⚡️50% скидка на VPS в Германии и Словакии
📌Промокод:
Успейте получить отличный сервер по низкой цене!
👉 https://unixhost.pro/vds_slovakia
👉 https://unixhost.pro/vds_germany
📌Промокод:
50%OFFSKDE Успейте получить отличный сервер по низкой цене!
👉 https://unixhost.pro/vds_slovakia
👉 https://unixhost.pro/vds_germany
📌В Git-репозитории проекта PHP выявлены вредоносные изменения
Разработчики проекта PHP предупредили о компрометации Git-репозитория проекта и обнаружении двух вредоносных коммитов, добавленных 28 марта в репозиторий php-src от имени Расмуса Лердорфа, основателя PHP, и Никиты Попова, одного из ключевых разработчиков PHP.
Так как нет уверенности в надёжности сервера, на котором был размещён Git-репозиторий, разработчики решили, что поддержание своими силами Git-инфраструктуры создаёт дополнительные риски безопасности и перенесли эталонный репозиторий на платформу GitHub, которую предлагается использовать в качестве первичной.
В добавленном коде присутствует строка "REMOVETHIS: sold to zerodium, mid 2017", которая может намекать, что с 2017 года в коде находится другое, качественно закамуфлированное, вредоносное изменение, или неисправленная уязвимость, проданная компании Zerodium, занимающейся скупкой 0-day уязвимостей.
Разработчики проекта PHP предупредили о компрометации Git-репозитория проекта и обнаружении двух вредоносных коммитов, добавленных 28 марта в репозиторий php-src от имени Расмуса Лердорфа, основателя PHP, и Никиты Попова, одного из ключевых разработчиков PHP.
Так как нет уверенности в надёжности сервера, на котором был размещён Git-репозиторий, разработчики решили, что поддержание своими силами Git-инфраструктуры создаёт дополнительные риски безопасности и перенесли эталонный репозиторий на платформу GitHub, которую предлагается использовать в качестве первичной.
В добавленном коде присутствует строка "REMOVETHIS: sold to zerodium, mid 2017", которая может намекать, что с 2017 года в коде находится другое, качественно закамуфлированное, вредоносное изменение, или неисправленная уязвимость, проданная компании Zerodium, занимающейся скупкой 0-day уязвимостей.
Состоялся первый стабильный выпуск дистрибутива AlmaLinux, созданного в ответ на преждевременное сворачивание поддержки CentOS 8 компанией Red Hat (выпуск обновлений для CentOS 8 решено прекратить в конце 2021 года, а не в 2029 году, как предполагали пользователи).
Проект основан компанией CloudLinux, которая предоставила ресурсы и разработчиков, и передан под крыло отдельной некоммерческой организации AlmaLinux OS Foundation для разработки на нейтральной площадке с участием сообщества. На развитие проекта выделено миллион долларов в год.
📌На наших виртуальных серверах вы можете установить AlmaLinux и протестировать ее
https://almalinux.org/blog/almalinux-os-stable-release-is-live/
Проект основан компанией CloudLinux, которая предоставила ресурсы и разработчиков, и передан под крыло отдельной некоммерческой организации AlmaLinux OS Foundation для разработки на нейтральной площадке с участием сообщества. На развитие проекта выделено миллион долларов в год.
📌На наших виртуальных серверах вы можете установить AlmaLinux и протестировать ее
https://almalinux.org/blog/almalinux-os-stable-release-is-live/
🤓А знаете ли вы что...?
Бесплатная доменная зона .ga на самом деле бесплатна не для всех имен.
Если вы вдруг захотите зарегистрировать домен ladyga.ga то за него придется выложить сумму в 782.61€
А домен gusigusigaga.ga зарегистрировать у вас не выйдет 🤷♂️
Бесплатная доменная зона .ga на самом деле бесплатна не для всех имен.
