Forwarded from Echelon Eyes
Samsung не смогла получить оперативную память от одного из своих подразделений из за бума ИИ
Компания Samsung столкнулась с необычной ситуацией внутри собственной структуры. Подразделение Samsung MX (Mobile eXperience), которое отвечает за смартфоны Galaxy, стремилось заключить долгосрочный контракт на поставку оперативной памяти, чтобы зафиксировать объёмы и цены. Однако подразделение Samsung DS (Device Solutions), которое отвечает за полупроводники, включая память, HBM и DRAM, отказалось от долгосрочной сделки и согласовало только ежеквартальные поставки.
Подразделение DS отказалось от долгосрочного контракта с MX, чтобы сосредоточить мощности на более прибыльных чипах для ИИ. В результате MX вынуждено согласовывать поставки памяти ежеквартально, что создаёт постоянную необходимость уточнять объёмы и цены. Одновременно высокий спрос на чипы для ИИ и рост стоимости мобильных процессоров оказывают давление на себестоимость будущих смартфонов.
По мнению экспертов, в Samsung производственные мощности памяти сосредоточены на чипах для ИИ, из‑за чего для смартфонов остаётся меньше ресурсов, что отражает глобальную тенденцию отрасли.
#ИИ #чипы #полупроводники #технологии
Источник: https://eyes.etecs.ru/r/1baa98
Компания Samsung столкнулась с необычной ситуацией внутри собственной структуры. Подразделение Samsung MX (Mobile eXperience), которое отвечает за смартфоны Galaxy, стремилось заключить долгосрочный контракт на поставку оперативной памяти, чтобы зафиксировать объёмы и цены. Однако подразделение Samsung DS (Device Solutions), которое отвечает за полупроводники, включая память, HBM и DRAM, отказалось от долгосрочной сделки и согласовало только ежеквартальные поставки.
Подразделение DS отказалось от долгосрочного контракта с MX, чтобы сосредоточить мощности на более прибыльных чипах для ИИ. В результате MX вынуждено согласовывать поставки памяти ежеквартально, что создаёт постоянную необходимость уточнять объёмы и цены. Одновременно высокий спрос на чипы для ИИ и рост стоимости мобильных процессоров оказывают давление на себестоимость будущих смартфонов.
По мнению экспертов, в Samsung производственные мощности памяти сосредоточены на чипах для ИИ, из‑за чего для смартфонов остаётся меньше ресурсов, что отражает глобальную тенденцию отрасли.
#ИИ #чипы #полупроводники #технологии
Источник: https://eyes.etecs.ru/r/1baa98
서울경제
삼성 반도체, 갤럭시 D램도 분기별 계약
삼성전자(005930) 반도체(DS)부문이 스마트폰을 생산하는 모바일경험(MX)사업부의 메모리반도체를 분기별 협상에 따라 공급하기로 결정했다. 삼성 반도체가 인공지능(AI) 가속기용 고대역폭메모리(HBM)와 모바일용 저전력 D램(LPDDR) 등 고수익 제품 위주로 생산
Forwarded from Cult Of Wire
А тем временем в React и Next.js появились CVE c CVSS 10.0:
- CVE-2025-55182
- CVE-2025-66478 (на cve.org отмечена как REJECTED, duplicate of CVE-2025-55182)
Пошло довольно кучно: уязвимость затрагивает 19.0.0, 19.1.0, 19.1.1 и 19.2.0, а также фреймворки, использующие эти пакеты, включая Next.js 15.x и 16.x, использующие App Router.
Фиксы есть в версиях:
React: 19.0.1, 19.1.2, 19.2.1
Next.js: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7
PoC пока не появился, но думаю, что можно ждать уже в ближайшее время.
—
React Blog: Critical Security Vulnerability in React Server Components
Vercel: Summary of CVE-2025-55182
Github GitHub Advisory Database: Next.js is vulnerable to RCE in React flight protocol
- CVE-2025-55182
- CVE-2025-66478 (на cve.org отмечена как REJECTED, duplicate of CVE-2025-55182)
Пошло довольно кучно: уязвимость затрагивает 19.0.0, 19.1.0, 19.1.1 и 19.2.0, а также фреймворки, использующие эти пакеты, включая Next.js 15.x и 16.x, использующие App Router.
