Сегодня состоялся двойной релиз Node.js v10 (LTS) и NPM v6. Данное событие особенно важно, оно знаменует собой новую веху для всей платформы и привносит много значимых изменений и улучшений во всей кодовой базе Node.js. В сфере безопасности появилась поддержка новых форматов шифрования.
Сегодня мы выпускаем обновления Yii для нескольких последних версий 2.0.x и официальных расширений поддержки нереляционных баз данных для исправления найденных уязвимостей. Патчи исправляют проблему в методах слоя ActiveRecord: findOne() и findAll(), которые могут допустить SQL инъекцию, если входящие данные не подготовлены должным образом.
Мы рассматриваем это как уязвимость в Yii потому что документация для этих методов не содержала явного предупреждения о том, что в некоторых случаях передача нефильтрованых пользовательских данных может быть опасной. Мы благодарим Analitic1983 (GitHub) за обнаружение этой уязвимости.
Проблема относится в большей степени не к самому фреймворку, а к документации по использованию данных методов в приложении. Мы обновили документацию и дополнительно привели примеры кода, который может быть опасен. Однако, обновление документации не исправит приложения, в которых разработчики уже используют методы findOne() и findAll() небезопасно. Чтобы избежать наихудшего сценария – SQL инъекции, мы также изменили поведение этих методов и добавили принудительную фильтрацию входящих данных, которая ограничивает перечень возможных имён столбцов списком свойств модели ActiveRecord.
Исправление, хоть и убирает подавляющее большинство проблем, не исправляет их все, потому дальше в статье мы детально рассмотрим, какой код уязвим и что нужно сделать, чтобы обезопасить себя.
Компания Veeam выпустила новое обновление для решения Veeam Availability Suite 9.5 Update 3, которое позволяет клиентам централизованно управлять данными в виртуальной, физической и многооблачной средах.
Президент Veeam Питер Маккей (Peter McKay) назвал апдейт VAS 9.5 U3 самым крупным релизом за всю десятилетнюю историю компании. По словам Питера, обновление предоставит высокий уровень доступности для любых данных и приложений.
Подробнее об особенностях обновления читайте под катом.
Возможно, вы уже слышали о выходе новой версии популярной Linux сборки Debian 9 Stretch. В данный момент, если вы попытаетесь установить Linux версию 3CX на эту сборку, то получите ошибку зависимостей модулей. Дело в том, что текущая версия 3CX создавалась под систему Debian 8, поэтому они использует зависимости (необходимые вспомогательные файлы) Jessie, которые отсутствуют в репозитории Stretch.
Но сейчас мы расскажем, как все таки установить 3CX для Debian 9 Stretch!
Прежде всего хотим предупредить, что текущая версия 3CX не до конца протестирована с Debian 9, поэтому мы настоятельно не рекомендуем устанавливать такую конфигурацию в рабочем окружении. Описываемый метод позволяет обойти ошибки зависимостей Linux, но не гарантирует стопроцентной работы системы после установки. С другой стороны, ваши отзывы очень помогут нам быстрее выпустить готовую версию 3CX для Debian 9!
Также хотим вас попросить не обновлять систему Jessie на Stretch! Несмотря на то, что технически это возможно и часто рекомендуется, мы еще не добавили корректные зависимости в пакет установки 3CX. Обновление появится в ближайшие недели, а тем временем установка 3CX возможна только на новую инсталляцию Debian 9 Stretch.Читать полностью »
Большинство крупных организаций сталкивается с трудностями в выполнении массового обслуживания ПО. Эти трудности носят как объективный, так и субъективный характер. Объективной трудностью является неоднородность ИТ-инфраструктуры, полностью преодолеть которую невозможно. Однако руководители ИТ-отделов и системные администраторы не всегда уделяют должное внимание этой проблеме. Главной субъективной трудностью является отношение к обслуживанию корпоративного ПО как к обслуживанию коробочного и, как следствие, вера в существование «магической зелёной кнопки»: нажал — и всё установилось (обновилось). На практике такой сценарий, увы, нереализуем.
Помните SambaCry?
Две недели назад мы сообщали об обнаружении в сетевом программном обеспечении Samba (иная реализация сетевого протокола SMB) критической уязвимости 7-летней давности. Она обеспечивает возможность удалённого выполнение кода и позволяет злоумышленнику взять под контроль уязвимые Linux- и Unix-машины.
Чтобы узнать больше об уязвимости SambaCry (CVE-2017-7494), вы можете прочитать нашу предыдущую статью.
В то время было обнаружено, что в Интернете существует около 485 000 компьютеров с поддержкой Samba и открытым портом 445. Исследователи предсказывали, что атаки на основе уязвимости SambaCry могут распространяться так же как WannaCry ransomware.
Предсказание оказалось довольно точным. Компьютер-приманка, созданный командой исследователей из «Лаборатории Касперского», подцепил вирус, который использует уязвимость SambaCry для заражения компьютеров Linux — загрузки инструкций и криптомайнера.
Специалист по безопасности Омри Бен Бассат независимо от «Лаборатории Касперского» также обнаружил этот вирус и назвал его «EternalMiner».Читать полностью »
В сетевом программном обеспечении Samba обнаружена критическая уязвимость 7-летней давности, обеспечивающая возможность удалённого выполнение кода. Эта брешь может позволить злоумышленнику взять под контроль уязвимые машины Linux и Unix.
Samba — это программное обеспечение с открытым исходным кодом (иная реализация сетевого протокола SMB), которое работает в большинстве доступных сегодня операционных систем, включая Windows, Linux, UNIX, IBM System 390 и OpenVMS.
Samba позволяет другим операционным системам, отличным от Windows, таким как GNU / Linux или Mac OS X, совместно использовать общие сетевые папки, файлы и принтеры с операционной системой Windows.
Недавно обнаруженная уязвимость удаленного выполнения кода (CVE-2017-7494) затрагивает все версии новее, чем Samba 3.5.0, которая выпущена 1 марта 2010 года.
Читать полностью »
Прошло уже более 3 лет после последней публикации. К сожалению, долгое время в проекте не было каких-либо изменений и фактически он был заброшен. Но, в начале этого года, забыв заплатить за хостинг, получил множество писем и на удивление оказалось, что сервисом пользуется довольно много людей по всей стране и даже в других странах (Украина, Белоруссия, Казахстан и другие). Было решено реанимировать проект и доработать. И сейчас, по прошествии нескольких месяцев после реанимации, хочу рассказать вам что было сделано за это время и поделиться некоторыми планами на ближайшее будущее.Читать полностью »
До сегодняшнего дня трудно было угадать, когда Microsoft выкатит обновления с новыми функциями (feature upgrade) для Windows 10. С сентября 2017 года график выхода станет более стабильным: компания объявила, что большие обновления Windows 10, Office 365 ProPlus и System Center Configuration Manager будут выходить дважды в год по установленному графику: в сентябре и марте. Совмещение обновления офисного пакета и операционной системы связано с тем, что Office Pro Plus и Windows 10 часто устанавливают и обновляют вместе, так что это многим упростит жизнь.
Таким образом, ближайшее обновление Windows 10 и Office 365 ProPlus состоится в сентябре 2017 года, а следующее — в марте 2018 года.
Читать полностью »
«Если ты не идешь вперед, ты идешь назад», — сказал один умный человек. И мы идем вперед. Пожалуйста, встречайте новую версию OneBox Next. 178 улучшений, исправлений, доработок — маленьких и больших. И сейчас вы можете сами оценить систему при помощи бесплатной версии. Добро пожаловать!
