal-chart 3.0, инструментария для развёртывания приложений в Kubernetes. Платформа модульная и работает на базе самостоятельных nuc-* sub-chart-ов, которые публикуются через реестр OCI и подключаются в основной chart-пакет как зависимости под конкретную задачу, что позволяет собирать приложение и нужную ему обвязку в рамках одного Helm-релиза. Поверх основного chart-пакета строятся модули для настройки трафика, мониторинга, AI-инференеса и других инфраструктурных элементов в Kubernetes. Проект распространяется под лицензией Apache 2.0. В работе используются Istio, KServe, KNative и Vault Secret Operator.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65213
read it on CSN:
https://csn.net4me.net/cyber_security_27187.html
✉ 17.04.2026 09:37:38
💻 Опубликован релиз nxs-universal-chart 3.0, инструментария для развёртывания приложений в Kubernetes. Платформа модульная и работает на базе самостоятельных nuc-* sub-chart-ов, которые публикуются через реестр OCI и подключаются в основной chart-пакет как зависимости под конкретную задачу, что позволяет собирать приложение и нужную ему обвязку в рамках одного Helm-релиза. Поверх основного chart-пакета строятся модули для настройки трафика, мониторинга, AI-инференеса и других инфраструктурных элементов в Kubernetes. Проект распространяется под лицензией Apache 2.0. В работе используются Istio, KServe, KNative и Vault Secret Operator.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65213
read it on CSN:
https://csn.net4me.net/cyber_security_27187.html
🔘 OpenNet: Linux Mint переходит на общий с LMDE инсталлятор и наметил релиз на конец года
✉ 17.04.2026 10:21:09
💻 Разработчики дистрибутива Linux Mint объявили о намерении сформировать следующий релиз в конце декабря 2026 года, что подразумевает переход на публикацию релизов раз в год, а не раз в полгода как раньше. Новая стратегия формирования выпусков ещё окончательно не определена и продолжается обсуждение таких вопросов, как продолжительность цикла разработки, сохранение стадии заморозки промежуточных выпусков перед релизом, переход на модель частично непрерывной доставки обновлений (semi-rolling, как в реакции LMDE) и начало публикации альфа-версий.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65228
read it on CSN:
https://csn.net4me.net/cyber_security_27188.html
✉ 17.04.2026 10:21:09
💻 Разработчики дистрибутива Linux Mint объявили о намерении сформировать следующий релиз в конце декабря 2026 года, что подразумевает переход на публикацию релизов раз в год, а не раз в полгода как раньше. Новая стратегия формирования выпусков ещё окончательно не определена и продолжается обсуждение таких вопросов, как продолжительность цикла разработки, сохранение стадии заморозки промежуточных выпусков перед релизом, переход на модель частично непрерывной доставки обновлений (semi-rolling, как в реакции LMDE) и начало публикации альфа-версий.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65228
read it on CSN:
https://csn.net4me.net/cyber_security_27188.html
csn.net4me.net
Cyber Security News. News 27188 csn.net4me.net
News 27188. Cyber Security News. csn.net4me.net Новости Компьютерной Безопасности.
🔘 OpenNet: В AlmaLinux возобновлена сборка пакетов для 32-разрядных систем x86
✉ 17.04.2026 12:13:58
💻 Разработчики проекта AlmaLinux, развивающего редакцию дистрибутива Red Hat Enterprise Linux (RHEL), объявили о реализации для дистрибутива AlmaLinux Kitten репозитория пакетов, собранных для архитектуры i686, а также публикации образов контейнеров в формате docker для 32-рядных систем x86. Редакция AlmaLinux Kitten 10 основана на пакетной базе CentOS Stream 10, развивается с использованием непрерывной модели обновления пакетов и используется в качестве upstream-а для ветки AlmaLinux 10. В дальнейшем планируют сформировать подобные сборки для основного дистрибутива AlmaLinux OS 10 и сопровождать их до 2035 года на всём протяжении жизненного цикла ветки 10.x.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65229
read it on CSN:
https://csn.net4me.net/cyber_security_27189.html
✉ 17.04.2026 12:13:58
💻 Разработчики проекта AlmaLinux, развивающего редакцию дистрибутива Red Hat Enterprise Linux (RHEL), объявили о реализации для дистрибутива AlmaLinux Kitten репозитория пакетов, собранных для архитектуры i686, а также публикации образов контейнеров в формате docker для 32-рядных систем x86. Редакция AlmaLinux Kitten 10 основана на пакетной базе CentOS Stream 10, развивается с использованием непрерывной модели обновления пакетов и используется в качестве upstream-а для ветки AlmaLinux 10. В дальнейшем планируют сформировать подобные сборки для основного дистрибутива AlmaLinux OS 10 и сопровождать их до 2035 года на всём протяжении жизненного цикла ветки 10.x.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65229
read it on CSN:
https://csn.net4me.net/cyber_security_27189.html
🔘 OpenNet: Выпуск Rust 1.95. Добавление Rust в дисплейный сервер Mir. Анализатор трафика ayaFlow на Rust
✉ 17.04.2026 13:40:56
💻 Опубликован релиз языка программирования Rust 1.95, основанного проектом Mozilla, но ныне развиваемого под покровительством независимой некоммерческой организации Rust Foundation. Язык сфокусирован на безопасной работе с памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime (runtime сводится к базовой инициализации и сопровождению стандартной библиотеки).
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65230
read it on CSN:
https://csn.net4me.net/cyber_security_27190.html
✉ 17.04.2026 13:40:56
💻 Опубликован релиз языка программирования Rust 1.95, основанного проектом Mozilla, но ныне развиваемого под покровительством независимой некоммерческой организации Rust Foundation. Язык сфокусирован на безопасной работе с памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime (runtime сводится к базовой инициализации и сопровождению стандартной библиотеки).
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65230
read it on CSN:
https://csn.net4me.net/cyber_security_27190.html
csn.net4me.net
Cyber Security News. News 27190 csn.net4me.net
News 27190. Cyber Security News. csn.net4me.net Новости Компьютерной Безопасности.
🔘 OpenNet: Платформа Cal.com прекратила публиковать код из-за опасения выявления уязвимостей через AI
✉ 17.04.2026 22:05:06
💻 Разработчики платформы автоматизации планирования встреч и управления расписанием Cal.com объявили о прекращении публикации исходного кода полной версии продукта и предоставлении сообществу урезанного форка cal.diy, переведённого с AGPLv3.0 на лицензию MIT. В качестве причины изменения подхода к разработке упоминается возрастание рисков, связанных с обеспечением безопасности SaS-платформы, в условиях прогресса возможностей AI-моделей по поиску уязвимостей и написанию эксплоитов.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65232
read it on CSN:
https://csn.net4me.net/cyber_security_27191.html
✉ 17.04.2026 22:05:06
💻 Разработчики платформы автоматизации планирования встреч и управления расписанием Cal.com объявили о прекращении публикации исходного кода полной версии продукта и предоставлении сообществу урезанного форка cal.diy, переведённого с AGPLv3.0 на лицензию MIT. В качестве причины изменения подхода к разработке упоминается возрастание рисков, связанных с обеспечением безопасности SaS-платформы, в условиях прогресса возможностей AI-моделей по поиску уязвимостей и написанию эксплоитов.
#csn #cyber_news
https://www.opennet.ru/opennews/art.shtml?num=65232
read it on CSN:
https://csn.net4me.net/cyber_security_27191.html
csn.net4me.net
Cyber Security News. News 27191 csn.net4me.net
News 27191. Cyber Security News. csn.net4me.net Новости Компьютерной Безопасности.