Фиксы есть в версиях:
React: 19.0.1, 19.1.2, 19.2.1
Next.js: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7
PoC пока не появился, но думаю, что можно ждать уже в ближайшее время.
—
React Blog: Critical Security Vulnerability in React Server Components
Vercel: Summary of CVE-2025-55182
Github GitHub Advisory Database: Next.js is vulnerable to RCE in React flight protocol
GitHub
RCE in React Server Components
A vulnerability affects certain React packages<sup>1</sup> for versions 19.0.0, 19.1.0, 19.1.1, and 19.2.0 and frameworks that use the affected packages, including Next.js 15.x and 16.x...
Forwarded from Cult Of Wire
Cult Of Wire
А тем временем в React и Next.js появились CVE c CVSS 10.0: - CVE-2025-55182 - CVE-2025-66478 (на cve.org отмечена как REJECTED, duplicate of CVE-2025-55182) Пошло довольно кучно: уязвимость затрагивает 19.0.0, 19.1.0, 19.1.1 и 19.2.0, а также фреймворки…
GitHub
GitHub - ejpir/CVE-2025-55182-research: CVE-2025-55182 POC
CVE-2025-55182 POC. Contribute to ejpir/CVE-2025-55182-research development by creating an account on GitHub.
Forwarded from eapotapov.am
Ну приплыли, NextJS от 14.3, NextJS 15 - все версии, Next.js 16 - все версии, remote code execution через Server Side Components.
https://nextjs.org/blog/CVE-2025-66478
У Vercel, кстати, биполярка.
Смотрите как сначала воду льют:
The vulnerable RSC protocol allowed untrusted inputs to influence server-side execution behavior. Under specific conditions, an attacker could craft requests that trigger unintended server execution paths.
Уязвимый протокол RSC позволял недоверенным входным данным влиять на поведение серверного выполнения кода. При определённых условиях злоумышленник мог создавать запросы, которые вызывают непредусмотренные пути выполнения на сервере.
Но следом - честнее:
Это может привести к удалённому выполнению кода в незащищённых окружениях.
Подробностей - нет.
Ну что ж, пойдемте обновляться (боже дай сил тем, кто изменил код так, что автоапдейт не пройдет).
There is no configuration option to disable the vulnerable code path.
https://nextjs.org/blog/CVE-2025-66478
У Vercel, кстати, биполярка.
Смотрите как сначала воду льют:
The vulnerable RSC protocol allowed untrusted inputs to influence server-side execution behavior. Under specific conditions, an attacker could craft requests that trigger unintended server execution paths.
Уязвимый протокол RSC позволял недоверенным входным данным влиять на поведение серверного выполнения кода. При определённых условиях злоумышленник мог создавать запросы, которые вызывают непредусмотренные пути выполнения на сервере.
Но следом - честнее:
Это может привести к удалённому выполнению кода в незащищённых окружениях.
Подробностей - нет.
Ну что ж, пойдемте обновляться (боже дай сил тем, кто изменил код так, что автоапдейт не пройдет).
There is no configuration option to disable the vulnerable code path.
nextjs.org
Security Advisory: CVE-2025-66478
A critical vulnerability (CVE-2025-66478) has been identified in the React Server Components protocol. Users should upgrade to patched versions immediately.
Forwarded from PRO Hi-Tech
ИИ стёр пользователю все данные с диска.
Пользователь Reddit с ником Deep-Hyena492 рассказал, что IDE Google Antigravity стерла все содержимое его диска D:\, когда он просил почистить кэш проекта. Сделав свое дело, нейросеть вежливо извинилась и ушла отдыхать, заявив, что достигла квоты модели. С нетерпением "ждем", когда Windows и прочие операционные системы от больших корпораций станут агентскими благодаря десяткам, сотням и тысячам встроенных ИИ-моделей.
Пользователь Reddit с ником Deep-Hyena492 рассказал, что IDE Google Antigravity стерла все содержимое его диска D:\, когда он просил почистить кэш проекта. Сделав свое дело, нейросеть вежливо извинилась и ушла отдыхать, заявив, что достигла квоты модели. С нетерпением "ждем", когда Windows и прочие операционные системы от больших корпораций станут агентскими благодаря десяткам, сотням и тысячам встроенных ИИ-моделей.
