Forwarded from Технологический Болт Генона
Библиотека libxml2 осталась без сопровождающего
https://www.opennet.ru/opennews/art.shtml?num=63886
Ник Велнхофер (Nick Wellnhofer) объявил об уходе с поста сопровождающего библиотеку libxml2. Ник принимал участие в разработке libxml2 с 2016 года, был добавлен в число сопровождающих в 2022 году и с того времени оставался практически единственным активным разработчиком. После ухода Ника проект остался без сопровождения.
Библиотека libxml2 используется в операционных системах и продуктах компаний Apple, Google и Microsoft. Из открытых пакетов, упоминающих libxml2 в числе зависимостях, можно отметить GNOME, Xfce, Mate, Cinnamon, Budgie, LibreOffice, Epiphany, libvirt, BIND, VirtualBox, lldb, Flatpak, Evolution, clang-tools, xsltproc, PostgreSQL, Pacemaker, Apache httpd, Zypper, Scribus.
В июне Ник Велнхофер снял с себя полномочия сопровождающего библиотеку libxslt и отказался от особого отношения к устранению уязвимостей - стал трактовать уязвимости в libxml2 как обычные ошибки, рассматриваемые по мере появления свободного времени. Ник также раскритиковал предъявление компаниями дополнительных требований к сопровождающим-волонтёрам, работающим без компенсации.
> работающим без компенсации
Тут Selectel предлагает libxml2 переписать за компенсацию 🌝
Стоимость — 350 000 ₽
Описание
Библиотека парсера xml, хотя сам формат не очень популярен сейчас, однако много старого ПО завязана на libxml2.
Зачем надо переписать
Уязвимости в libxml ставят под угрозу разнообразное ПО для десктопа и сервера, и даже мобильных устройств. Библиотека активно используется в Android.
Особенности
Перенесены тесты из оригинального libxml2. Функциональность соответствует такой же у libxml2 со сборочными опциями в пакете debian
https://promo.selectel.ru/openfix
А так же там ещё c-ares и xz
https://www.opennet.ru/opennews/art.shtml?num=63886
Ник Велнхофер (Nick Wellnhofer) объявил об уходе с поста сопровождающего библиотеку libxml2. Ник принимал участие в разработке libxml2 с 2016 года, был добавлен в число сопровождающих в 2022 году и с того времени оставался практически единственным активным разработчиком. После ухода Ника проект остался без сопровождения.
Библиотека libxml2 используется в операционных системах и продуктах компаний Apple, Google и Microsoft. Из открытых пакетов, упоминающих libxml2 в числе зависимостях, можно отметить GNOME, Xfce, Mate, Cinnamon, Budgie, LibreOffice, Epiphany, libvirt, BIND, VirtualBox, lldb, Flatpak, Evolution, clang-tools, xsltproc, PostgreSQL, Pacemaker, Apache httpd, Zypper, Scribus.
В июне Ник Велнхофер снял с себя полномочия сопровождающего библиотеку libxslt и отказался от особого отношения к устранению уязвимостей - стал трактовать уязвимости в libxml2 как обычные ошибки, рассматриваемые по мере появления свободного времени. Ник также раскритиковал предъявление компаниями дополнительных требований к сопровождающим-волонтёрам, работающим без компенсации.
> работающим без компенсации
Тут Selectel предлагает libxml2 переписать за компенсацию 🌝
Стоимость — 350 000 ₽
Описание
Библиотека парсера xml, хотя сам формат не очень популярен сейчас, однако много старого ПО завязана на libxml2.
Зачем надо переписать
Уязвимости в libxml ставят под угрозу разнообразное ПО для десктопа и сервера, и даже мобильных устройств. Библиотека активно используется в Android.
Особенности
Перенесены тесты из оригинального libxml2. Функциональность соответствует такой же у libxml2 со сборочными опциями в пакете debian
https://promo.selectel.ru/openfix
А так же там ещё c-ares и xz
Какую тему/темы вы бы хотели послушать по ИБ?