Если вы вдруг захотите зарегистрировать домен ladyga.ga то за него придется выложить сумму в 782.61€
А домен gusigusigaga.ga зарегистрировать у вас не выйдет 🤷♂️
📌 Бета-выпуск Ubuntu 21.04 Hirsute Hippo
Представлен бета-выпуск дистрибутива Ubuntu 21.04 "Hirsute Hippo", после формирования которого произведена полная заморозка пакетной базы, и разработчики перешли к итоговому тестированию и исправлению ошибок.
Основные изменения:
🔸В качестве рабочего стола продолжена поставка GTK3 и GNOME Shell 3.38
🔸По умолчанию включён сеанс на базе протокола Wayland.
🔸Добавлена поддержка аутентификации с использованием смарт-карт (при помощи pam_sss 7).
🔸На рабочем столе добавлена возможность перемещения ресурсов из приложений при помощи метода drag&drop.
🔸В настройках появилась возможность изменения профиля энергопотребления.
🔸Добавлена поддержка мультимедийного сервера Pipewire
🔸Улучшена интеграция с Active Directory и предоставлена возможность доступа к Active Directory с поддержкой GPO
🔸Ядро Linux обновлено до версии 5.11
🔸По умолчанию задействован пакетный фильтр nftables
https://releases.ubuntu.com/21.04/
Представлен бета-выпуск дистрибутива Ubuntu 21.04 "Hirsute Hippo", после формирования которого произведена полная заморозка пакетной базы, и разработчики перешли к итоговому тестированию и исправлению ошибок.
Основные изменения:
🔸В качестве рабочего стола продолжена поставка GTK3 и GNOME Shell 3.38
🔸По умолчанию включён сеанс на базе протокола Wayland.
🔸Добавлена поддержка аутентификации с использованием смарт-карт (при помощи pam_sss 7).
🔸На рабочем столе добавлена возможность перемещения ресурсов из приложений при помощи метода drag&drop.
🔸В настройках появилась возможность изменения профиля энергопотребления.
🔸Добавлена поддержка мультимедийного сервера Pipewire
🔸Улучшена интеграция с Active Directory и предоставлена возможность доступа к Active Directory с поддержкой GPO
🔸Ядро Linux обновлено до версии 5.11
🔸По умолчанию задействован пакетный фильтр nftables
https://releases.ubuntu.com/21.04/
📌Атака на GitHub Actions для майнинга криптовалюты
GitHub Actions даёт возможность разработчикам кода прикреплять обработчики для автоматизации различных операций в GitHub. Например, при помощи GitHub Actions можно выполнить определённые проверки и тесты при совершении коммитов или автоматизировать обработку новых Issues. Для запуска майнинга атакующие создают форк репозитория, в котором используется GitHub Actions, добавляют в свою копию новый GitHub Actions и отправляют в оригинальный репозиторий pull-запрос, предлагающий замену существующих обработчиков GitHub Actions на новый обработчик ".github/workflows/ci.yml".
Для атаки злоумышленнику достаточно лишь создать pull-запрос - обработчик запускается автоматически без какого-либо подтверждения или участия со стороны сопровождающих оригинального репозитория, которые лишь могут заметить подозрительную активность и остановить уже запущенные задания GitHub Actions.
Первые попытки использования GitHub Actions для майнинга датированы ноябрём прошлого года.
GitHub Actions даёт возможность разработчикам кода прикреплять обработчики для автоматизации различных операций в GitHub. Например, при помощи GitHub Actions можно выполнить определённые проверки и тесты при совершении коммитов или автоматизировать обработку новых Issues. Для запуска майнинга атакующие создают форк репозитория, в котором используется GitHub Actions, добавляют в свою копию новый GitHub Actions и отправляют в оригинальный репозиторий pull-запрос, предлагающий замену существующих обработчиков GitHub Actions на новый обработчик ".github/workflows/ci.yml".
Для атаки злоумышленнику достаточно лишь создать pull-запрос - обработчик запускается автоматически без какого-либо подтверждения или участия со стороны сопровождающих оригинального репозитория, которые лишь могут заметить подозрительную активность и остановить уже запущенные задания GitHub Actions.
