К сегодняшней среде подготовили для вас свежий дайджест интересных новостей и материалов за неделю.
🟡 Коротко про две уязвимости в OpenSSH, которые нашли в июле.
На прошлой неделе команда Qualys выявила критическую уязвимость regreSSHion под номером CVE-2024-6387. Она позволяла добиться удалённого выполнения кода с правами root без прохождения аутентификации в Linux-системах, использующих библиотеку Gnu C (glibc).
Причиной её появления стало изменение, вошедшее в состав выпуска OpenSSH 8.5. В итоге 1 июля выпустили патч и проблему устранили. regreSSHion просуществовала почти 4 года.
Любопытно, что эту ошибку команда OpenSSH уже устраняла в 2006 году (тогда она получила номер CVE-2006-5051). Поэтому новая-старая уязвимость и получила такое кодовое имя.
Во время изучения regreSSHion выявили ещё одну уязвимость. Она позволяет добиться удалённого выполнения кода без прохождения аутентификации. Ей присвоили номер CVE-2024-6409.
Уязвимость есть в пакетах openssh:.
• дистрибутива Red Hat Enterprise Linux 9 (на основе OpenSSH 8.7)
• Fedora Linux 36 и 37 (на основе OpenSSH 8.7 и 8.8).
Она оказалась менее опасной, но всё равно неприятной. Чтобы её заблокировать, нужно в
⚫️ На InfoQ вышла статья о том, как сделать разработку вашего ПО более экологичной. Автор публикации Сара Бергман предлагает оставить за рамками статьи рассуждения об изменении климата и показывает уже готовые решения проблемы. По её словам:
Чтобы прочитать её статью — кликните сюда.
🟡 CNCF создала новую рабочую группу для разработки cloud native приложений. Она нужна для того, чтобы сократить дистанцию между разработчиками и проектами CNCF.
Группа создана в рамках отдела TAG App Delivery. Он собирает отзывы о функционале инструментов и приложений, передаёт их командам проектов и разрабатывает итоговую документацию.
Сопредседателями рабочей группы стали Дэниел Ох из Red Hat, Томас Витале из Systematic и Маурисио Салатино из Diagrid. Узнать больше о том, как функционирует новая группа, можно здесь.
#DevOps #OpenSSH #CNCF
🟡 Коротко про две уязвимости в OpenSSH, которые нашли в июле.
На прошлой неделе команда Qualys выявила критическую уязвимость regreSSHion под номером CVE-2024-6387. Она позволяла добиться удалённого выполнения кода с правами root без прохождения аутентификации в Linux-системах, использующих библиотеку Gnu C (glibc).
Причиной её появления стало изменение, вошедшее в состав выпуска OpenSSH 8.5. В итоге 1 июля выпустили патч и проблему устранили. regreSSHion просуществовала почти 4 года.
Во время изучения regreSSHion выявили ещё одну уязвимость. Она позволяет добиться удалённого выполнения кода без прохождения аутентификации. Ей присвоили номер CVE-2024-6409.
Уязвимость есть в пакетах openssh:.
• дистрибутива Red Hat Enterprise Linux 9 (на основе OpenSSH 8.7)
• Fedora Linux 36 и 37 (на основе OpenSSH 8.7 и 8.8).
Она оказалась менее опасной, но всё равно неприятной. Чтобы её заблокировать, нужно в
sshd_config выставить параметр "LoginGraceTime=0".⚫️ На InfoQ вышла статья о том, как сделать разработку вашего ПО более экологичной. Автор публикации Сара Бергман предлагает оставить за рамками статьи рассуждения об изменении климата и показывает уже готовые решения проблемы. По её словам:
Софт только выиграет от действий по сокращению выбросов CO2. А экологичная разработка является более дешёвой, производительной, надёжной и устойчивой.
Чтобы прочитать её статью — кликните сюда.
🟡 CNCF создала новую рабочую группу для разработки cloud native приложений. Она нужна для того, чтобы сократить дистанцию между разработчиками и проектами CNCF.
Группа создана в рамках отдела TAG App Delivery. Он собирает отзывы о функционале инструментов и приложений, передаёт их командам проектов и разрабатывает итоговую документацию.
Сопредседателями рабочей группы стали Дэниел Ох из Red Hat, Томас Витале из Systematic и Маурисио Салатино из Diagrid. Узнать больше о том, как функционирует новая группа, можно здесь.
#DevOps #OpenSSH #CNCF
🔥10👍5❤2🕊1
Жабы закончились. Остался дайджест интересных новостей за последнюю неделю.
🟡 Вышел релиз OpenSSH 9.9. Из обновлений: теперь во время компиляции ключи DSA отключены по умолчанию, а в ssh, sshd и ssh-agent добавлена защита от оседания закрытых ключей в core-файлах, которая работает в Linux, OpenBSD и FreeBSD. Ещё добавили поддержку нового постквантового стандарта криптографии от NIST (Национального института стандартов и технологий США). Посмотреть все изменения можно по ссылке.
⚫️ У OpenSearch нашли проблему в совместимости с Google Chrome v.129 : при развертывании панели Discover вместо значений отображается красная маска. Будьте аккуратны. Временное решение проблемы – здесь.
🟡 Команда Docker приглашает разработчиков принять участие в уже традиционном опросе Docker State of Application Development, на результаты которого она будет ориентироваться при дальнейшей разработке продуктов. Опрос займет 20-30 минут, дедлайн — 20 ноября. Кстати, среди участников проведут розыгрыш макбука, игровых приставок и не только.
⚫️ Yandex Cloud объявил о запуске нескольких новых сервисов:
- Yandex BareMetal (аренда выделенных физических серверов);
- Security Deck (сервис для комплексного управления безопасностью компаний в облаке);
- Serverless Integrations (сервис для более быстрой разработки продуктов в облаке).
🟡 На Medium рассказали о сложностях и проблемах согласованности данных.
#devops #opensearch #openssh #docker #yandex
🟡 Вышел релиз OpenSSH 9.9. Из обновлений: теперь во время компиляции ключи DSA отключены по умолчанию, а в ssh, sshd и ssh-agent добавлена защита от оседания закрытых ключей в core-файлах, которая работает в Linux, OpenBSD и FreeBSD. Ещё добавили поддержку нового постквантового стандарта криптографии от NIST (Национального института стандартов и технологий США). Посмотреть все изменения можно по ссылке.
⚫️ У OpenSearch нашли проблему в совместимости с Google Chrome v.129 : при развертывании панели Discover вместо значений отображается красная маска. Будьте аккуратны. Временное решение проблемы – здесь.
🟡 Команда Docker приглашает разработчиков принять участие в уже традиционном опросе Docker State of Application Development, на результаты которого она будет ориентироваться при дальнейшей разработке продуктов. Опрос займет 20-30 минут, дедлайн — 20 ноября. Кстати, среди участников проведут розыгрыш макбука, игровых приставок и не только.
⚫️ Yandex Cloud объявил о запуске нескольких новых сервисов:
- Yandex BareMetal (аренда выделенных физических серверов);
- Security Deck (сервис для комплексного управления безопасностью компаний в облаке);
- Serverless Integrations (сервис для более быстрой разработки продуктов в облаке).
🟡 На Medium рассказали о сложностях и проблемах согласованности данных.
#devops #opensearch #openssh #docker #yandex
🔥11👍4❤1👨💻1