Anonymous Poll
18%
Сложные SQL-inj
0%
XSS
18%
Prototype pollution
18%
Раскрутка SSTI
82%
Хардеринг nginx по CIS гайду
0%
Ваш вариант (напишите под постом)
Forwarded from Мемный Болт Генона
Пожар уничтожил облачное хранилище правительства Южной Кореи, резервных копий нет
https://habr.com/ru/news/953800/
Пожар в штаб-квартире Национальной службы информационных ресурсов (NIRS) в Тэджоне (Республика Корея) уничтожил государственную облачную систему G-Drive, стерев рабочие файлы, которые индивидуально сохраняли данные около 750 000 госслужащих, сообщило в среду Министерство внутренних дел и безопасности страны.
Огонь вспыхнул в серверной на пятом этаже центра, повредив 96 информационных систем, признанных критически важными для работы центральных органов власти, включая платформу G-Drive. G-Drive используется с 2018 года и обязывал чиновников хранить все рабочие документы в облаке, а не на личных компьютерах. Каждому сотруднику предоставлялось около 30 гигабайт.
Министерство пояснило, что большинство систем в центре данных Тэджона ежедневно резервируются на отдельное оборудование внутри того же центра и на удалённый объект, но архитектура G-Drive не позволяла делать внешние копии. Эта уязвимость оставила систему без защиты.
Высокопоставленный южнокорейский чиновник, который отвечал за интеграцию информационных систем и данных, покончил жизнь самоубийством, возможно, в связи с данным инцидентом.
Из комментов
Взорвавшаяся батарея, установленная в комнате в августе 2014 года, уже примерно год как отслужила свой 10-летний срок службы.
https://m.koreaherald.com/article/10586088
Часть аккумуляторов уже была перемещена в рамках текущих мер пожарной безопасности, но все 384 оставшихся литий-ионных аккумулятора в ИБП были уничтожены пожаром. Аккумуляторы, произведенные компанией LG Energy Solution, были установлены в стоечных шкафах.
Компания NIRS начала переезд, поскольку аккумуляторные батареи ИБП были установлены на том же этаже, что и серверы, что вызвало опасения по поводу пожарной безопасности. Хотя два предыдущих этапа переезда прошли без происшествий, пожар вспыхнул во время отключения аккумуляторных батарей перед третьим переездом.
https://m.koreaherald.com/article/10585116
> но архитектура G-Drive не позволяла делать внешние копии
Я в этом слабо верю
https://habr.com/ru/news/953800/
Пожар в штаб-квартире Национальной службы информационных ресурсов (NIRS) в Тэджоне (Республика Корея) уничтожил государственную облачную систему G-Drive, стерев рабочие файлы, которые индивидуально сохраняли данные около 750 000 госслужащих, сообщило в среду Министерство внутренних дел и безопасности страны.
Огонь вспыхнул в серверной на пятом этаже центра, повредив 96 информационных систем, признанных критически важными для работы центральных органов власти, включая платформу G-Drive. G-Drive используется с 2018 года и обязывал чиновников хранить все рабочие документы в облаке, а не на личных компьютерах. Каждому сотруднику предоставлялось около 30 гигабайт.
Министерство пояснило, что большинство систем в центре данных Тэджона ежедневно резервируются на отдельное оборудование внутри того же центра и на удалённый объект, но архитектура G-Drive не позволяла делать внешние копии. Эта уязвимость оставила систему без защиты.
Высокопоставленный южнокорейский чиновник, который отвечал за интеграцию информационных систем и данных, покончил жизнь самоубийством, возможно, в связи с данным инцидентом.
Из комментов
Взорвавшаяся батарея, установленная в комнате в августе 2014 года, уже примерно год как отслужила свой 10-летний срок службы.
https://m.koreaherald.com/article/10586088
Часть аккумуляторов уже была перемещена в рамках текущих мер пожарной безопасности, но все 384 оставшихся литий-ионных аккумулятора в ИБП были уничтожены пожаром. Аккумуляторы, произведенные компанией LG Energy Solution, были установлены в стоечных шкафах.
