Уязвимость в Net-SNMP, допускающая удалённое выполнение кода

В пакете Net-SNMP, реализующем протоколы SNMP v1, SNMP v2c и SNMP v3, выявлена уязвимость (CVE-2025-68615), позволяющая добиться удалённого выполнения кода на сервере, использующем сервис snmptrapd для приёма и обработки trap-сообщений от устройств. По умолчанию сервис принимает запросы на 162 UDP-порту и запускается с правами root. Проблеме присвоен критический уровень опасности (9.8 из 10). Атака может быть совершена без прохождения аутентификации.

Уязвимость вызвана некорректной проверкой размера OID ("trapOidLen >= 0" вместо "trapOidLen > 0") перед копированием указанных в пакете данных в буфер фиксированного размера. Передача специально оформленных пакетов приводит к записи данных за границу буфера trapOid, что может быть эксплуатировано для выполнения кода атакующего с правами под которыми выполняется процесс snmptrapd. Уязвимость устранена в обновлениях Net-SNMP 5.9.5 и 5.10.pre2. В качестве дополнительной защиты рекомендуется заблокировать доступ из внешних сетей к UDP-порту 162 на межсетевом экране.

Уязвимость была добавлена при неудачной попытке исправить предыдущую проблему с переполнением буфера из-за некорректной проверки "trapOid[trapOidLen - 1] != 0". Изначальный код "trapOid[trapOidLen - 1] != 0" присутствует в кодовой базе с 23 июня 2003 года, когда выполнялся рефакторинг файла snmptrapd_handlers.c.

В master-ветке исправление "> 0" уже откатили и заменили на универсальную проверку. Переполнения trapOid было успешно исправлено за три попытки: 1, 2, 3. Что характерно, до этой уязвимости с trapOid были другие проблемы с записью за границу буфера.

Linux / Линукс 🎄

Лучший подарок на НГ - это инвестиция в себя.
#предложка

Прочитаю за каникулы и стану сеньором-помидором. Или прочитаю оглавление и поставлю на полку для красоты. В любом случае вещь в хозяйстве полезная! 😎

Кто что подарил себе любимому?

Типичный 🎄 Сисадмин

Новогодние обещания линуксоида. Каждый год одно и то же. Сажусь 1 января, открываю терминал и клянусь, что в этом году точно освою Vim. Освою нормально, ну, или хотя бы выучу еще одну команду, кроме :q!. И так уже пятый год...

А ещё обещаю, что остановлюсь на одном дистрибутиве. Хватит сносить рабочую систему в 3 часа ночи просто потому, что в другом дистре иконки лучше. И про systemd больше спорить не буду, даже если кто-то неправ в интернете. Даже если ОЧЕНЬ неправ. Нервные клетки не восстанавливаются, в отличие от процессов. И да, иногда нажать кнопку мышкой в GUI быстрее, чем писать скрипт на 50 строк (вы этого не видели). А бэкапы буду делать ДО экспериментов, а не после того, как всё сломалось.

Увидимся через год с этими же обещаниями 🤩 А какие у вас планы на НГ?

Ubuntu Sway Remix 25.10 вышел без Snap и с готовым тайлингом

Состоялся релиз Ubuntu Sway Remix 25.10, неофициальной сборки для тех, кто хочет попробовать мозаичный интерфейс, но ленится настраивать конфиги неделями. Система базируется на свежей Ubuntu 25.10 и Wayland-композиторе Sway, который полностью совместим с i3. Особенность дистрибутива: полный отказ от пакетного менеджера Snap, даже Firefox здесь поставляется в виде классического deb-пакета из PPA. Разработчики позиционируют систему как готовое решение из коробки для новичков и профи.

Под капотом собран набор утилит из проекта NWG-Shell, панель Waybar и скрипт для автоматического тайлинга окон. В новой версии добавили компонент swaykbdd, который позволяет запоминать раскладку клавиатуры для каждого отдельного окна, а также оптимизировали системные скрипты. Образы доступны для amd64 и arm64.

