Приветы!
Призываем весну прийти не только в календарь, но и на уличный термометр. На глобальное потепление надежды нет, приходится справляться самостоятельно. Пока мы перебираем в памяти все подходящие заклинания — посмотрите, чем ещё мы занимались в феврале.
Статьи и инструкции
Основы сетевой модели OSI для начинающих
На заре становления интернета международная организация по стандартизации ISO предприняла масштабную попытку навести порядок в компьютерных сетях и создала набор правил, которому должны были следовать подключённые друг к другу сетевые устройства при обмене данными. Так на свет появилась эталонная сетевая модель OSI.
В новой статье обсуждаем важность этой модели, историю её появления и принципы работы. А также говорим о преимуществах, недостатках и существующих альтернативах.
Habr: самое интересное за февраль
Даже за самый короткий месяц наши авторы умудряются выпустить кучу новых материалов. Чтобы не перечислять всё, в дайджест собрали только самое интересное. Сегодня говорим о прелестях фотошопа, математическом юморе и автозаправках с водорослями вместо бензина:
- Мягкие экзоскелеты. Когда сила — не главное
- Топливо из водорослей и электричество из воздуха: какие есть перспективные источники энергии
- История визуального редактирования: как Photoshop изменил восприятие изображений
- Трудная история семьи инженеров, построивших Бруклинский мост
- Дни генеративных ИИ сочтены? Инструмент для «отравления» датасетов добился неожиданной популярности
- Эффект дежавю: норма или симптом заболевания?
- Как шутят математики. Решение первого шифра Олама
Не Хабром единым: новые статьи на VC
Работоспособности наших авторов можно только позавидовать — ребят хватило не только на Хабр, но и на новые статьи на VC. В феврале обсуждали, что слушать при готовке спагетти, как правильно контролировать удалёнщиков и как Nvidia выбилась в лидеры по производству AI-чипов:
- От фольклора до нейросетей: как бизнес использует любовь к музыке
- Как управлять удаленной командой
- Как Nvidia снимает сливки с AI-революции
Новости
Уходящий месяц был не особо богат на новости — всё потому что мы активно готовимся к весенним запускам. Но кое-чем мы всё-таки можем вас порадовать.
Совместная акция с ispmanager
При заказе любого нового VDS можно бесплатно получить ispmanager 6 lite на месяц. Для этого просто закажите сервер, а панель со скидкой 100% на 1 месяц добавится автоматически.
Скидка действует при заказе любого нового сервера — как готовой конфигурации, так и гибкого тарифа CPU.Турбо, Форсажа, Атланта или Storage.
Акция будет активна до 21 мая 2024 года.
Релизы и уязвимости
Уязвимость в runc, позволяющая выбраться из контейнеров Docker и Kubernetes
В инструментарии для запуска изолированных контейнеров runc, применяемом в Docker и Kubernetes, найдена уязвимость CVE-2024-21626, позволяющая получить доступ к файловой системе хост-окружения из изолированного контейнера. В ходе атаки злоумышленник может перезаписать некоторые исполняемые файлы в хост-окружения и таким образом добиться выполнения своего кода вне контейнера. Уязвимость также может быть эксплуатирована в случае запуска в контейнере процессов командой "runc exec" через привязку рабочего каталога к пространству имён хостового окружения. Уязвимость устранена в выпуске runc 1.1.12. В runtime LXC, crun и youki, альтернативных runc, проблема не проявляется.
Критическая уязвимость в Exchange использовалась как zero-day
Специалисты Microsoft обнаружили баг в Exchange Server, который использовался хакерами в качестве уязвимости нулевого дня еще до выхода патча. Уязвимость (CVE-2024-21410) позволяла неаутентифицированным злоумышленникам повысить привилегии в рамках атак типа NTLM relay, направленных на уязвимые версии Exchange Server. Обновление Exchange Server 2019 Cumulative Update 14 (CU14) устранило эту уязвимость путём активации NTLM credentials Relay Protections. Также компания объявила, что расширенная защита Windows Extended Protection будет включена по умолчанию на всех серверах Exchange после установки CU14.
Уязвимости KeyTrap и NSEC3, затрагивающие DNSSEC
В различных реализациях протокола DNSSEC выявлены две уязвимости, затрагивающие DNS-резолверы BIND, PowerDNS, dnsmasq, Knot Resolver и Unbound. Уязвимости позволяют добиться отказа в обслуживании DNS-резолверов, выполняющих валидацию при помощи DNSSEC, из-за возникновения высокой нагрузки на CPU, мешающей обработке других запросов. Для совершения атаки достаточно отправить на DNS-резолвер, использующий DNSSEC, запрос, приводящий к обращению к специально оформленной DNS-зоне на сервере злоумышленника.
Хакеры атакуют RCE-уязвимость в Brick Builder Theme для WordPress
Обнаружена критическая уязвимость, связанная с удалённым выполнением произвольного кода в теме Brick Builder Theme для WordPress — используется для запуска вредоносного PHP-кода на уязвимых сайтах. Проблема связана с вызовом функции eval в prepare_query_vars_from_settings и позволяет неавторизованному пользователю добиться выполнения произвольного PHP-кода. Производитель Brick Builder Theme сообщал, что никаких доказательств эксплуатации проблемы хакерами пока не обнаружено, однако пользователям настоятельно рекомендовалось как можно скорее обновиться до последней версии.
Какое заклинание бы вам пригодилось?
Перехватила эстафету от Юли Губкиной и писала дайджест — Даша Елясова.
Было интересно?