Forwarded from Новости информационной безопасности
ФСТЭК взялся за Exim: регулятор рассказал, как обезопасить почтовый сервер
8 декабря. / SecPost /. Опубликованы новые рекомендации ФСТЭК — они касаются усиления безопасности серверов на базе open-source почтового агента Exim. За последние семь лет ФСТЭК нашел 43 уязвимости, связанные с Exim — при этом, он остается очень популярным сервисом в России, подробнее в материале SecPost.
Федеральная служба по техническому и экспортному контролю РФ (ФСТЭК) опубликовала рекомендации по повышению защищённости популярного open-source почтового агента Exim. В документе, опубликованном на сайте ФСТЭК, приводится детальное описание настройки механизмов SPF, DKIM и DMARC на серверах — таким образом можно увеличить защищённость сервера от атак, связанных с подменой отправителя.
ФСТЭК кратко обозначил причины, по которым пошёл на публикацию рекомендаций. Как пишет регулятор, рекомендации были подготовлены «по результатам анализа сведений об угрозах безопасности информации, проводимого специалистами ФСТЭК России в условиях сложившейся обстановки».
Рекомендации предназначены для того, чтобы увеличить безопасность серверов на Exim от атак, связанных с подменой отправителя — спуфинговых и фишинговых атак.
8 декабря. / SecPost /. Опубликованы новые рекомендации ФСТЭК — они касаются усиления безопасности серверов на базе open-source почтового агента Exim. За последние семь лет ФСТЭК нашел 43 уязвимости, связанные с Exim — при этом, он остается очень популярным сервисом в России, подробнее в материале SecPost.
Федеральная служба по техническому и экспортному контролю РФ (ФСТЭК) опубликовала рекомендации по повышению защищённости популярного open-source почтового агента Exim. В документе, опубликованном на сайте ФСТЭК, приводится детальное описание настройки механизмов SPF, DKIM и DMARC на серверах — таким образом можно увеличить защищённость сервера от атак, связанных с подменой отправителя.
ФСТЭК кратко обозначил причины, по которым пошёл на публикацию рекомендаций. Как пишет регулятор, рекомендации были подготовлены «по результатам анализа сведений об угрозах безопасности информации, проводимого специалистами ФСТЭК России в условиях сложившейся обстановки».
Рекомендации предназначены для того, чтобы увеличить безопасность серверов на Exim от атак, связанных с подменой отправителя — спуфинговых и фишинговых атак.
secpost.ru
ФСТЭК взялся за Exim: регулятор рассказал, как обезопасить почтовый сервер
Опубликованы новые рекомендации ФСТЭК — они касаются усиления безопасности серверов на базе open-source почтового агента Exim. За последние семь лет ФСТЭК нашел 43 уязвимости, связанные с Exim — при этом, он остается очень популярным сервисом в России, подробнее…
CUDA de Grâce
Talk (slides) by Valentina Palmiotti and Samuel Lovejoy about exploiting a race condition that leads to a double-free in the NVIDIA GPU driver to escape a container created with NVIDIA Container Toolkit.
Talk (slides) by Valentina Palmiotti and Samuel Lovejoy about exploiting a race condition that leads to a double-free in the NVIDIA GPU driver to escape a container created with NVIDIA Container Toolkit.
YouTube
HEXACON 2025 - CUDA de Grâce by Valentina Palmiotti & Samuel Lovejoy
Enjoy the videos and music you love, upload original content, and share it all with friends, family, and the world on YouTube.
Forwarded from ITRadio
Кофе, SOC и логи. Анонс №16
О чём:
Обсуждение лучших новостей инфобеза за неделю с 8 по 14 декабря 2025 г.
Ведущие:
Александр Антипов,
Денис Батранков,
Иван Казьмин,
Антон Клочков.
Специальный гость:
Александр Вир. Независимый исследователь. Консультант по информационной безопасности. Спикер DEF CON NN, Volga CTF. Основатель проекта по созданию защищённой операционной системы @rutheniumos. Автор технических статей, преподаватель и владелец каналов с мемами @theaftertimes.
Во второй половине января, может, раньше, выйдет его книга «Практическая безопасность Linux».
