ФСТЭК взялся за Exim: регулятор рассказал, как обезопасить почтовый сервер

8 декабря. / SecPost /. Опубликованы новые рекомендации ФСТЭК — они касаются усиления безопасности серверов на базе open-source почтового агента Exim. За последние семь лет ФСТЭК нашел 43 уязвимости, связанные с Exim — при этом, он остается очень популярным сервисом в России, подробнее в материале SecPost.

Федеральная служба по техническому и экспортному контролю РФ (ФСТЭК) опубликовала рекомендации по повышению защищённости популярного open-source почтового агента Exim. В документе, опубликованном на сайте ФСТЭК, приводится детальное описание настройки механизмов SPF, DKIM и DMARC на серверах — таким образом можно увеличить защищённость сервера от атак, связанных с подменой отправителя.

ФСТЭК кратко обозначил причины, по которым пошёл на публикацию рекомендаций. Как пишет регулятор, рекомендации были подготовлены «по результатам анализа сведений об угрозах безопасности информации, проводимого специалистами ФСТЭК России в условиях сложившейся обстановки».

Рекомендации предназначены для того, чтобы увеличить безопасность серверов на Exim от атак, связанных с подменой отправителя — спуфинговых и фишинговых атак.

CUDA de Grâce

Talk (slides) by Valentina Palmiotti and Samuel Lovejoy about exploiting a race condition that leads to a double-free in the NVIDIA GPU driver to escape a container created with NVIDIA Container Toolkit.

Лучший экран ошибки на сайтах

Так будет с каждым криворуким

Админы мемных пабликов не так просты, как некоторым кажется ))

МИКРОСЕРВИСЫ ЭТО СКАМ

DHH тут написал твит, которым я не могу не поделиться.

DHH - автор веб-фреймворка Ruby on Rails, известный автогонщик, CTO и совладелец 37signals. Твит перевел Кирилл Мокевнин из Хекслета, а я честно скопировал, потому что красть наворованное — почётно :)

Микросервисы — это самый успешный обман доверия в индустрии разработки. Они убеждают небольшие команды, что те «мыслят масштабно», одновременно систематически разрушая их способность двигаться вообще хоть как-то. Они тешат амбиции, превращая неуверенность в оружие: если вы не запускаете созвездие сервисов, вы вообще настоящая компания? И неважно, что эта архитектура была придумана для борьбы с организационной дисфункцией планетарного масштаба. Теперь её прописывают командам, которые всё ещё сидят в одном Slack-канале и за одним столом на ланче.

Небольшие команды держатся на общем контексте. Это их сверхсила. Все могут рассуждать от начала до конца. Все могут менять всё. Микросервисы испаряют это преимущество при первом же контакте. Они заменяют общее понимание распределённым невежеством. Никто больше не владеет системой целиком. Каждый владеет лишь осколком. Система перестаёт быть тем, что команда понимает и контролирует, и превращается в нечто, что просто происходит с командой. Это не усложнение. Это отказ от ответственности.
А потом начинается операционный фарс. Каждый сервис требует собственный pipeline, секреты, алерты, метрики, дашборды, права доступа, бэкапы и целый набор ритуалов умиротворения. Вы больше не «деплоите» — вы синхронизируете флот. Один баг теперь требует вскрытия нескольких сервисов. Выпуск фичи превращается в упражнение по координации через искусственные границы, которые вы сами же и придумали без всякой причины. Вы не упростили систему. Вы разнесли её и назвали обломки «архитектурой».

Микросервисы также консервируют некомпетентность. Вас заставляют определять API ещё до того, как вы понимаете собственный бизнес. Догадки становятся контрактами. Плохие идеи — постоянными зависимостями. Каждая ранняя ошибка метастазирует по сети. В монолите ошибочное мышление исправляется рефакторингом. В микросервисах ошибочное мышление становится инфраструктурой. Вы не просто сожалеете — вы хостите это, версионируете и мониторите.

Утверждение, что монолиты не масштабируются, — одна из самых глупых сказок современной инженерной мифологии. Не масштабируется хаос. Не масштабируется процессная показуха. Не масштабируется игра в Netflix, когда вы на самом деле делаете обычный CRUD. Монолиты масштабируются прекрасно, когда у команды есть дисциплина, тесты и умеренность. Но умеренность не в моде, а скучные вещи не делают хорошие доклады на конференциях.