Первые попытки использования GitHub Actions для майнинга датированы ноябрём прошлого года.
⚡️На соревновании Pwn2Own 2021 совершены взломы Ubuntu, Chrome, Safari, Parallels и продуктов Microsoft
На соревнованиях были предприняты три попытки эксплуатации уязвимостей в Ubuntu Desktop. Первая и вторая попытки были засчитаны и атакующим удалось продемонстрировать локальное повышение привилегий через эксплуатацию ранее не известных уязвимостей, связанных с переполнением буфера и двойном освобождении памяти (в каких именно компонентах проблемы пока не сообщается, до раскрытия данных разработчикам даётся 90 дней на исправление ошибок). За данные уязвимости выплачены премии в 30 тыс. долларов.
Успешная атака также была продемонстрирована для браузеров на основе движка Chromium - Google Chrome и Microsoft Edge. За создание эксплоита, позволяющего выполнить свой код при открытии специально оформленной страницы в Chrome и Edge (был создан один универсальный эксплоит для двух браузеров), была выплачена премия в 100 тысяч долларов. Исправление планируется опубликовать в ближайшие часы, пока известно лишь то, что уязвимость присутствует в процессе, отвечающем за обработку web-контента.
Другие успешные атаки :
🔸200 тысяч долларов за взлом приложения Zoom (удалось выполнив свой код, отправив сообщение другому пользователю, без необходимости совершения со стороны получателя каких-либо действий). Для атаки использовались три уязвимости в Zoom и одна в операционной системе Windows.
🔸200 тысяч долларов за взлом Microsoft Exchange (обход аутентификации и локальное повышение привилегий на сервере для получения прав администратора). Другой командной был продемонстрирован ещё один успешно работающий эксплоит, но вторая премия не была выплачена, так как те же ошибки уже были использованы первой командой.
🔸200 тысяч долларов за взлом Microsoft Teams (выполнение кода на сервере).
🔸100 тысяч долларов за эксплуатацию Apple Safari (целочисленное переполнение в Safari и переполнение буфера в ядре macOS для обхода sendbox и выполнении кода на уровне ядра).
🔸140 тысяч долларов за взлом Parallels Desktop (выход из виртуальной машины и выполнение кода в основной системе). Атака совершена через эксплуатацию трёх разных уязвимостей - утечки неинициализированной памяти, переполнения стека и целочисленного переполнения.
🔸Две премии по 40 тысяч долларов за взломы Parallels Desktop (логическая ошибка и переполнение буфера, позволившие выполнить код во внешней ОС через действия внутри виртуальной машины).
🔸Три премии по 40 тысяч долларов за три успешных эксплуатации Windows 10 (целочисленное переполнение, обращение к уже освобождённой памяти и состояние гонки, позволившие добиться получения привилегий SYSTEM).
📌Предприняты, но не увенчались успехом, попытки взлома Oracle VirtualBox. Номинации за взлом Firefox, VMware ESXi, Hyper-V client, MS Office 365, MS SharePoint, MS RDP и Adobe Reader осталась невостребованными. Также не нашлось желающих продемонстрировать взлом информационной системы автомобиля Tesla, несмотря на приз в 600 тысяч долларов плюс автомобиль Tesla Model 3.
Источник
На соревнованиях были предприняты три попытки эксплуатации уязвимостей в Ubuntu Desktop. Первая и вторая попытки были засчитаны и атакующим удалось продемонстрировать локальное повышение привилегий через эксплуатацию ранее не известных уязвимостей, связанных с переполнением буфера и двойном освобождении памяти (в каких именно компонентах проблемы пока не сообщается, до раскрытия данных разработчикам даётся 90 дней на исправление ошибок). За данные уязвимости выплачены премии в 30 тыс. долларов.
