Итак готов RFC для TLS v1.3. Немного информации про новый TLS от Cloudflare:
https://blog.cloudflare.com/rfc-8446-aka-tls-1-3/
Собственно сам RFC:
https://tools.ietf.org/html/rfc8446
Как включить TLS 1.3 в nginx (из коробки не везде работает):
https://blobfolio.com/2018/07/enable-tls-1-3-in-nginx-on-debian-stretch/
P.S. Полагаю стоит немного подождать и nginx с поддержкой TLS 1.3 подтянется из стандартных реп... ;)
https://blog.cloudflare.com/rfc-8446-aka-tls-1-3/
Собственно сам RFC:
https://tools.ietf.org/html/rfc8446
Как включить TLS 1.3 в nginx (из коробки не везде работает):
https://blobfolio.com/2018/07/enable-tls-1-3-in-nginx-on-debian-stretch/
P.S. Полагаю стоит немного подождать и nginx с поддержкой TLS 1.3 подтянется из стандартных реп... ;)
The Cloudflare Blog
A Detailed Look at RFC 8446 (a.k.a. TLS 1.3)
TLS 1.3 (RFC 8446) was published today. This article provides a deep dive into the changes introduced in TLS 1.3 and its impact on the future of internet security.
Кто сказал, что в Excel нельзя хранить данные о своей инфраструктуре или инфраструктуре компании? :))
https://xakep.ru/2018/08/13/godaddy-leak/
https://xakep.ru/2018/08/13/godaddy-leak/
XAKEP
Ошибка в настройках Amazon S3 привела к утечке внутренних данных хостера GoDaddy
Аналитики компании UpGuard обнаружили в свободном доступе неправильно настроенный бакет Amazon S3, содержащий закрытую информацию об облачной инфраструктуре хостера и регистратора GoDaddy.
И опять обход механизмов защиты в macOS в один клик:
https://www.defcon.org/html/defcon-26/dc-26-speakers.html#Wardle2
https://www.defcon.org/html/defcon-26/dc-26-speakers.html#Wardle2
Вообще отлично, знаю 1С админы любят выпаливать COM объекты в Windows ОС, как бы там ни было нужно обновляться, так как уровень уязвимости является с высоким приоритетом:
https://support.microsoft.com/en-za/help/4340937/security-update-for-the-microsoft-com-vulnerabilities-in-windows
Вообще эта проблема касается практически всех серверных и клиентских версий ОС Windows, еще немного деталей здесь:
https://securitytracker.com/id/1041466
https://support.microsoft.com/en-za/help/4340937/security-update-for-the-microsoft-com-vulnerabilities-in-windows
Вообще эта проблема касается практически всех серверных и клиентских версий ОС Windows, еще немного деталей здесь:
https://securitytracker.com/id/1041466
Microsoft
Denoscription of the security update for the remote code execution vulnerability in Windows Server 2008, Windows Embedded POSReady…
Resolves a vulnerability in Windows Server 2008.
Новый тип атаки однако:
https://www.google.com/amp/s/tproger.ru/news/android-man-in-the-disk-attack/amp/
https://www.google.com/amp/s/tproger.ru/news/android-man-in-the-disk-attack/amp/
Tproger
Исследователи обнаружили Android-атаку Man-in-the-Disk, которой подвержены приложения от Google и Yandex
Уязвимость эксплуатирует способ взаимодействия приложений с внешней памятью устройства. Ей подвержены решения от Google, Yandex и Xiaomi.
Google drive уходит в небытие, на его смену приходит Google one:
https://www.google.com/amp/s/techcrunch.com/2018/08/15/google-one-is-now-open-to-all/amp/
Об этом в блоге Google:
https://www.google.com/amp/s/www.blog.google/products/google-one/upgrade-google-one-get-more-out-google/amp/
Есть пару новых плюшек, об этом и о вышесказанном по русски:
https://hitech.vesti.ru/article/906806
https://www.google.com/amp/s/techcrunch.com/2018/08/15/google-one-is-now-open-to-all/amp/
Об этом в блоге Google:
https://www.google.com/amp/s/www.blog.google/products/google-one/upgrade-google-one-get-more-out-google/amp/
Есть пару новых плюшек, об этом и о вышесказанном по русски:
https://hitech.vesti.ru/article/906806
TechCrunch
Google One is now open to all | TechCrunch
A few months ago, Google announced Google One, its new subnoscription program for getting more Google Drive storage and other perks. Over the course of the
Debian исполнилось 25 лет, с чем всех, кто использует Debian - поздравляю :)
http://www.opennet.ru/opennews/art.shtml?num=49141
http://www.opennet.ru/opennews/art.shtml?num=49141
www.opennet.ru
Debian GNU/Linux исполнилось 25 лет
Проект Debian празднует своё двадцатипятилетие. Дистрибутив был впервые анонсирован Яном Мёрдоком (Ian Murdock) 16 августа 1993 года в списке рассылки comp.os.linux.development. Первичной задачей проекта была разработка дистрибутива, развиваемого в соответствии…
Итак дополнение Firefox Web Security оказался не таким уже и Security в полной мере этого слова и сливал данные о всех посещённых страницах на стороний сервер + сливаемые данные связывались с идентификатором пользователя браузера.
