Мудр не тот, кто знает много, а тот, чьи знания полезны.

Вовочка спрашивает у учительницы: ...

Проект Python представил новый каталог пакетов PyPI и пакетный менеджер Pip 10
Thu, 19 Apr 2018 09:09:58 +0300

Крис Лэм переизбран на пост лидера проекта Debian
Thu, 19 Apr 2018 08:19:28 +0300

Microsoft представил IoT-платформу Azure Sphere на базе ядра Linux
Tue, 17 Apr 2018 08:22:44 +0300

Заморозка пакетной базы Debian 10 "Buster" намечена на март следующего года
Mon, 16 Apr 2018 23:57:53 +0300

Ядро Linux достигло 6 млн git-объектов, что могло бы стать хорошим поводом для выпуска 5.0
Mon, 16 Apr 2018 12:01:38 +0300

В следующем выпуске Android появится поддержка "DNS over TLS"
Sat, 14 Apr 2018 12:39:43 +0300

Организация утечки данных через линию электропередач
Thu, 12 Apr 2018 11:29:11 +0300

Результаты тестирования AV1 в Facebook. Новый формат JPEG XS
Wed, 11 Apr 2018 21:47:59 +0300

Microsoft открыл код классического файлового менеджера Windows
Mon, 09 Apr 2018 18:43:18 +0300

В Debian добавлена поддержка 64-разрядной архитектуры RISC-V
Mon, 09 Apr 2018 13:02:36 +0300

NVIDIA упразднит поддержку архитектуры Fermi
Sun, 08 Apr 2018 00:50:11 +0300

Инициатива совместного финансирования OpenNET оказалась успешной
Sat, 07 Apr 2018 13:25:55 +0300

Опубликован метод создания скрытых каналов связи в WiFi
Thu, 05 Apr 2018 19:50:29 +0300

Пояснение про сбор средств на продолжение существования проекта OpenNET
Tue, 03 Apr 2018 15:49:14 +0300

Google запретил размещение дополнений к Chrome c кодом для майнинга криптовалют
Tue, 03 Apr 2018 11:10:19 +0300

Новости OPENNET
Новости

В web-панели управления хостингом VestaCP, распространяемой под лицензией GPLv3, выявлена критическая уязвимость, позволяющая неаутентифицированному злоумышленнику получить доступ с правами root. Уязвимость устранена в выпуске 0.9.8-20. Всем пользователям VestaCP рекомендуется срочно установить обновление.

Проблема уже активно эксплуатируется c использованием автоматизированной атаки и в сети появились массовые жалобы на поражение серверов, на которых используется хостинг-панель VestaCP. Атакованные виртуальные серверы, как правило, используется для совершения DDoS-атак через направление на жертв большого потока трафика. В качестве одного из способов выявления типового взлома называется проверка на предмет появления файла /etc/cron.hourly/gcc.sh и троянской библиотеки /lib/libudev.so. Для временной защиты от атаки можно отключить панель ("service vesta stop") или закрыть доступ к сетевому порту 8083, который по умолчанию используется в VestaCP для доступа к API и аутентификации.

Судя по внесённым изменениям проблема вызвана передачей поступающих извне аргументов в командой строке без предварительного экранирования символов или возникновением условий, позволяющих манипулировать кодом возврата в shell-скрипте, выполняющем проверку параметров аутентификации. Например, аутентификация организована через вызов shell-скрипта и в коде достаточно много сомнительных мест, в которых ранее записанные в файл аргументы передаются на вход shell-скриптам.

61.5539 76.0868 0.5735 9.793

НОВОСТИ: Первый стабильный релиз сервера приложений NGINX Unit Thu, 12 Apr 2018 21:47:39 +0300

Разработчики проекта NGINX представили выпуск сервера приложений NGINX Unit 1.0, в рамках которого подготовлено решение для обеспечения запуска web-приложений на различных языках программирования. Под управлением NGINX Unit может одновременно выполняться несколько приложений на разных языках программирования, параметры запуска которых можно изменять динамически без необходимости правки файлов конфигурации и перезапуска. Код написан на языке Си и распространяется под лицензией Apache 2.0.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome