·	26.02.2025	Обновление X.Org Server 21.1.16 с устранением 8 уязвимостей (254 +36)
	Опубликованы корректирующие выпуски X.Org Server 21.1.16 и DDX-компонента (Device-Dependent X) xwayland 24.1.6, обеспечивающего запуск X.Org Server для организации выполнения X11-приложений в окружениях на базе Wayland. В новой версии X.Org Server устранено 8 уязвимостей. Проблемы потенциально могут быть эксплуатированы для повышения привилегий в системах, в которых X-сервер выполняется с правами root, а также для удалённого выполнения кода в конфигурациях, в которых для доступа используется перенаправление сеанса X11 при помощи SSH... (254 +36) обсуждение | весь текст
·	22.02.2025	Уязвимость в OpenH264, позволяющая выполнить код при декодировании видео (82 +11)
	В проекте OpenH264, развивающем открытую реализацию видеокодека H.264, выявлена уязвимость (CVE-2025-27091), потенциально способная привести к выполнению кода при декодировании специально оформленного видео. Проблема проявляется в режимах SVC (Scalable Video Coding) и AVC (Advanced Video Coding), и вызвана состоянием гонки, приводящем к записи данных за пределы выделенного буфера. Уязвимость устранена в выпуске OpenH264 2.6.0. Проследить за появлением обновлений в дистрибутивах можно на следующих страницах: Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD... (82 +11) обсуждение | весь текст
·	21.02.2025	В загрузчике GRUB2 выявлена 21 уязвимость (203 +30)
	Опубликованы сведения о 21 уязвимости в загрузчике GRUB2, большинство из которых приводят к переполнению буфера и могут использоваться для обхода механизма верифицированной загрузки UEFI Secure Boot. Проблемы пока устранены только в виде патча. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE, RHEL, Fedora. Для устранения проблем в GRUB2 недостаточно просто обновить пакет, требуется также сформировать новые внутренние цифровые подписи и обновлять инсталляторы, загрузчики, пакеты с ядром, fwupd-прошивки и shim-прослойку... (203 +30) обсуждение | весь текст
·	21.02.2025	Обновление почтового сервера Exim 4.98.1 с устранением уязвимости (33 +13)
	Доступен корректирующий выпуск почтового сервера Exim 4.98.1, в котором устранена уязвимость (CVE-2025-26794), позволяющая осуществить подстановку SQL-кода во внутреннюю БД (Hints DB), используемую для хранения информации о состоянии доставки сообщений... (33 +13) обсуждение | весь текст
·	18.02.2025	Обновление OpenSSH 9.9p2 с устранением возможности совершения MITM-атаки (131 +18)
	Доступен корректирующий выпуск OpenSSH 9.9p2, в котором устранены две уязвимости, выявленные компанией Qualys. Продемонстрирован пример использования данных уязвимостей для совершения MITM-атаки, позволяющей при попытке подключения клиента к SSH-серверу, перенаправить трафик на собственный фиктивный сервер, обойти проверку хостовых ключей и создать у клиента видимость подключения к желаемому серверу (ssh-клиент примет хостовый ключ фиктивного сервера вместо ключа легитимного сервера)... (131 +18) обсуждение | весь текст
·	17.02.2025	Уязвимости в CPU AMD, позволяющие выполнить код на уровне SMM (90 +24)
	Компания AMD объявила об устранении шести уязвимостей в процессорах AMD EPYC и AMD Ryzen. Три наиболее опасные уязвимости (CVE-2023-31342, CVE-2023-31343, CVE-2023-31345) потенциально позволяют выполнить свой код на уровне SMM (System Management Mode), имеющем более высокий приоритет, чем режим гипервизора и нулевое кольцо защиты. Компрометация SMM позволяет получить неограниченный доступ ко всей системной памяти и может использоваться для контроля над операционной системой. Уязвимости вызваны отсутствием должной проверки входных данных в обработчике SMM, что позволяет привилегированному атакующему перезаписать содержимое SMRAM. Подробности о методе атаки пока не приводятся... (90 +24) обсуждение | весь текст
·	16.02.2025	В PostgreSQL устранена уязвимость, использованная при атаке на BeyondTrust (22 +17 ↻)
	Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL 17.3, 16.7, 15.11, 14.16 и 13.19, в которых исправлено более 70 ошибок и устранена уязвимость (CVE-2025-1094), в конце декабря задействованная в атаке на компанию BeyondTrust и Министерство финансов США. Проблема в PostgreSQL выявлена при анализе удалённой уязвимости (CVE-2024-12356) в сервисах BeyondTrust PRA (Privileged Remote Access) и BeyondTrust RS (Remote Support), при эксплуатации которой дополнительно была задействована ранее неизвестная (0-day) уязвимость в libpq... (22 +17 ↻) обсуждение | весь текст
·	11.02.2025	Обновление OpenSSL 3.4.1 с устранением уязвимостей (15 +15)