Это дополнение крайне рекомендовано к установке Mozilla и представлено как дополнение, которое обеспечивает тайну личной жизни пользователей.
Любителям Firefox - полагаю стоит призадуматься за предмет нездравых тенденций от производителя в отношении неотключаемых фич по сбору статистики и их рекомендаций по "безопасности" в отношении дополнений...
https://www.ghacks.net/2018/08/15/mozilla-recommended-privacy-extension-had-phone-home-feature/
Это дополнение крайне рекомендовано к установке Mozilla и представлено как дополнение, которое обеспечивает тайну личной жизни пользователей.
Любителям Firefox - полагаю стоит призадуматься за предмет нездравых тенденций от производителя в отношении неотключаемых фич по сбору статистики и их рекомендаций по "безопасности" в отношении дополнений...
https://www.ghacks.net/2018/08/15/mozilla-recommended-privacy-extension-had-phone-home-feature/
ghacks.net
Mozilla recommended privacy extension had "phone-home" feature
A browser extension recommended by Mozilla on a list of 14 privacy improving add-ons for Firefox was found to transfer sensitive data.
В Chrome* браузерах закрыта уязвимость которая позволяет получить информацию о пользователе при помощи html тегов, как это происходило можно прочитать здесь:
https://www.bleepingcomputer.com/news/security/chrome-bug-lets-attackers-steal-web-secrets-via-audio-or-video-html-tags/
https://www.bleepingcomputer.com/news/security/chrome-bug-lets-attackers-steal-web-secrets-via-audio-or-video-html-tags/
BleepingComputer
Chrome Bug Lets Attackers Steal Web Secrets via Audio or Video HTML Tags
Google has patched a vulnerability in the Chrome browser that allows an attacker to retrieve sensitive information from other sites via audio or video HTML tags.
О Foreshadow на русском, внятное описание того, как работает эта уязвимость в Intel CPU:
https://m.habr.com/company/crossover/blog/420291/
https://m.habr.com/company/crossover/blog/420291/
Habr
Spectre и Meltdown больше не самые опасные атаки на CPU Intel. Исследователи сообщили об уязвимости Foreshadow
В начале этого года информационное пространство потрясли новости о Spectre и Meltdown — двух уязвимостях, использующих спекулятивное исполнение кода для получения доступа к памяти ( статьи и переводы...
Неплохая статья от IBM, в которой рассказывается о управлении разрешениями в Linux:
https://www.ibm.com/developerworks/ru/library/l-lpic1-v3-104-5/index.html
https://www.ibm.com/developerworks/ru/library/l-lpic1-v3-104-5/index.html
Ibm
IBM Developer
IBM Developer is your one-stop location for getting hands-on training and learning in-demand skills on relevant technologies such as generative AI, data science, AI, and open source.
В довесок к BadUSB пришли зловредные USB-кабеля, называется это добро - USBHarpoon. После подключения такого кабеля, он превращается в периферийное устройство, которое может печатать, запускать команды... Тип устройства может быть любой, например устройство может быть инициализировано как клавиатура...
В общем, будьте внимательны друзья, когда просите кабель для зарядки телефона или просто приобретаете кабель в ближайшем киоске за углом :)
https://www.bleepingcomputer.com/news/security/usbharpoon-is-a-badusb-attack-with-a-twist/
Что такое BadUSB можно прочитать здесь:
https://ru.wikipedia.org/wiki/BadUSB
В общем, будьте внимательны друзья, когда просите кабель для зарядки телефона или просто приобретаете кабель в ближайшем киоске за углом :)
https://www.bleepingcomputer.com/news/security/usbharpoon-is-a-badusb-attack-with-a-twist/
Что такое BadUSB можно прочитать здесь:
https://ru.wikipedia.org/wiki/BadUSB
BleepingComputer
USBHarpoon Is a BadUSB Attack with A Twist
Several security experts have built a malicious version of a USB charging cable, one that can compromise a computer in just a few seconds. Once plugged in, it turns into a peripheral device capable of typing and launching commands.
