В представленном 22 мая выпуске платформы для организации совместной разработки GitLab 16.0 выявлена критическая уязвимость (CVE-2023-2825), позволяющая неаутентифицированному пользователю получить содержимое любого файла на сервере, насколько это позволяют права доступа процесса, обрабатывающего запросы. Уязвимости присвоен наивысший уровень опасности (10 из 10). Проблема устранена в обновлении GitLab 16.0.1 и затрагивает только …
В модуле ksmbd, предлагающем встроенную в ядро Linux реализацию файлового сервера на базе протокола SMB, выявлено 14 уязвимостей, из которых четыре позволяют удалённо добиться выполнения своего кода с правами ядра. Атака может быть проведена без аутентификации, достаточно чтобы на системе был активирован модуль ksmbd. Проблемы проявляются начиная с ядра 5.15, …
В операционной системе RouterOS, применяемой в маршрутизаторах MikroTik, выявлена критическая уязвимость (CVE-2023-32154), позволяющая неаутентифицированному пользователю удалённо выполнить код на устройстве через отправку специально оформленного анонса маршрутизатора IPv6 (RA, Router Advertisement). from OpenNews.opennet.ru: Проблемы безопасности https://ift.tt/G9zyJFZ via IFTTT
Представлен первый выпуск новой основной ветки nginx 1.25.0, в рамках которой будет продолжено развитие новых возможностей. В параллельно поддерживаемой стабильной ветке 1.24.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В следующем году на базе основной ветки 1.25.x будет сформирована стабильная ветка 1.26. from OpenNews.opennet.ru: Основная лента https://ift.tt/kRqpSCO …
Latest PECL Releases: gRPC 1.55.0 – gRPC Core 1.55.0 update datadog_trace 0.87.2 ## Application Security Management (0.8.1) ### Fixed – Remove max payload size on remote config calls DataDog/dd-appsec-php#256 – Improve output of phpinfo DataDog/dd-appsec-php#259 – Avoid emitting errors when blocking on RSHUTDOWN DataDog/dd-appsec-php#261 – Improve RSHUTDOWN blocking and add …
В пакете cups-filters, включающем компоненты для организации работы сервиса печати, найдена уязвимость (CVE-2023-24805), позволяющая удалённо выполнить произвольные команды на сервере печати через отправку специально оформленного задания вывода на печать. В настоящее время исправление доступно в виде патча. Проследить за выпуском обновлений пакетов в дистрибутивах можно на страницах Debian, Ubuntu, RHEL, …
Группа исследователей из компании Tencent и Чжэцзянского университета (Китай) представила технику атаки BrutePrint, позволяющую обойти методы защиты от подбора отпечатков пальцев, реализованные в устройствах на базе платформы Android. В штатном режиме подбору отпечатков пальцев мешает ограничение на число попыток – после нескольких неудачных попыток разблокировки устройство приостанавливает попытки биометрической аутентификации …
После двух лет разработки опубликован выпуск web-браузера Nyxt 3.0.0, предоставляющего обширные возможности по настройке и изменению поведения любых аспектов работы. Концептуально Nyxt напоминает Emacs и Vim, и вместо готового набора настроек даёт возможность менять саму логику работы, используя язык Lisp. Пользователь может переопределить или перенастроить любые классы, методы, переменные и …
Опубликован релиз web-браузера Pale Moon 32.2, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86_64). Код проекта распространяется под лицензией MPLv2 (Mozilla Public License). from OpenNews.opennet.ru: Основная …
В коммутаторах Cisco серии Small Business выявлено 4 уязвимости, позволяющие удалённому атакующему без прохождения аутентификации получить полный доступ к устройству с правами root. Для эксплуатации проблем атакующий должен иметь возможность отправки запросов на сетевой порт, обеспечивающий работу web-интерфейса. Проблемам присвоен критических уровень опасности (9.8 из 10). Сообщается о наличии прототипа …
Раскрыты сведения о неисправленной (0-day) уязвимости (CVE-2023-2156) в ядре Linux, позволяющей остановить работу системы через отправку специально оформленных пакетов IPv6 (packet-of-death). Проблема проявляется только при включении поддержки протокола RPL (Routing Protocol for Low-Power and Lossy Networks), который в дистрибутивах по умолчанию отключён и применяется, главным образом, на встраиваемых устройствах, работающих …
Опубликован первый тестовый выпуск реализации языка программирования PXP, расширяющего PHP поддержкой новых синтаксических конструкций и расширенных возможностей runtime-библиотеки. Написанный на PXP код транслируется в обычные PHP-скрипты, выполняемые при помощи штатного интерпретатора PHP. Так как PXP лишь дополняет PHP, он совместим со всеми существующим PHP-кодом. Из особенностей PXP отмечается расширения системы …
Исследователи из Бирмингемского университета, ранее известные разработкой атак Plundervolt и VoltPillager, выявили уязвимость (CVE-2022-43309) в некоторых серверных материнских платах, позволяющую физически вывести из строя CPU без возможности его последующего восстановления. Уязвимость, которая получила кодовое имя PMFault, может быть использована для повреждения серверов, к которым у атакующего нет физического доступа, но …
Latest PECL Releases: xlswriter 1.5.5 – Feat: static built. parle 0.8.4 – Update the bundled parsertl/lexertl libraries (Ben Hanson) – If the grammar ambiquity is detected, parser will now throw an exception – Configure option –enable-parle-utf32 can be passed during pecl install (Michele Locati) – Implemented Parser::sigilCount() (Ben Hanson) – …
В сервере для проведения web-конференций Apache OpenMeetings устранена. from OpenNews.opennet.ru: Проблемы безопасности https://ift.tt/awnJpgc via IFTTT
Состоялся релиз легковесного http-сервера lighttpd 1.4.70, пытающегося сочетать высокую производительность, безопасность, соответствие стандартам и гибкость настройки. Lighttpd пригоден для применения на высоконагруженных системах и нацелен на низкое потребление памяти и ресурсов CPU. Код проекта написан на языке Си и распространяется под лицензией BSD. from OpenNews.opennet.ru: Основная лента https://ift.tt/8HnsKSr via IFTTT
Доступен релиз операционной системы Chrome OS 113, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 113. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель …
Состоялся релиз web-браузера Firefox 113 и сформировано обновление ветки с длительным сроком поддержки – 102.11.0. На стадию бета-тестирования переведена ветка Firefox 114, релиз которой намечен на 6 июня. from OpenNews.opennet.ru: Основная лента https://ift.tt/BSNjf6F via IFTTT
В подсистемах ядра Linux Netfilter и io_uring выявлены уязвимости, позволяющие локальному пользователю повысить свои привилегии в системе. from OpenNews.opennet.ru: Проблемы безопасности https://ift.tt/cAkebzp via IFTTT
Latest PECL Releases: skywalking_agent 0.5.0 ## What’s Changed Bump openssl from 0.10.45 to 0.10.48 by @dependabot in https://ift.tt/zB75XPf Make the SKYWALKING_AGENT_ENABLE work in the request hook as well. by @jmjoy in https://ift.tt/wNYmKbE Support tracing curl_multi_* api. by @jmjoy in https://ift.tt/FawCzZL Fix parent endpoint and peer in segment ref and tag …