	Доступны корректирующие выпуски криптографической библиотеки OpenSSL 3.0.16, 3.1.8, 3.2.4, 3.3.3 и 3.4.1. В версиях 3.2.4, 3.3.3 и 3.4.1 устранена уязвимость (CVE-2024-12797), которой присвоен высокий уровень опасности. Уязвимость позволяет организовать MITM-атаку на соединения TLS и DTLS. Проблема проявляется только в системах, использующих для аутентификации клиентов открытые ключи RPK (Raw Public Key, RFC 7250). По умолчанию поддержка RPK отключена на стороне клиента и сервера... (15 +15) обсуждение | весь текст
·	06.02.2025	Уязвимости в беспроводных маршрутизаторах Zyxel, D-Link и Netgear (43 +22)
	Несколько уязвимостей в беспроводных маршрутизаторах Zyxel, D-Link и Netgear, позволяющих получить удалённый доступ к устройству без аутентификации... (43 +22) обсуждение | весь текст
·	04.02.2025	Уязвимость в загрузчике микрокода в CPU AMD, позволяющая обойти изоляцию SEV-SNP (82 +21 ↻)
	Исследователи безопасности из компании Google опубликовали информацию об уязвимости (CVE-2024-56161) в процессорах AMD, затрагивающей загрузчик микрокода и позволяющей обойти механизм проверки цифровой подписи при обновлении микрокода. Загрузка модифицированного микрокода позволяет скомпрометировать механизм AMD SEV (Secure Encrypted Virtualization), применяемый в системах виртуализации для защиты виртуальных машин от вмешательства со стороны гипервизора или администратора хост-системы... (82 +21 ↻) обсуждение | весь текст
·	30.01.2025	Утечка конфиденциальной информации DeepSeek из-за неограниченного доступа к БД с логами (81 +30)
	Исследователи безопасности из команды Wiz Research выявили общедоступную базу данных с информацией, используемой в AI-сервисах компании DeepSeek. Из-за отсутствия должного ограничения доступа к хранилищу логов, любой желающий мог получить конфиденциальную информацию о работе сервисов DeepSeek. В БД хранилось более миллиона записей, включающих логи с историей сообщений пользователей в AI-чате DeepSeek, ключи доступа к API, детальную информацию о работе бэкендов и метаданные, используемые в работе различных систем... (81 +30) обсуждение | весь текст
·	27.01.2025	Уязвимость, позволяющая разблокировать, заводить и отслеживать автомобили Subaru (118 +40)
	В сервисе Subaru STARLINK, позволяющем контролировать состояние автомобиля через мобильное приложение, выявлены проблемы с безопасностью, дающие возможность получить неограниченный доступ ко всем автомобилям и учётным записям клиентов из США, Канады и Японии. К панели администратора STARLINK оказалась возможно получить доступ через уязвимость в механизме восстановления забытого пароля. Для получения доступа к автомобилю через панель администратора STARLINK достаточно знать телефонный номер, email, автомобильный номер или фамилию с ZIP-кодом владельца... (118 +40) обсуждение | весь текст
·	26.01.2025	Обновление антивирусного пакета ClamAV 1.4.2 и 1.0.8 с устранением уязвимости (35 +9)
	Компания Cisco опубликовала новые выпуски свободного антивирусного пакета ClamAV 1.4.2 и 1.0.8, в которых устранена уязвимость (CVE-2025-20128). Уязвимость вызвана переполнением буфера в коде разбора файлов с содержимым в формате OLE2 (Object Linking and Embedding 2), которое удалённый неаутентифицированный атакующий может использовать для отказа в обслуживании. Проблема проявляется начиная с выпуска ClamAV 1.0.0 и выявлена в процессе fuzzing-тестирования проектом OSS-Fuzz... (35 +9) обсуждение | весь текст
·	25.01.2025	На соревновании Pwn2Own Automotive 2025 представлено 49 уязвимостей автомобильных систем (143 +13)
	Подведены итоги трёх дней соревнований Pwn2Own Automotive 2025, проходивших на конференции Automotive World в Токио. На соревнованиях были продемонстрированы 49 ранее неизвестных уязвимостей (0-day) в автомобильных информационно-развлекательных платформах, операционных системах и устройствах зарядки электромобилей. При проведении атак использовались самые свежие прошивки и операционные системы со всеми доступными обновлениями и в конфигурации по умолчанию... (143 +13) обсуждение | весь текст
·	23.01.2025	Из-за опечатки в настройках атакующие могли подменить DNS-сервер MasterCard (68 +51)
	Исследователь безопасности из компании Seralys выявил возможность подмены DNS-сервера для домена mastercard.com, используемого в инфраструктуре платёжной системы MasterCard. В настройках доменной зоны mastercard.com с июня 2020 года присутствовала опечатка - в списке обслуживающих зону DNS-серверов вместо хоста "a22-65.akam.net" (DNS-служба Akamai) был указан хост "a22-65.akam.ne". Корневая зона ".ne" закреплена за Республикой Нигер и домен "akam.ne" оказался доступен для продажи... (68 +51) обсуждение | весь текст
<< Предыдущая страница (позже)
Следующая страница (раньше) >>