Миф о том, что Linux по умолчанию безопасен, давно пора развеять. Эта книга – подробное практическое руководство по защите Linux-систем: от архитектуры ядра и модели прав доступа до расследования инцидентов безопасности. Она предоставляет все необходимые знания и инструменты для эффективной защиты операционной системы.
Когда: 14.12.2025 11:00 – ссылка на наш календарь
Трансляция будет здесь🗣 https://itradio.su/streaming
и тут🗣 https://stream.itradio.su
Задаём свои вопросы в чате подкаста с тегом #csl16
@ITRadiosu #csl
О чём:
Обсуждение лучших новостей инфобеза за неделю с 8 по 14 декабря 2025 г.
Ведущие:
Александр Антипов,
Денис Батранков,
Иван Казьмин,
Антон Клочков.
Специальный гость:
Александр Вир. Независимый исследователь. Консультант по информационной безопасности. Спикер DEF CON NN, Volga CTF. Основатель проекта по созданию защищённой операционной системы @rutheniumos. Автор технических статей, преподаватель и владелец каналов с мемами @theaftertimes.
Во второй половине января, может, раньше, выйдет его книга «Практическая безопасность Linux».
Миф о том, что Linux по умолчанию безопасен, давно пора развеять. Эта книга – подробное практическое руководство по защите Linux-систем: от архитектуры ядра и модели прав доступа до расследования инцидентов безопасности. Она предоставляет все необходимые знания и инструменты для эффективной защиты операционной системы.
Когда: 14.12.2025 11:00 – ссылка на наш календарь
Трансляция будет здесь
и тут
Задаём свои вопросы в чате подкаста с тегом #csl16
@ITRadiosu #csl
Please open Telegram to view this post
VIEW IN TELEGRAM
ITRadio
Кофе, SOC и логи. Анонс №16 О чём: Обсуждение лучших новостей инфобеза за неделю с 8 по 14 декабря 2025 г. Ведущие: Александр Антипов, Денис Батранков, Иван Казьмин, Антон Клочков. Специальный гость: Александр Вир. Независимый исследователь. Консультант…
Админы мемных пабликов не так просты, как некоторым кажется ))
Forwarded from Откровения от Олега
МИКРОСЕРВИСЫ ЭТО СКАМ
DHH тут написал твит, которым я не могу не поделиться.
DHH - автор веб-фреймворка Ruby on Rails, известный автогонщик, CTO и совладелец 37signals. Твит перевел Кирилл Мокевнин из Хекслета, а я честно скопировал, потому что красть наворованное — почётно :)
Микросервисы — это самый успешный обман доверия в индустрии разработки. Они убеждают небольшие команды, что те «мыслят масштабно», одновременно систематически разрушая их способность двигаться вообще хоть как-то. Они тешат амбиции, превращая неуверенность в оружие: если вы не запускаете созвездие сервисов, вы вообще настоящая компания? И неважно, что эта архитектура была придумана для борьбы с организационной дисфункцией планетарного масштаба. Теперь её прописывают командам, которые всё ещё сидят в одном Slack-канале и за одним столом на ланче.
Небольшие команды держатся на общем контексте. Это их сверхсила. Все могут рассуждать от начала до конца. Все могут менять всё. Микросервисы испаряют это преимущество при первом же контакте. Они заменяют общее понимание распределённым невежеством. Никто больше не владеет системой целиком. Каждый владеет лишь осколком. Система перестаёт быть тем, что команда понимает и контролирует, и превращается в нечто, что просто происходит с командой. Это не усложнение. Это отказ от ответственности.
А потом начинается операционный фарс. Каждый сервис требует собственный pipeline, секреты, алерты, метрики, дашборды, права доступа, бэкапы и целый набор ритуалов умиротворения. Вы больше не «деплоите» — вы синхронизируете флот. Один баг теперь требует вскрытия нескольких сервисов. Выпуск фичи превращается в упражнение по координации через искусственные границы, которые вы сами же и придумали без всякой причины. Вы не упростили систему. Вы разнесли её и назвали обломки «архитектурой».