Успешная атака также была продемонстрирована для браузеров на основе движка Chromium - Google Chrome и Microsoft Edge. За создание эксплоита, позволяющего выполнить свой код при открытии специально оформленной страницы в Chrome и Edge (был создан один универсальный эксплоит для двух браузеров), была выплачена премия в 100 тысяч долларов. Исправление планируется опубликовать в ближайшие часы, пока известно лишь то, что уязвимость присутствует в процессе, отвечающем за обработку web-контента.
Другие успешные атаки :
🔸200 тысяч долларов за взлом приложения Zoom (удалось выполнив свой код, отправив сообщение другому пользователю, без необходимости совершения со стороны получателя каких-либо действий). Для атаки использовались три уязвимости в Zoom и одна в операционной системе Windows.
🔸200 тысяч долларов за взлом Microsoft Exchange (обход аутентификации и локальное повышение привилегий на сервере для получения прав администратора). Другой командной был продемонстрирован ещё один успешно работающий эксплоит, но вторая премия не была выплачена, так как те же ошибки уже были использованы первой командой.
🔸200 тысяч долларов за взлом Microsoft Teams (выполнение кода на сервере).
🔸100 тысяч долларов за эксплуатацию Apple Safari (целочисленное переполнение в Safari и переполнение буфера в ядре macOS для обхода sendbox и выполнении кода на уровне ядра).
🔸140 тысяч долларов за взлом Parallels Desktop (выход из виртуальной машины и выполнение кода в основной системе). Атака совершена через эксплуатацию трёх разных уязвимостей - утечки неинициализированной памяти, переполнения стека и целочисленного переполнения.
🔸Две премии по 40 тысяч долларов за взломы Parallels Desktop (логическая ошибка и переполнение буфера, позволившие выполнить код во внешней ОС через действия внутри виртуальной машины).
🔸Три премии по 40 тысяч долларов за три успешных эксплуатации Windows 10 (целочисленное переполнение, обращение к уже освобождённой памяти и состояние гонки, позволившие добиться получения привилегий SYSTEM).
📌Предприняты, но не увенчались успехом, попытки взлома Oracle VirtualBox. Номинации за взлом Firefox, VMware ESXi, Hyper-V client, MS Office 365, MS SharePoint, MS RDP и Adobe Reader осталась невостребованными. Также не нашлось желающих продемонстрировать взлом информационной системы автомобиля Tesla, несмотря на приз в 600 тысяч долларов плюс автомобиль Tesla Model 3.
Источник
📌 В Firefox 90 будет удалён код, обеспечивающий поддержку FTP
Компания Mozilla приняла решение удалить из Firefox встроенную реализацию протокола FTP. В выпуске Firefox 88, намеченном на 19 апреля, поддержка FTP будет отключена по умолчанию (в том числе настройка browserSettings.ftpProtocolEnabled будет переведена в режим только для чтения), а в выпуске Firefox 90, запланированном на 29 июня, будет удалён код, связанный с FTP. При попытке открытия ссылок с идентификатором протокола "ftp://" браузер будет вызывать внешнее приложение по аналогии с тем как вызываются обработчики "irc://" и "tg://".
Для подключения к FTP предлагается использовать FileZilla
Компания Mozilla приняла решение удалить из Firefox встроенную реализацию протокола FTP. В выпуске Firefox 88, намеченном на 19 апреля, поддержка FTP будет отключена по умолчанию (в том числе настройка browserSettings.ftpProtocolEnabled будет переведена в режим только для чтения), а в выпуске Firefox 90, запланированном на 29 июня, будет удалён код, связанный с FTP. При попытке открытия ссылок с идентификатором протокола "ftp://" браузер будет вызывать внешнее приложение по аналогии с тем как вызываются обработчики "irc://" и "tg://".
Для подключения к FTP предлагается использовать FileZilla
📌 Релиз nginx 1.20.0
После года разработки представлена новая стабильная ветка высокопроизводительного HTTP-сервера и многопротокольного прокси-сервера nginx 1.20.0, которая вобрала в себя изменения, накопленные в основной ветке 1.19.x. В дальнейшем все изменения в стабильной ветке 1.20 будут связаны с устранением серьёзных ошибок и уязвимостей.