Микросервисы для маленьких команд — это не техническая ошибка, а философская. Это громкое заявление о том, что команда не доверяет себе понять собственную систему. Это замена ответственности протоколами, а инерции — прослойками. Вы не получаете «защиту на будущее». Вы получаете перманентный тормоз. И к тому моменту, когда вы наконец доростёте до масштаба, который хоть как-то оправдывает этот цирк, ваша скорость, ясность и продуктовая интуиция уже будут потеряны.

Apache Tika flaw (CVE-2025-66516) — CVSS 10.0.
*
Сплошные десятки под новый год

Шел декабрь 2025 года. Четверть 21 века. А СберТВ все ещё не умели в WPA3 аутентификацию 🫠.
#Сбер #СберДевайсы #SberDevices

Horizon3 обнаружила серию уязвимостей в платформе с открытым исходным кодом FreePBX для частных телефонных станций (PBX), включая критическую ошибку, которая при определенных конфигурациях может привести к обходу аутентификации.

В числе найденных проблем, о которых исследователи уведомили сопровождающих проект еще 15 сентября:

- CVE-2025-61675 (CVSS: 8.6): включает уязвимости, позволяющие осуществлять аутентифицированные SQL-инъекции, затрагивающие четыре уникальные конечные точки (базовая станция, модель, микропрограмма и пользовательское расширение) и 11 уязвимых параметров, обеспечивающих доступ на чтение и запись к базовой базе данных SQL.

- CVE-2025-61678 (CVSS: 8.6): уязвимость, позволяющая использовать конечную точку загрузки прошивки для загрузки веб-оболочки PHP после получения действительного PHPSESSID и выполнения произвольных команд для утечки содержимого конфиденциальных файлов (например, "/etc/passwd»).

- CVE-2025-66039 (CVSS: 9.3): уязвимость обхода аутентификации, возникающая, когда параметр AUTHTYPE установлен на «веб-сервер», что позволяет злоумышленнику войти в панель управления администратора через поддельный заголовок авторизации.

Стоит отметить, что в конфигурации FreePBX по умолчанию обход аутентификации невозможен, поскольку параметр «Тип авторизации» отображается только тогда, когда в разделе «подробные настройки» для трех следующих параметров установлено значение «да».

Однако, как только будет выполнено необходимое условие, злоумышленник сможет отправлять специально сформированные HTTP-запросы, чтобы обойти аутентификацию и внедрить вредоносного пользователя в таблицу базы данных ampusers.

Фактически это позволит добиться что-то похожее на CVE-2025-57819, другую уязвимость в FreePBX, которая, как стало известно в сентябре этого года, активно использовалась злоумышленниками.

Как отмечают исследователи Horizon3, все эти уязвимости достаточно легко эксплуатируются и позволяют как авторизованным, так и неавторизованным удаленным злоумышленникам выполнять удаленный код на уязвимых экземплярах FreePBX.

Проблемы были устранены в версиях: CVE-2025-61675 и CVE-2025-61678 - в версиях 16.0.92 и 17.0.6 (исправлено 14 октября) и CVE-2025-66039 - в версиях 16.0.44 и 17.0.23 (исправлено 9 декабря).

Кроме того, возможность выбора поставщика аутентификации теперь удалена из расширенных настроек и требует от пользователей установки его вручную через командную строку с помощью fwconsole.

В качестве временных мер FreePBX рекомендует пользователям установить для параметра «тип авторизации» значение «usermanager», для параметра «переопределить параметры только для чтения» значение «нет», применить новую конфигурацию и перезагрузить систему.

В случае, если параметр AUTHTYPE веб-сервера был включен по ошибке, то пользователям следует тщательно проанализировать свою систему на предмет признаков потенциального взлома.

«Ред ОС 8» сертифицирована ФСТЭК России.

📌 Компания #РедСофт сообщила, что их операционная система прошла сертификационные испытания ФСТЭК России, подтвердив высокий уровень безопасности.

«Ред ОС 8» соответствует требованиям к операционным системам общего назначения, средствам виртуализации и контейнеризации 4 класса защиты. Система может применяться в организациях с повышенными требованиями к информационной безопасности, в том числе на объектах критической информационной инфраструктуры до I категории значимости включительно.

Данная редакция «Ред ОС 8» предлагает пользователям графическое окружение KDE, ядро Linux 6.12, обновленные средства виртуализации, контейнеризации и оркестрации, а также поддержку архитектуры ARM.