Микросервисы также консервируют некомпетентность. Вас заставляют определять API ещё до того, как вы понимаете собственный бизнес. Догадки становятся контрактами. Плохие идеи — постоянными зависимостями. Каждая ранняя ошибка метастазирует по сети. В монолите ошибочное мышление исправляется рефакторингом. В микросервисах ошибочное мышление становится инфраструктурой. Вы не просто сожалеете — вы хостите это, версионируете и мониторите.
Утверждение, что монолиты не масштабируются, — одна из самых глупых сказок современной инженерной мифологии. Не масштабируется хаос. Не масштабируется процессная показуха. Не масштабируется игра в Netflix, когда вы на самом деле делаете обычный CRUD. Монолиты масштабируются прекрасно, когда у команды есть дисциплина, тесты и умеренность. Но умеренность не в моде, а скучные вещи не делают хорошие доклады на конференциях.
Микросервисы для маленьких команд — это не техническая ошибка, а философская. Это громкое заявление о том, что команда не доверяет себе понять собственную систему. Это замена ответственности протоколами, а инерции — прослойками. Вы не получаете «защиту на будущее». Вы получаете перманентный тормоз. И к тому моменту, когда вы наконец доростёте до масштаба, который хоть как-то оправдывает этот цирк, ваша скорость, ясность и продуктовая интуиция уже будут потеряны.
DHH тут написал твит, которым я не могу не поделиться.
DHH - автор веб-фреймворка Ruby on Rails, известный автогонщик, CTO и совладелец 37signals. Твит перевел Кирилл Мокевнин из Хекслета, а я честно скопировал, потому что красть наворованное — почётно :)
Микросервисы — это самый успешный обман доверия в индустрии разработки. Они убеждают небольшие команды, что те «мыслят масштабно», одновременно систематически разрушая их способность двигаться вообще хоть как-то. Они тешат амбиции, превращая неуверенность в оружие: если вы не запускаете созвездие сервисов, вы вообще настоящая компания? И неважно, что эта архитектура была придумана для борьбы с организационной дисфункцией планетарного масштаба. Теперь её прописывают командам, которые всё ещё сидят в одном Slack-канале и за одним столом на ланче.
Небольшие команды держатся на общем контексте. Это их сверхсила. Все могут рассуждать от начала до конца. Все могут менять всё. Микросервисы испаряют это преимущество при первом же контакте. Они заменяют общее понимание распределённым невежеством. Никто больше не владеет системой целиком. Каждый владеет лишь осколком. Система перестаёт быть тем, что команда понимает и контролирует, и превращается в нечто, что просто происходит с командой. Это не усложнение. Это отказ от ответственности.
А потом начинается операционный фарс. Каждый сервис требует собственный pipeline, секреты, алерты, метрики, дашборды, права доступа, бэкапы и целый набор ритуалов умиротворения. Вы больше не «деплоите» — вы синхронизируете флот. Один баг теперь требует вскрытия нескольких сервисов. Выпуск фичи превращается в упражнение по координации через искусственные границы, которые вы сами же и придумали без всякой причины. Вы не упростили систему. Вы разнесли её и назвали обломки «архитектурой».
Микросервисы также консервируют некомпетентность. Вас заставляют определять API ещё до того, как вы понимаете собственный бизнес. Догадки становятся контрактами. Плохие идеи — постоянными зависимостями. Каждая ранняя ошибка метастазирует по сети. В монолите ошибочное мышление исправляется рефакторингом. В микросервисах ошибочное мышление становится инфраструктурой. Вы не просто сожалеете — вы хостите это, версионируете и мониторите.
Утверждение, что монолиты не масштабируются, — одна из самых глупых сказок современной инженерной мифологии. Не масштабируется хаос. Не масштабируется процессная показуха. Не масштабируется игра в Netflix, когда вы на самом деле делаете обычный CRUD. Монолиты масштабируются прекрасно, когда у команды есть дисциплина, тесты и умеренность. Но умеренность не в моде, а скучные вещи не делают хорошие доклады на конференциях.
Микросервисы для маленьких команд — это не техническая ошибка, а философская. Это громкое заявление о том, что команда не доверяет себе понять собственную систему. Это замена ответственности протоколами, а инерции — прослойками. Вы не получаете «защиту на будущее». Вы получаете перманентный тормоз. И к тому моменту, когда вы наконец доростёте до масштаба, который хоть как-то оправдывает этот цирк, ваша скорость, ясность и продуктовая интуиция уже будут потеряны.