Наиболее заметные улучшения:
🔸Добавлена возможность поверки клиентских сертификатов с привлечением внешних служб на базе протокола OCSP (Online Certificate Status Protocol)
🔸В состав включён модуль ngx_stream_set_module, позволяющий присвоить значение переменной
🔸Добавлена директива proxy_cookie_flags для указания флагов для Cookie в проксируемых соединениях.
🔸Добавлены директивы "ssl_conf_command", "proxy_ssl_conf_command", "grpc_ssl_conf_command" и "uwsgi_ssl_conf_command", при помощи которых можно задать произвольные параметры для настройки OpenSSL.
🔸Добавлена директива "ssl_reject_handshake", которая предписывает отвергать все попытки согласования SSL-соединений (например, можно использовать для отклонения всех обращений с неизвестными именами хостов в поле SNI).
🔸В почтовый прокси добавлена директива proxy_smtp_auth, позволяющая аутентифицировать пользователя на бэкенде при помощи команды AUTH и механизма PLAIN SASL.
🔸Добавлена директива "keepalive_time", которая ограничивает общее время жизни каждого keep-alive соединения, после истечении которого соединение будет закрыто.
🔸Добавлена переменная $connection_time, через которую можно получить информацию о продолжительности соединения в секундах с миллисекундной точностью.
🔸В директивы "proxy_cache_path", "fastcgi_cache_path", "scgi_cache_path" и "uwsgi_cache_path" добавлен параметр "min_free", регулирующий размер кэша на основе определения минимального размера свободного дискового пространства.
🔸Директивы "lingering_close", "lingering_time" и "lingering_timeout" адаптированы для работы с HTTP/2.
🔸Добавлена новая опция командной строки "-e", позволяющая указать альтернативный файл для записи лога ошибок, который будет использоваться вместо лога, заданного в настройках.
После года разработки представлена новая стабильная ветка высокопроизводительного HTTP-сервера и многопротокольного прокси-сервера nginx 1.20.0, которая вобрала в себя изменения, накопленные в основной ветке 1.19.x. В дальнейшем все изменения в стабильной ветке 1.20 будут связаны с устранением серьёзных ошибок и уязвимостей.
Наиболее заметные улучшения:
🔸Добавлена возможность поверки клиентских сертификатов с привлечением внешних служб на базе протокола OCSP (Online Certificate Status Protocol)
🔸В состав включён модуль ngx_stream_set_module, позволяющий присвоить значение переменной
🔸Добавлена директива proxy_cookie_flags для указания флагов для Cookie в проксируемых соединениях.
🔸Добавлены директивы "ssl_conf_command", "proxy_ssl_conf_command", "grpc_ssl_conf_command" и "uwsgi_ssl_conf_command", при помощи которых можно задать произвольные параметры для настройки OpenSSL.
🔸Добавлена директива "ssl_reject_handshake", которая предписывает отвергать все попытки согласования SSL-соединений (например, можно использовать для отклонения всех обращений с неизвестными именами хостов в поле SNI).
🔸В почтовый прокси добавлена директива proxy_smtp_auth, позволяющая аутентифицировать пользователя на бэкенде при помощи команды AUTH и механизма PLAIN SASL.
🔸Добавлена директива "keepalive_time", которая ограничивает общее время жизни каждого keep-alive соединения, после истечении которого соединение будет закрыто.
🔸Добавлена переменная $connection_time, через которую можно получить информацию о продолжительности соединения в секундах с миллисекундной точностью.
🔸В директивы "proxy_cache_path", "fastcgi_cache_path", "scgi_cache_path" и "uwsgi_cache_path" добавлен параметр "min_free", регулирующий размер кэша на основе определения минимального размера свободного дискового пространства.
🔸Директивы "lingering_close", "lingering_time" и "lingering_timeout" адаптированы для работы с HTTP/2.
🔸Добавлена новая опция командной строки "-e", позволяющая указать альтернативный файл для записи лога ошибок, который будет использоваться вместо лога, заданного в настройках.