Компания NIRS начала переезд, поскольку аккумуляторные батареи ИБП были установлены на том же этаже, что и серверы, что вызвало опасения по поводу пожарной безопасности. Хотя два предыдущих этапа переезда прошли без происшествий, пожар вспыхнул во время отключения аккумуляторных батарей перед третьим переездом.
https://m.koreaherald.com/article/10585116
> но архитектура G-Drive не позволяла делать внешние копии
Я в этом слабо верю
❤1
❓ "Вопрос: что общего у DevOps и мага? Ответ: оба заставляют нежить делать свою волю. Присоединяйся к ковену @I_put_spell_on_machine_spirit
Forwarded from s0i37_channel
Когда хакер атакует какой либо сервис, например брутит пароли, то обычно на такое реагируют блокированием его IP:
Но целеустремленного хакера этим врядли остановишь. Так почему бы не дать ему того что он хочет - пусть атакует, только немного не того кого ожидает...
Всего двумя правилами на фаерволе мы можем повернуть вредоносный трафик вспять и направить атаку на сам источник:
В отличие от блокировки порта такой трюк практически незаметен для хакера, ведь целевой порт как был открыт так и остался (изменится только баннер и удвоится IP.ttl). Но после ввода этих команд хакер будет подбирать пароли уже сам у себя (скрин), думая что атакует ваш сервер. И в случае если подберёт пароль установит себе криптомайнер, или что там они устанавливают.
iptables -A INPUT -s $attacker -j DROPНо целеустремленного хакера этим врядли остановишь. Так почему бы не дать ему того что он хочет - пусть атакует, только немного не того кого ожидает...
Всего двумя правилами на фаерволе мы можем повернуть вредоносный трафик вспять и направить атаку на сам источник:
iptables -t nat -I PREROUTING -p tcp --dport 22 -j DNAT --to-destination $hacker:22
sysctl -w net.ipv4.ip_forward=1
iptables -t nat -I POSTROUTING -p tcp --dport 22 -d $hacker -j MASQUERADE
В отличие от блокировки порта такой трюк практически незаметен для хакера, ведь целевой порт как был открыт так и остался (изменится только баннер и удвоится IP.ttl). Но после ввода этих команд хакер будет подбирать пароли уже сам у себя (скрин), думая что атакует ваш сервер. И в случае если подберёт пароль установит себе криптомайнер, или что там они устанавливают.
😁5👍2👏1
Forwarded from Технологический Болт Генона
🫡
Ingress NGINX Retirement: What You Need to Know
https://kubernetes.io/blog/2025/11/11/ingress-nginx-retirement/
> To prioritize the safety and security of the ecosystem, Kubernetes SIG Network and the Security Response Committee are announcing the upcoming retirement of Ingress NGINX. Best-effort maintenance will continue until March 2026. Afterward, there will be no further releases, no bugfixes, and no updates to resolve any security vulnerabilities that may be discovered. Existing deployments of Ingress NGINX will continue to function and installation artifacts will remain available.
> The breadth and flexibility of Ingress NGINX has caused maintenance challenges. Changing expectations about cloud native software have also added complications. What were once considered helpful options have sometimes come to be considered serious security flaws, such as the ability to add arbitrary NGINX configuration directives via the "snippets" annotations. Yesterday’s flexibility has become today’s insurmountable technical debt.
> Despite the project’s popularity among users, Ingress NGINX has always struggled with insufficient or barely-sufficient maintainership. For years, the project has had only one or two people doing development work, on their own time, after work hours and on weekends. Last year, the Ingress NGINX maintainers announced their plans to wind down Ingress NGINX and develop a replacement controller together with the Gateway API community. Unfortunately, even that announcement failed to generate additional interest in helping maintain Ingress NGINX or develop InGate to replace it. (InGate development never progressed far enough to create a mature replacement; it will also be retired.)
> SIG Network and the Security Response Committee recommend that all Ingress NGINX users begin migration to Gateway API or another Ingress controller immediately.
Ingress NGINX Retirement: What You Need to Know
https://kubernetes.io/blog/2025/11/11/ingress-nginx-retirement/
> To prioritize the safety and security of the ecosystem, Kubernetes SIG Network and the Security Response Committee are announcing the upcoming retirement of Ingress NGINX. Best-effort maintenance will continue until March 2026. Afterward, there will be no further releases, no bugfixes, and no updates to resolve any security vulnerabilities that may be discovered. Existing deployments of Ingress NGINX will continue to function and installation artifacts will remain available.