2
Шел декабрь 2025 года. Четверть 21 века. А СберТВ все ещё не умели в WPA3 аутентификацию 🫠.
#Сбер #СберДевайсы #SberDevices
#Сбер #СберДевайсы #SberDevices
Forwarded from SecAtor
Horizon3 обнаружила серию уязвимостей в платформе с открытым исходным кодом FreePBX для частных телефонных станций (PBX), включая критическую ошибку, которая при определенных конфигурациях может привести к обходу аутентификации.
В числе найденных проблем, о которых исследователи уведомили сопровождающих проект еще 15 сентября:
- CVE-2025-61675 (CVSS: 8.6): включает уязвимости, позволяющие осуществлять аутентифицированные SQL-инъекции, затрагивающие четыре уникальные конечные точки (базовая станция, модель, микропрограмма и пользовательское расширение) и 11 уязвимых параметров, обеспечивающих доступ на чтение и запись к базовой базе данных SQL.
- CVE-2025-61678 (CVSS: 8.6): уязвимость, позволяющая использовать конечную точку загрузки прошивки для загрузки веб-оболочки PHP после получения действительного PHPSESSID и выполнения произвольных команд для утечки содержимого конфиденциальных файлов (например, "/etc/passwd»).
- CVE-2025-66039 (CVSS: 9.3): уязвимость обхода аутентификации, возникающая, когда параметр AUTHTYPE установлен на «веб-сервер», что позволяет злоумышленнику войти в панель управления администратора через поддельный заголовок авторизации.
Стоит отметить, что в конфигурации FreePBX по умолчанию обход аутентификации невозможен, поскольку параметр «Тип авторизации» отображается только тогда, когда в разделе «подробные настройки» для трех следующих параметров установлено значение «да».
Однако, как только будет выполнено необходимое условие, злоумышленник сможет отправлять специально сформированные HTTP-запросы, чтобы обойти аутентификацию и внедрить вредоносного пользователя в таблицу базы данных ampusers.
Фактически это позволит добиться что-то похожее на CVE-2025-57819, другую уязвимость в FreePBX, которая, как стало известно в сентябре этого года, активно использовалась злоумышленниками.
Как отмечают исследователи Horizon3, все эти уязвимости достаточно легко эксплуатируются и позволяют как авторизованным, так и неавторизованным удаленным злоумышленникам выполнять удаленный код на уязвимых экземплярах FreePBX.
Проблемы были устранены в версиях: CVE-2025-61675 и CVE-2025-61678 - в версиях 16.0.92 и 17.0.6 (исправлено 14 октября) и CVE-2025-66039 - в версиях 16.0.44 и 17.0.23 (исправлено 9 декабря).
Кроме того, возможность выбора поставщика аутентификации теперь удалена из расширенных настроек и требует от пользователей установки его вручную через командную строку с помощью fwconsole.
В качестве временных мер FreePBX рекомендует пользователям установить для параметра «тип авторизации» значение «usermanager», для параметра «переопределить параметры только для чтения» значение «нет», применить новую конфигурацию и перезагрузить систему.
В случае, если параметр AUTHTYPE веб-сервера был включен по ошибке, то пользователям следует тщательно проанализировать свою систему на предмет признаков потенциального взлома.
В числе найденных проблем, о которых исследователи уведомили сопровождающих проект еще 15 сентября:
- CVE-2025-61675 (CVSS: 8.6): включает уязвимости, позволяющие осуществлять аутентифицированные SQL-инъекции, затрагивающие четыре уникальные конечные точки (базовая станция, модель, микропрограмма и пользовательское расширение) и 11 уязвимых параметров, обеспечивающих доступ на чтение и запись к базовой базе данных SQL.
- CVE-2025-61678 (CVSS: 8.6): уязвимость, позволяющая использовать конечную точку загрузки прошивки для загрузки веб-оболочки PHP после получения действительного PHPSESSID и выполнения произвольных команд для утечки содержимого конфиденциальных файлов (например, "/etc/passwd»).