Grafana Labs переходит с лицензии Apache License 2.0 на одну из самый строгих опенсорс лицензий AGPLv3.
Особенностью лицензии AGPLv3 является введение дополнительных ограничений для приложений, обеспечивающих функционирование сетевых сервисов. При использовании AGPL-компонентов при обеспечении работы сервиса, разработчик обязан предоставить пользователю исходный код модифицированных AGPL-компонентов.
Grafana Labs - это платформа для визуализации, мониторинга и анализа данных. Мы уже снимали обзор на данную систему, найти его вы можете на нашем YouTube канале
Особенностью лицензии AGPLv3 является введение дополнительных ограничений для приложений, обеспечивающих функционирование сетевых сервисов. При использовании AGPL-компонентов при обеспечении работы сервиса, разработчик обязан предоставить пользователю исходный код модифицированных AGPL-компонентов.
Grafana Labs - это платформа для визуализации, мониторинга и анализа данных. Мы уже снимали обзор на данную систему, найти его вы можете на нашем YouTube канале
За внедрение уязвимостей в экспериментальных целях университету Минесоты запретили выпускать патчи ядра
Университет Миннесоты работал над исследовательской статьёй, озаглавленной «Возможность скрытого внедрения уязвимостей в программное обеспечение с открытым исходным кодом с помощью поддельных коммитов» (On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits).
Очевидно, что под программным обеспечением с открытым исходным кодом подразумевается ядро Linux. Университет незаметно внедрил в него уязвимость Use-After-Free для проверки восприимчивости Linux. Вероятно, это было сделано настолько хорошо, что рассматривалось разработчиками Linux как этичный эксперимент. Тем не менее, дальнейшие эксперименты, такие как внедрение в ядро «нового статического анализатора», вызвали возмущение у создателей Linux, вследствие чего было принято решение запретить Университету Миннесоты вносить какие-либо изменения в ядро в дальнейшем.
Университет Миннесоты работал над исследовательской статьёй, озаглавленной «Возможность скрытого внедрения уязвимостей в программное обеспечение с открытым исходным кодом с помощью поддельных коммитов» (On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits).
Очевидно, что под программным обеспечением с открытым исходным кодом подразумевается ядро Linux. Университет незаметно внедрил в него уязвимость Use-After-Free для проверки восприимчивости Linux. Вероятно, это было сделано настолько хорошо, что рассматривалось разработчиками Linux как этичный эксперимент. Тем не менее, дальнейшие эксперименты, такие как внедрение в ядро «нового статического анализатора», вызвали возмущение у создателей Linux, вследствие чего было принято решение запретить Университету Миннесоты вносить какие-либо изменения в ядро в дальнейшем.
💡 Выпуск дистрибутива Ubuntu 21.04
Доступен релиз дистрибутива Ubuntu 21.04 "Hirsute Hippo", который отнесён к промежуточным выпускам, обновления для которых формируются в течение 9 месяцев (поддержка будет осуществляться до января 2022 года)
Основные изменения:
🔸В качестве рабочего стола продолжена поставка GNOME Shell 3.38
🔸По умолчанию включён сеанс на базе протокола Wayland
🔸Предложена новая тёмная тема оформления Yaru
🔸Добавлена поддержка мультимедийного сервера Pipewire
🔸Добавлена поддержка аутентификации с использованием смарт-карт
🔸Ядро Linux обновлено до версии 5.11
🔸По умолчанию задействован пакетный фильтр nftables
🔸На системах x86_64 (amd64) и AArch64 (arm64) улучшена поддержка режима UEFI SecureBoot
🔸В состав Ubuntu Server включён пакет needrestart
Доступен релиз дистрибутива Ubuntu 21.04 "Hirsute Hippo", который отнесён к промежуточным выпускам, обновления для которых формируются в течение 9 месяцев (поддержка будет осуществляться до января 2022 года)
Основные изменения:
🔸В качестве рабочего стола продолжена поставка GNOME Shell 3.38
🔸По умолчанию включён сеанс на базе протокола Wayland
🔸Предложена новая тёмная тема оформления Yaru
🔸Добавлена поддержка мультимедийного сервера Pipewire
🔸Добавлена поддержка аутентификации с использованием смарт-карт
🔸Ядро Linux обновлено до версии 5.11
🔸По умолчанию задействован пакетный фильтр nftables
🔸На системах x86_64 (amd64) и AArch64 (arm64) улучшена поддержка режима UEFI SecureBoot
🔸В состав Ubuntu Server включён пакет needrestart
📌 Дашборд Heimdall
Сняли видео на дашборд который поможет собрать ссылки на все ваши сервисы в одном месте.