> The breadth and flexibility of Ingress NGINX has caused maintenance challenges. Changing expectations about cloud native software have also added complications. What were once considered helpful options have sometimes come to be considered serious security flaws, such as the ability to add arbitrary NGINX configuration directives via the "snippets" annotations. Yesterday’s flexibility has become today’s insurmountable technical debt.
> Despite the project’s popularity among users, Ingress NGINX has always struggled with insufficient or barely-sufficient maintainership. For years, the project has had only one or two people doing development work, on their own time, after work hours and on weekends. Last year, the Ingress NGINX maintainers announced their plans to wind down Ingress NGINX and develop a replacement controller together with the Gateway API community. Unfortunately, even that announcement failed to generate additional interest in helping maintain Ingress NGINX or develop InGate to replace it. (InGate development never progressed far enough to create a mature replacement; it will also be retired.)
> SIG Network and the Security Response Committee recommend that all Ingress NGINX users begin migration to Gateway API or another Ingress controller immediately.
🗿1
Снова скомпроментировали большую пачку npm пакетов;
Рекомендую к прочтению:
https://www.wiz.io/blog/shai-hulud-2-0-ongoing-supply-chain-attack
Рекомендую к прочтению:
https://www.wiz.io/blog/shai-hulud-2-0-ongoing-supply-chain-attack
wiz.io
Sha1-Hulud 2.0 Supply Chain Attack: 25K+ Repos Exposed | Wiz Blog
Shai-Hulud is back, spreading an npm malware worm through thousands of GitHub repos. Learn the impact, attacker methods, and how to defend your supply chain.
Forwarded from SecuriXy.kz
🚨 Массовая компрометация данных через JSONFormatter и CodeBeautify или Вайбкодинг в деле…
Исследователи WatchTowr Labs выявили системную проблему в популярных онлайн‑инструментах для форматирования кода. Функция Recent Links в сервисах JSONFormatter и CodeBeautify позволяла публично просматривать все сохраненные пользователями файлы.
📊 В результате краулинга удалось собрать более 80 000 файлов (≈5 ГБ), охватывающих пятилетнюю историю JSONFormatter и годовую CodeBeautify. В датасете обнаружены:
🔑 пароли AD и LDAP
🔑 ключи GitHub/GitLab
🔑 креды для AWS/Azure, БД, FTP, SSH
🔑 токены CI/CD, приватные ключи, SSL‑сертификаты
⚠️ По данным отчета, злоумышленники уже использовали эти материалы для атак. Несмотря на отключение функции SAVE в сентябре 2025 года, исторические загрузки остаются доступными.
🛡️ Вывод: стремление к «красоте» кода через внешние сервисы обернулось системной утечкой.
Используйте локальные инструменты (jq, IDE‑плагины, CLI‑утилиты) - только так можно гарантировать,
что секреты не окажутся в публичном доступе.
Подробнее: WatchTowr Labs
Исследователи WatchTowr Labs выявили системную проблему в популярных онлайн‑инструментах для форматирования кода. Функция Recent Links в сервисах JSONFormatter и CodeBeautify позволяла публично просматривать все сохраненные пользователями файлы.
bash
https://jsonformatter.org/{id}
https://jsonformatter.org/{formatter-type}/{id}
https://codebeautify.org/{formatter-type}/{id}
📊 В результате краулинга удалось собрать более 80 000 файлов (≈5 ГБ), охватывающих пятилетнюю историю JSONFormatter и годовую CodeBeautify. В датасете обнаружены:
🔑 пароли AD и LDAP
🔑 ключи GitHub/GitLab
🔑 креды для AWS/Azure, БД, FTP, SSH
🔑 токены CI/CD, приватные ключи, SSL‑сертификаты
⚠️ По данным отчета, злоумышленники уже использовали эти материалы для атак. Несмотря на отключение функции SAVE в сентябре 2025 года, исторические загрузки остаются доступными.
🛡️ Вывод: стремление к «красоте» кода через внешние сервисы обернулось системной утечкой.
Используйте локальные инструменты (jq, IDE‑плагины, CLI‑утилиты) - только так можно гарантировать,
что секреты не окажутся в публичном доступе.
Подробнее: WatchTowr Labs