- CVE-2025-66039 (CVSS: 9.3): уязвимость обхода аутентификации, возникающая, когда параметр AUTHTYPE установлен на «веб-сервер», что позволяет злоумышленнику войти в панель управления администратора через поддельный заголовок авторизации.
Стоит отметить, что в конфигурации FreePBX по умолчанию обход аутентификации невозможен, поскольку параметр «Тип авторизации» отображается только тогда, когда в разделе «подробные настройки» для трех следующих параметров установлено значение «да».
Однако, как только будет выполнено необходимое условие, злоумышленник сможет отправлять специально сформированные HTTP-запросы, чтобы обойти аутентификацию и внедрить вредоносного пользователя в таблицу базы данных ampusers.
Фактически это позволит добиться что-то похожее на CVE-2025-57819, другую уязвимость в FreePBX, которая, как стало известно в сентябре этого года, активно использовалась злоумышленниками.
Как отмечают исследователи Horizon3, все эти уязвимости достаточно легко эксплуатируются и позволяют как авторизованным, так и неавторизованным удаленным злоумышленникам выполнять удаленный код на уязвимых экземплярах FreePBX.
Проблемы были устранены в версиях: CVE-2025-61675 и CVE-2025-61678 - в версиях 16.0.92 и 17.0.6 (исправлено 14 октября) и CVE-2025-66039 - в версиях 16.0.44 и 17.0.23 (исправлено 9 декабря).
Кроме того, возможность выбора поставщика аутентификации теперь удалена из расширенных настроек и требует от пользователей установки его вручную через командную строку с помощью fwconsole.
В качестве временных мер FreePBX рекомендует пользователям установить для параметра «тип авторизации» значение «usermanager», для параметра «переопределить параметры только для чтения» значение «нет», применить новую конфигурацию и перезагрузить систему.
В случае, если параметр AUTHTYPE веб-сервера был включен по ошибке, то пользователям следует тщательно проанализировать свою систему на предмет признаков потенциального взлома.
Horizon3.ai
The FreePBX Rabbit Hole: CVE-2025-66039 & More
Horizon3.ai uncovers FreePBX flaws, including CVE-2025-66039 auth bypass, SQL injection, and file upload RCE—and shows how NodeZero detects them.
Forwarded from Ассоциация ФинТех
АФТ_AI Security в финтехе.pdf
19.4 MB
Forwarded from Ассоциация ФинТех
«Ред ОС 8» сертифицирована ФСТЭК России.
📌 Компания #РедСофт сообщила, что их операционная система прошла сертификационные испытания ФСТЭК России, подтвердив высокий уровень безопасности.
«Ред ОС 8» соответствует требованиям к операционным системам общего назначения, средствам виртуализации и контейнеризации 4 класса защиты. Система может применяться в организациях с повышенными требованиями к информационной безопасности, в том числе на объектах критической информационной инфраструктуры до I категории значимости включительно.
Данная редакция «Ред ОС 8» предлагает пользователям графическое окружение KDE, ядро Linux 6.12, обновленные средства виртуализации, контейнеризации и оркестрации, а также поддержку архитектуры ARM.
📌 Компания #РедСофт сообщила, что их операционная система прошла сертификационные испытания ФСТЭК России, подтвердив высокий уровень безопасности.
«Ред ОС 8» соответствует требованиям к операционным системам общего назначения, средствам виртуализации и контейнеризации 4 класса защиты. Система может применяться в организациях с повышенными требованиями к информационной безопасности, в том числе на объектах критической информационной инфраструктуры до I категории значимости включительно.
Данная редакция «Ред ОС 8» предлагает пользователям графическое окружение KDE, ядро Linux 6.12, обновленные средства виртуализации, контейнеризации и оркестрации, а также поддержку архитектуры ARM.
Forwarded from opennet.ru
Назначен новый руководитель Mozilla Corporation, делающий ставку на AI в Firefox https://opennet.ru/64433/
www.opennet.ru
Назначен новый руководитель Mozilla Corporation, делающий ставку на AI в Firefox
Энтони Энзор-ДеМео (Anthony Enzor-DeMeo) назначен новым руководителем (CEO) компании Mozilla Corporation. Энтони перешёл в Mozilla с должности директора по продуктам в компании Roofstock и с декабря 2024 года занимал пост старшего вице-президента по Firefox…