Для некоторых сервисов в Heimdall предусмотрен вывод дополнительной информации, к примеру, в Transmission на иконке выводится скорость отдачи и скачивания.
🎬 https://youtu.be/ESbHsN7o0R0
Сняли видео на дашборд который поможет собрать ссылки на все ваши сервисы в одном месте.
Для некоторых сервисов в Heimdall предусмотрен вывод дополнительной информации, к примеру, в Transmission на иконке выводится скорость отдачи и скачивания.
🎬 https://youtu.be/ESbHsN7o0R0
📌Релиз Proxmox VE 6.4
Основные изменения в Proxmox VE 6.4
🔸Восстановление в реальном времени (Live Restore)
🔸Восстановление из бекапа единственного файла (Single File Restore)
🔸Поддержку Ceph Octopus 15.2.11 и Ceph Nautilus 14.2.20
🔸Улучшений для KVM/QEMU
Основные изменения в Proxmox VE 6.4
🔸Восстановление в реальном времени (Live Restore)
🔸Восстановление из бекапа единственного файла (Single File Restore)
🔸Поддержку Ceph Octopus 15.2.11 и Ceph Nautilus 14.2.20
🔸Улучшений для KVM/QEMU
📌Власти Китая обязали владельцев ЦОД отчитаться о расходах электричества на майнинг
По данным китайских СМИ, центральные власти опубликовали уведомление, в котором обязали владельцев всех ЦОД, включая государственные компании и крупнейших телекоммуникационных операторов — China Mobile, China Unicom и China Telecom — отчитаться о затратах электроэнергии на добычу криптовалют.
При этом в отчётах также должны фигурировать такие цифры, как процент затраченной энергии на майнинг по отношению к общим затратам ЦОД на электричество.
Власти Китая хотят знать, столько энергии ЦОД тратят на майнинг и сколько на обработку данных, для которых они были созданы. Ранее неоднократно сообщалось, что в Китае было построено так много ЦОД, что большинство из них оказалось невозможно загрузить прямыми задачами и они в значительной степени простаивали.
По данным китайских СМИ, центральные власти опубликовали уведомление, в котором обязали владельцев всех ЦОД, включая государственные компании и крупнейших телекоммуникационных операторов — China Mobile, China Unicom и China Telecom — отчитаться о затратах электроэнергии на добычу криптовалют.
При этом в отчётах также должны фигурировать такие цифры, как процент затраченной энергии на майнинг по отношению к общим затратам ЦОД на электричество.
Власти Китая хотят знать, столько энергии ЦОД тратят на майнинг и сколько на обработку данных, для которых они были созданы. Ранее неоднократно сообщалось, что в Китае было построено так много ЦОД, что большинство из них оказалось невозможно загрузить прямыми задачами и они в значительной степени простаивали.
📌Бета-версия браузера Microsoft Edge стала доступна для Linux
Компания Microsoft уже давно готовит к выпуску свой фирменный браузер Edge на основе Chromium в версии для операционной системы Linux. И вот, сегодня Microsoft объявила о запуске бета-версии Edge для Linux.
Microsoft Edge 91 приносит некоторое количество новшеств, включая опцию «текущая страница» для печати PDF и новые цветовые темы.