Linux / Линукс 🎄

В философии Unix всё есть файл. Даже время. Мы просто меняем указатель. Суть остается прежней... делай одну вещь, но делай её хорошо 🎹

С наступающим 🎄

Типичный 🎄 Сисадмин

Прямое включение из /home/new_year/dinner

Ситуация накаляется. Дядя Arch уже битый час орет, что пользоваться готовым столом - это bloatware, и надо было собирать мебель самому по Wiki из досок.

Дед Debian молча жует сухарь 2019-го года. Ему плевать на вкус, главное это Стабильность. Он точно знает, что от этого сухаря не будет kernel panic в желудке.

В разговор пытается влезть Батя Ubuntu. Он хочет наложить всем салат, но процесс виснет... батя зачем-то завернул каждую оливку в отдельный Snap-контейнер. «Зато безопасно и со всеми зависимостями внутри!», - кричит он, пока гости умирают от голода, ожидая монтирования огурцов.

Молодой Fedora принес экспериментальное шампанское (Bleeding Edge). Пробка вылетела раньше времени, залила скатерть и сломала совместимость с бокалами. Он оправдывается, что это апстрим, и скоро все так будут пить.

Брат Gentoo всё еще на кухне. Мы его потеряли. Он решил скомпилировать майонез из яиц и масла под конкретную архитектуру своей ложки с флагом -O3. Говорит, прирост вкуса будет 1%, ждем к Рождеству.

Тетя Windows стучится в окно. Её не пускают, но она орет, что ей срочно нужно перезагрузить весь дом для установки обновлений, иначе она отключит отопление.

А в углу, в черном худи, сидит странный дядя Kali. Он не ест. Он молча перехватывает хендшейки домочадцев и брутфорсит пароль от соседской смарт-ёлки, чтобы включить на ней Имперский марш.

А какой дистро ты за этим столом? 👇

Linux / Линукс 🎄

Друзья, коллеги, соратники по терминалу! 🐧

Пока обычные люди нарезают тазами оливье под "Иронию судьбы"... Настоящий линуксоид пишет скрипт для массовой рассылки поздравлений в телегу, потому что отправлять сообщения вручную это для виндузятников. Чинит звук после обновления PipeWire, пока семья ждёт за столом. Впервые за год запускает принтер, и иногда он даже работает (это и есть новогоднее чудо!).

Мы с вами знаем, что настоящая магия происходит не в новогодних фильмах по телеку, а в /etc/. Мы знаем боль. Мы знаем, что такое, когда Nvidia-драйверы решают, что Новый год это отличное время, чтобы уронить иксы. Но мы также знаем кайф от аптайма в 365 дней и идеально настроенного .vimrc.

Пусть в Новом году ваш uptime будет долгим, пакеты никогда не теряются, а зависимости всегда разрешаются. Желаем вам ядра стабильного, пинга минимального, а железа совместимого!

И помните: если всё работает, не трогайте. Хотя бы до января.

А какой у вас план на эту ночь? Наблюдать водопад логов или героически не лезть в терминал?

Linux / Линукс 🎄

$ tree /new_year --wish

С Новым годом!

Пусть ваша система будет стабильной, пакеты свежими, а kernel panic только в кошмарах!

Linux / Линукс 🎄

sudo make me better

Linux / Линукс 🎄

$ whoami
> Unknown entity

Коллеги, как проходит процесс инициализации?
Судя по логам, многие процессы перешли в состояние Zombie или Uninterruptible Sleep.
Нагрузка на CPU минимальная, зато потребление памяти (и жидкости) критическое.

Рекомендации по траблшутингу на 1 января. 1. Не пытайтесь делать force kill головной боли. 2. Выполните sudo apt-get install mineral_water. 3. Монтируйте диван в режим read-only. 4. Берегите себя 🐧

Linux / Линукс 🎄

Очень жаль его!