Debian не может поставить обновления микрокода для процессоров Intel, похоже это может вызвать кучу проблем со стороны информационной безопасности, ведь серверов и рабочих станций на Debian достаточно много:
http://www.opennet.ru/opennews/art.shtml?num=49167
http://www.opennet.ru/opennews/art.shtml?num=49167
opennet.ru
Debian столкнулся с лицензионными проблемами, мешающими поставке обновления микрокода Intel
Разработчики проекта Debian обратили внимание на изменение текста лицензионного соглашения в июльском обновлении микрокода для процессоров Intel, в котором были предложены важные дополнения, необходимые для блокирования новых уязвимостей Spectre и L1TF, такие…
В сентябре выйдет новая версия Google Chrome 69, которая помимо всего прочего будет обладать обновленным интерфейсом для всех платформ:
https://support.google.com/chrome/a/answer/7679408#69
Для тех, кто хочет попробовать новый интерфейс уже сейчас, можно включить параметр Refresh (4) в UI Layout for the browser's top chrome, быстрая ссылка:
chrome://flags/#top-chrome-md
P.S. Я попробовал, первое, что бросается в глаза - квадратные вкладки как в классической Opera, в общем обошлось без "вау" эффекта..
https://support.google.com/chrome/a/answer/7679408#69
Для тех, кто хочет попробовать новый интерфейс уже сейчас, можно включить параметр Refresh (4) в UI Layout for the browser's top chrome, быстрая ссылка:
chrome://flags/#top-chrome-md
P.S. Я попробовал, первое, что бросается в глаза - квадратные вкладки как в классической Opera, в общем обошлось без "вау" эффекта..
Google
Chrome Enterprise and Education release notes - Chrome browser
- Chrome Enterprise and Education Help
- Chrome Enterprise and Education Help
Last updated on: September 24, 2025 For administrators who manage Chrome browser or ChromeOS devices for a business or school. Select the required tab to see Chrome browser or
Опять? Схема норм так, но проверить свою инфраструктуру на предмет ИБ надо еще раз :)
https://bitjournal.media/22-08-2018/novyj-virus-sobral-640-000-v-btc-za-dve-nedeli/
https://bitjournal.media/22-08-2018/novyj-virus-sobral-640-000-v-btc-za-dve-nedeli/
В OpenSSH обнаружена уязвимость, которая позволяет угадать SSH логины на серверах, где работает OpenSSH, по сути атакующий посылает серверу специально-сформированный аутентификационный запрос в результате которого сервер отвечает различными способами, если логин есть, сервер обрывает соединение, если пользователя нету, выдает сообщение об ошибке. Патчи для многих дистрибутивов уже есть, так что не теряем время, обновляемся.
http://seclists.org/oss-sec/2018/q3/124
http://seclists.org/oss-sec/2018/q3/124
seclists.org
oss-sec: OpenSSH Username Enumeration
Black Hat взломали, после чего получили контрактные данные всех участников конференции и всё это произошло благодаря доступу к API сайта об этом написал в своем блоге сам автор взлома, собственно сам POC описан там же:
https://ninja.style/post/bcard/
Для тех кто не знает - Black Hat это одна из самых масштабных конференция по компьютерной безопасности в мире:
https://ru.m.wikipedia.org/wiki/Black_Hat_Briefings
https://ninja.style/post/bcard/
Для тех кто не знает - Black Hat это одна из самых масштабных конференция по компьютерной безопасности в мире:
https://ru.m.wikipedia.org/wiki/Black_Hat_Briefings
MicroTik последнее время штормит, несколько дней назад выпущено критическое обновление для routeros, которое латает множественные уязвимости:
Security - fixed vulnerabilities CVE-2018-1156, CVE-2018-1157, CVE-2018-1158, CVE-2018-1159;
Краткий список уязвимостей:
- The vulnerability allows a remote attacker to execute arbitrary code on the target system
- The vulnerability allows a remote attacker to perform a denial of service (DoS) attack
И много чего еще, срочно обновляйте свои железки, кто еще не обновился.
Офф changelog:
https://mikrotik.com/download/changelogs
Security - fixed vulnerabilities CVE-2018-1156, CVE-2018-1157, CVE-2018-1158, CVE-2018-1159;
Краткий список уязвимостей:
- The vulnerability allows a remote attacker to execute arbitrary code on the target system
- The vulnerability allows a remote attacker to perform a denial of service (DoS) attack
И много чего еще, срочно обновляйте свои железки, кто еще не обновился.
Офф changelog:
https://mikrotik.com/download/changelogs
Mikrotik
MikroTik makes networking hardware and software, which is used in nearly all countries of the world. Our mission is to make existing Internet technologies faster, more powerful and affordable to wider range of users.
Знаю, многие интересуются и используют RHEL. Вышла бета RHEL 7.6, страница с описанием и ссылками для загрузки здесь:
https://www.redhat.com/en/blog/red-hat-enterprise-linux-76-beta-now-available
https://www.redhat.com/en/blog/red-hat-enterprise-linux-76-beta-now-available
Redhat
Red Hat Enterprise Linux 7.6 Beta now available
The hybrid cloud requires a consistent foundation and today, we are pleased to refine and innovate that foundation with the availability of Red Hat Enterprise Linux 7.6 beta. The latest update to Red Hat Enterprise Linux 7 is designed to deliver control,…