Бета-версия Microsoft Edge 91 для Linux доступна как в формате DEB-пакета для Debian/Ubuntu, так и в варианте RPM для Fedora/openSUSE. Таким образом, большое количество пользователей Linux смогут протестировать браузер в своём дистрибутиве.
Компания Microsoft уже давно готовит к выпуску свой фирменный браузер Edge на основе Chromium в версии для операционной системы Linux. И вот, сегодня Microsoft объявила о запуске бета-версии Edge для Linux.
Microsoft Edge 91 приносит некоторое количество новшеств, включая опцию «текущая страница» для печати PDF и новые цветовые темы.
Бета-версия Microsoft Edge 91 для Linux доступна как в формате DEB-пакета для Debian/Ubuntu, так и в варианте RPM для Fedora/openSUSE. Таким образом, большое количество пользователей Linux смогут протестировать браузер в своём дистрибутиве.
⚡️Обновление Exim 4.94.2 с устранением 10 удалённо эксплуатируемых уязвимостей
Опубликован выпуск почтового сервера Exim 4.94.2 с устранением 21 уязвимости (CVE-2020-28007-CVE-2020-28026, CVE-2021-27216), которые выявлены компанией Qualys и представлены под кодовым именем 21Nails. 10 проблем могут быть эксплуатированы удалённо (в том числе для выполнения кода с правами root), через манипуляции с SMTP-командами при взаимодействии с сервером.
Проблемам подвержены все версии Exim, история которых отслеживается в Git с 2004 года. Для 4 локальных уязвимостей и 3 удалённых проблем подготовлены рабочие прототипы эксплоитов. Эксплоиты для локальных уязвимостей (CVE-2020-28007, CVE-2020-28008, CVE-2020-28015, CVE-2020-28012) позволяют поднять свои привилегии до пользователя root. Две удалённые проблемы (CVE-2020-28020, CVE-2020-28018) позволяют без аутентификации выполнить код с правами пользователя exim (затем можно получить доступ root, эксплуатировав одну из локальных уязвимостей).
Разработчики Exim были уведомлены о проблемах ещё в октябре прошлого года и потратили более 6 месяцев на разработку исправлений.
📌Всем администраторам рекомендовано срочно обновить Exim на своих почтовых серверах до версии 4.94.2
Инструкцию о том как обновить Exim вы найдете в нашем блоге.
💡Если вы являетесь нашим клиентом и вы не можете обновить сервер самостоятельно, обратитесь в техническую поддержку и наши специалисты помогут с решением данной проблемы.
Опубликован выпуск почтового сервера Exim 4.94.2 с устранением 21 уязвимости (CVE-2020-28007-CVE-2020-28026, CVE-2021-27216), которые выявлены компанией Qualys и представлены под кодовым именем 21Nails. 10 проблем могут быть эксплуатированы удалённо (в том числе для выполнения кода с правами root), через манипуляции с SMTP-командами при взаимодействии с сервером.
Проблемам подвержены все версии Exim, история которых отслеживается в Git с 2004 года. Для 4 локальных уязвимостей и 3 удалённых проблем подготовлены рабочие прототипы эксплоитов. Эксплоиты для локальных уязвимостей (CVE-2020-28007, CVE-2020-28008, CVE-2020-28015, CVE-2020-28012) позволяют поднять свои привилегии до пользователя root. Две удалённые проблемы (CVE-2020-28020, CVE-2020-28018) позволяют без аутентификации выполнить код с правами пользователя exim (затем можно получить доступ root, эксплуатировав одну из локальных уязвимостей).
Разработчики Exim были уведомлены о проблемах ещё в октябре прошлого года и потратили более 6 месяцев на разработку исправлений.
📌Всем администраторам рекомендовано срочно обновить Exim на своих почтовых серверах до версии 4.94.2
Инструкцию о том как обновить Exim вы найдете в нашем блоге.
💡Если вы являетесь нашим клиентом и вы не можете обновить сервер самостоятельно, обратитесь в техническую поддержку и наши специалисты помогут с решением данной проблемы.