Linux / Линукс 🎄

Проект Curl избавился от использования функции strcpy в коде

Автор утилиты curl, объявил о прекращении использования функции strcpy() в кодовой базе проекта и запрете применения данной функции в дальнейшем. Решение является продолжением инициированного в прошлом году отказа от использования функции strncpy(), копирующей заданное число байт из входящей строки. Применение strncpy() создавало опасность возникновения ошибок из-за пропуска нулевого символа в конце строки или добавочного заполнения нулями.

Обращения к strncpy() были заменены на функцию strcpy(), перед вызовом которой выполнялось выделение памяти под целевой буфер c учётом размера исходной строки или присутствовала проверка соответствия размера исходной строки и целевого буфера. Замена на функцию strlcpy() не была произведена, так как требовалось всегда копировать всю строку целиком или возвращать ошибку.

Теперь все вызовы strcpy() заменены на новую функцию curlx_strcopy(dest, dsize, src, slen). Функция curlx_strcopy() требует указания размера исходного и целевого буфера с расчётом, что целевой буфер обязательно должен быть больше исходного для вмещения нулевого символа конца строки, который принудительно добавляется функцией в конец для исключения его пропуска при копировании. Если размер целевого буфера больше нуля, но его недостаточно для копирования целевой строки, то в начало добавляется нулевой байт.

Linux / Линукс 🎄

Релиз Devuan 6.1 Excalibur очистил Debian от systemd

Разработчики представили новую версию дистрибутива Devuan 6.1 с кодовым именем Excalibur. Главная фишка проекта осталась неизменной, это полноценный форк Debian, из которого удалили systemd, заменив его на классические системы инициализации вроде SysVinit, OpenRC или runit. Система построена на пакетной базе свежего Debian 13.2 и по умолчанию предлагает легкое окружение Xfce 4.20 с дисплейным менеджером Slim.

Для управления оборудованием вместо стандартного systemd-udev используется форк от Gentoo под названием eudev, а для работы сети предлагается пропатченный NetworkManager. Особые ценители минимализма могут развернуть систему даже без шины D-Bus, используя оконные менеджеры типа Fluxbox или Openbox.

Linux / Линукс 🎄

В целях безопасности же...🌚

Linux / Линукс 🎄

Вышел релиз MenuetOS 1.57.70, той самой легендарной системы, написанной целиком на ассемблере. Весь дистрибутив занимает всего 1.4 мегабайта и влезает на одну дискету, при этом поддерживая 64-битную архитектуру, многоядерность SMP и UEFI.

В апдейте улучшена совместимость с Linux и X11, позволяющая запускать простые графические утилиты вроде XCalc или XEyes прямо из бинарников без перекомпиляции. Дополнительно завезли поддержку HTTPS через libssl, MIDI-секвенсор и ускоренный сетевой стек, а для старожил обновили файловый менеджер Necromancer's Dos Navigator.

Linux / Линукс 🎄

Тир-лист всех дистрибутивов

Linux / Линукс 🎄

😀 Grok назвал Торвальдса худшим программистом на фото с Гейтсом

Сообщество GitHub решило проверить новую функцию редактирования картинок в X и попросило Grok убрать с фото самого худшего программиста. На снимке были Линус Торвальдс и Билл Гейтс, и ИИ решил оставить именно Гейтса, чем вызвал волну ироничных комментариев.

Ситуация повторилась и на снимке с блогером Linus Tech Tips, где по запросу удалить ненастоящего Линуса алгоритм снова стер Торвальдса, предпочтя ему популярного ютубера.

Линусу стоило просто показать Гроку свой фирменный средний палец. Возможно, этот жест нейросеть узнала бы быстрее, чем лицо человека, на чьем коде держится весь интернет 🖕

🥸 godnoTECH - Новости IT

И нет GIMP не является хорошей заменой, это пользовательский интерфейс отстой до такой степени, что он непригоден для использования.

😗 @itmemas