CVE-2026-23745 / node-tar

Суть: не чистятся абсолютные пути в поле linkpath для Hardlinks и Symlinks. Значит, собранный особым образом архив tar может обойти корень извлечения и перезаписывать файлы на хосте.

POC

Захват контроля над snap-пакетами, связанными с просроченными доменами https://opennet.ru/64641/

Уязвимость в GitLab, позволяющая обойти двухфакторную аутентификацию https://opennet.ru/64657/

Мы будем скучать по тебе, интернет без ИИ
#мертвыйинтернет

Ну вот и всё. Наступил тот день, когда я написал плейбук Ansible развертывания новой геораспределенной информационной системы за вечер с помощью ИИ ассистента.

Ручных правок было две: опечатка в текстовых атрибутах, не несущих значения и упущенное скрытое техтребование занёс в блок техтребований как одно из основных, после того как оно всплыло в процессе разработки.

Да, профессию девопса официально можно считать мертвой. А этот паблик теперь использовать для ИТ мемов.

Как патчить ядро Linux: подробное руководство

#Linux

Всем привет, это Тимур. Сейчас в YADRO я разрабатываю сетевую операционную систему для коммутаторов KORNFELD. В ходе этого проекта летом я получил сложную задачу: реализовать установку опции PROTO_DOWN для Ethernet-интерфейсов в ядре Linux. «Из коробки» ядро поддерживает эту опцию только для vxlan и macvlan-интерфейсов, а для Ethernet поддержка определяется драйвером сетевого устройства.

В статье я подробно расскажу о той части задачи, что касается непосредственно ядра Linux. На реализацию требования я потратил много сил, времени и хочу, чтобы мой опыт остался в сообществе. Постараюсь максимально подробно объяснить каждый шаг, чтобы вы смогли построить собственный процесс разработки на этой основе, даже если никогда не занимались разработкой для ядра. Статья будет полезна не только программистам, но и любителям Linux, так как в большей степени она посвящена тонкостям работы с этой ОС, а не программированию.

Ссылка на статью

Проект Singularity развивает открытый руткит, обходящий SELinux, Netfilter, LKRG и eBPF https://opennet.ru/64663/

В инфраструктуре OSS Fuzz реализована поддержка проектов на языке Lua https://opennet.ru/64668/

Без регистрации и смс - китайский родитель сберовского гигачата
chat.qwen.ai
#СекретПолишинеля

Когда твоя отрасль уничтожила себя сама

#Билайн и red_mad_robot создают СП для массового внедрения агентного ИИ в бизнес.

🤖 Цель инициативы — разработка и масштабирование агентных ИИ-систем нового поколения: устойчивых решений, которые повышают автономность и надежность бизнес-процессов и дают измеримый эффект для компаний, пишет CNews.

Сообщается, что основной фокус совместного предприятия сосредоточен на переходе от экспериментального использования ИИ к промышленному применению, при котором ИИ-системы берут на себя выполнение и координацию задач в реальных бизнес-контурaх.

Nextgen подъехал, ага. А когда Сберу (в виде софтостроителя под названием СберТех) предлагали это сделать в 2023-2024, его миддл менеджмент не понял ценность

В Debian 14 намерены удалить слой для совместимости systemd со скриптами sysv-init https://opennet.ru/64706/

🔹Кошмар на улице n8n: платформу для автоматизации процессов лихорадит от новых уязвимостей

30 января. / securitylab.ru /. Команда специалистов по информационной безопасности обнаружила две критически опасные уязвимости в платформе автоматизации рабочих процессов n8n. Обе ошибки позволяют авторизованным пользователям выполнить произвольный код на целевой системе, что может привести к захвату контроля над всей платформой.

Проблемы были выявлены исследователями из JFrog. Первая из них получила идентификатор CVE-2026-1470 и оценку 9.9 балла по шкале CVSS. Она связана с внедрением кода через механизм eval и даёт возможность обойти защиту Expression Sandbox. При успешной атаке злоумышленник может запустить JavaScript-код на главном узле n8n.

Вторая уязвимость, CVE-2026-0863, оценена в 8.5 балла. Она затрагивает среду python-task-executor и позволяет обойти её ограничения, получив доступ к выполнению произвольных Python-команд на уровне операционной системы. Обе ошибки требуют предварительной авторизации, но даже в таком случае создают высокий риск — особенно в конфигурациях, где используется так называемый «внутренний» режим выполнения задач. Разработчики n8n предупреждают, что такой режим не обеспечивает должной изоляции между процессами платформы и исполняемых задач, и рекомендуют использовать «внешний» режим в продакшене.

По словам авторов отчёта, платформа n8n часто используется для автоматизации внутренних процессов на уровне всей компании — включая работу с API языковых моделей, данными продаж и внутренними системами управления доступом. В случае компрометации атакующий может получить практически неограниченные полномочия в инфраструктуре организации.

Для устранения рисков пользователям следует обновиться до безопасных версий. Для CVE-2026-1470 это 1.123.17, 2.4.5 или 2.5.1. Для CVE-2026-0863 — 1.123.14, 2.3.5 или 2.4.2.

Уязвимости были раскрыты спустя всего несколько недель после публикации данных о другой критической проблеме в n8n, получившей название Ni8mare и идентификатор CVE-2026-21858. Она позволяет неавторизованному злоумышленнику полностью захватить управление уязвимым экземпляром платформы. По данным фонда Shadowserver, на 27 января 2026 года уязвимыми остаются более 39 тысяч инстансов.

По мнению представителей JFrog, инцидент подчёркивает сложность изоляции интерпретаторов высокоуровневых языков вроде JavaScript и Python. Даже с множественными слоями проверки, списками запрещённых конструкций и механизмами на основе анализа синтаксического дерева остаются обходные пути, которые можно использовать для выхода из защищённой среды. В этом случае достаточными оказались устаревшие языковые конструкции, особенности работы интерпретатора и поведение при обработке исключений.