Назначен новый руководитель Mozilla Corporation, делающий ставку на AI в Firefox https://opennet.ru/64433/

Пропал дом

Новая презентация про изменения продуктивности программистов благодаря AI

Это снова презентация от той же группы исследователей из Стэнфорда. Результаты исследований презентовал Yegor Denisov-Blanch.

Пост про его предыдущую презентацию тут: Еще одно исследование улучшения продуктивности программистов при помощи AI

Сама новая презентация: https://www.youtube.com/watch?v=JvosMkuNxF8

Основные результаты:

1) Внедрение AI увеличивает продуктивность программистов и это увеличение продуктивности растет со временем. Если в 2023 увеличение продуктивности от внедрения AI было около 0. В 2024 среднее изменение продуктивности от внедрения стало уже 5%, а в 2025 - около 10%.
2) Продуктивность от внедрения AI слабо коррелирует с числом используемых токенов. Т.е. важно не количество используемых токенов, а качество того, как вы используете AI.
3) Увеличение продуктивности от внедрения AI сильно зависит от изначального качества кода. Clean Code позволяет получить большее увеличение продуктивности от использования AI. (Мой комментарий: Но вообще, это скорее связано с его предыдущим результатом про маленькие репозитории, т.к. они в индексе качества кода использовали в том числе размер репозитория.)
4) Одинаковый доступ к AI тулам не означает одинаковое использование AI разными командами. Многие компании внедрили AI для повышения продуктивности программистов, но тем не менее разные команды используют AI в разной степени, хотя доступ к тулам одинаковый.
5) Число Code Review/PR увеличилось сильно, но увеличилось число Code Review/PR на Rework. Т.е. программисты пушат больше кода и сильно больше потом переделывают. Поэтому число PR может увеличиться на 40%, но 20%-30% - переделывание предыдущих PR сгенерированных при помощи AI. Поэтому на 2025 год среднее увеличение продуктивности находится на уровне 10%.
6) Качество кода уменьшилось от внедрения AI. Не смотря на увеличение продуктивности, качество кода уменьшилось на 9%.

Основные результаты из предыдущей презентации:

1) Нет корреляции между тем, как программисты сами оценивали изменение своей продуктивности и тем как продуктивность изменилась в реальности. Т.е. нельзя использовать опросники программистов про влияние AI на свою продуктивность. Нужно делать реальные замеры и не опираться на опросы.
2) Продуктивность менялась от уменьшения продуктивности на десятки процентов до увеличения продуктивности на 40% в зависимости от условий, типов задач, сложности задачи и языка программирования.
3) В задачах, на которых продуктивность увеличилась на 40%, половину пришлось переделывать. Т.е. увеличилась продуктивность, но и потребовалось существенную часть переделывать. Это как два шага вперед и один шаг назад. В реальности продуктивность на этих задачах выросла на 15%-20%.
4) Продуктивность выросла на следующих типах задач: простые задачи, популярные языки программирования (python, js), маленькие базы кода.
5) Продуктивность выросла меньше или уменьшилась на следующих типах задач: сложные задачи, редкие языки программирования или большие базы кода.

- А ты знал, что MTU можно задать не только в Альт Линукс?
- Ааа, не напоминай мне про Россетти!

ICF: Двигайся на вайбе @ Ломай бизнес

Будущее Linux:

"We’re proud to announce that we are partnering with TransTech Social Enterprises, an incubator for LGBTQ talent with a focus on economically empowering the T, transgender people, to provide scholarships to promising individuals to help them get started working with open source software." -
Linux Foundation

Пацаны, Linus предал сообщество, расходимся

Вкусно, но пока не для прода
https://boringsql.com/posts/instant-database-clones/

Microsoft планирует отказаться от C/C++ к 2030 году

О проекте гигантского переписывания кода стало известно из вакансии, где для него ищут сотрудников. Цель амбициозная — миллион строчек портированного кода на человека в месяц, что было бы невозможно без использования ИИ (да и с ИИ есть сомнения). Заменой послужит Rust, который успешно применяют в компании. На него уже переписали несколько компонентов Windows, а также используют в Azure.

Флаг им в руки, интересно что выйдет из этого гигантского эксперимента по переписыванию кода. Хотя если посмотреть на "успехи" Microsoft в сфере AI и на качество их софта в последнее время, то возникают сомнения по поводу перспектив проекта.

@ai_newz