Критическая RCE (CVSS 10.0) уязвимость в Erlang/OTP SSH (CVE-2025-32433)

Исследователи из Рурского университета Бохума сообщили о критической уязвимости (CVE-2025-32433) в реализации SSH в Erlang/Open Telecom Platform (OTP). Оценка CVSS 10.0 говорит сама за себя – максимальная опасность.

Уязвимость позволяет атакующему с сетевым доступом к SSH-серверу на базе Erlang/OTP выполнить произвольный код без аутентификации. Проблема вызвана ошибкой в обработке сообщений SSH-протокола, которая позволяет отправлять сообщения протокола соединения ДО завершения аутентификации.

Затронуты практически все, кто использует SSH-сервер на основе библиотеки Erlang/OTP. Если ваше приложение использует Erlang/OTP SSH для удаленного доступа – считайте, что вы уязвимы.

Последствия: Выполнение кода от имени SSH-демона. Если демон работает под root – это полный компрометация хоста, несанкционированный доступ к данным, установка зловредов, DoS.

Рекомендуется обновиться до пропатченных версий: OTP-27.3.3, OTP-26.2.5.11 или OTP-25.3.2.20. Если обновление невозможно, в качестве временной меры рекомендуется ограничить доступ к уязвимым SSH-серверам с помощью правил фаервола, разрешив доступ только с доверенных IP.

Типичный 🎹 Сисадмин

Апрельские патчи Microsoft провоцируют BSOD в Windows 11 24H2

Проблемы возникают после установки апрельского накопительного обновления KB5055523 и мартовского preview-обновления KB5053656, и затрагивают только устройства под управлением Windows 11 24H2. После установки этих обновлений и перезапуска ПК у пострадавших происходит сбой.

Пока исправление для этого бага не будет распространено через Windows Update, компания временно устранила проблему посредством Known Issue Rollback (KIR), функции, которая откатывает проблемные обновления, поставляемые через Windows Update.

Типичный 🥸 Сисадмин

Как ваша трудовая пятница?
#предложка

Типичный 🥸 Сисадмин

🔧 Массовый выпуск серверных процессоров на предприятиях в России начнётся не раньше 2030 года

Об этом заявил замдиректора по развитию АО «МЦСТ» (разработчик чипов «Эльбрус») Константин Трушкин.

По его словам, заводы, способные выпускать серверные чипы по 28-нм технологии, могут появиться в России «на горизонте 2028–2030 гг.». Ещё около трёх лет потребуется на получение массовой партии серверных процессоров с российскими кристаллами в соответствии с запросами участников рынка.

Типичный 🥸 Сисадмин

🤔 РКН собрал «белый список» из 75 000 IP-адресов, использующих иностранные протоколы шифрования

Это в шесть раз больше, чем в 2023 году (12 000 записей).

Компании всё активнее вносят данные в этот список. Они надеются, что попадание в этот перечень должно легализовать работу IT-систем, однако, по словам экспертов, переход на «российские альтернативы» не всегда возможен.

🔈 РКН призывает владельцев VPN-сервисов, работающих на иностранных протоколах, передавать сведения об IP-адресах, типах шифрования и назначении соединений. Под иностранными протоколами шифрования понимаются стандарты, разработанные за рубежом — такие как TLS, SSL, WireGuard и IKEv2. Они широко применяются в VPN-сервисах и других зашифрованных соединениях, но не соответствуют российским ГОСТам.

🥸 godnoTECH - Новости IT

Раскол CVE: Глобальная Система Учета Уязвимостей Начинает Дробиться 🙁

Привычная нам система CVE, управляемая MITRE и долгое время финансируемая правительством США, чуть не приказала долго жить на этой неделе. Финансирование внезапно прекратили, но в последний момент дали отсрочку на 11 месяцев. Этот "звоночек" вскрыл проблему зависимости критически важной системы от воли одного, к тому же нестабильного, правительства и понеслось...

И тут на сцену выходит Европа. ENISA (Агентство ЕС по кибербезопасности) разрабатывает альтернативу – EUVD (European Union Vulnerability Database). Эта база, созданная по директиве NIS2, похожа на американский NVD (National Vulnerability Database): агрегирует данные об уязвимостях, присваивает им CVE ID, но также использует и свои EUVD ID, и даже GSD ID (из похоже мертвой Global Security Database). Неопределенность вокруг CVE может подтолкнуть EUVD стать полноценной заменой или резервной системой для Европы.

Что это значит? Возникает риск фрагментации единой системы идентификации уязвимостей. Вместо универсального языка (CVE-2017-5754 – это всегда Meltdown) мы можем получить зоопарк систем учета. Эксперты опасаются, что региональные регуляторы начнут отдавать предпочтение "своим" базам данных (NVD в США, EUVD в Европе, etc).

Помимо EUVD, на фоне кризиса появились и другие инициативы: некая GCVE (Global CVE Allocation System) на GitHub, а также CVE Foundation – некоммерческая организация, призванная взять CVE под свое крыло и устранить "единую точку отказа". MITRE пока продолжает работать по контракту еще 11 месяцев, но что будет дальше – неясно.

Вопрос остается открытым - cможет ли кто-то (правительства, индустрия) создать новую, устойчивую и глобальную систему? Или нас ждет хаос из множества независимых баз и неймингов уязвимостей? И кому тогда доверять? 🤔

Похоже, скоро придется писать в отчетах: "Уязвимость CVE-xxxx / EUVD-yyyy / GCVE-zzzz (нужное подчеркнуть)". Удобно, не правда ли?

Типичный 🥸 Сисадмин

👨‍🔬 Китайские учёные разработали самую быструю в мире флеш-память: запись всего за 400 пикосекунд

Пока вы читаете этот пост, новый чип PoX уже записал бы терабайты данных. Исследователи из Университета Фудань представили энергонезависимую память, которая в 2500 раз быстрее обычной флешки.

— Учёные создали чип «PoX» на основе графена Дирака, который пишет данные за 400 пикосекунд (0,0000000004 секунды).
— Технология обошла предыдущий рекорд скорости в 2 млн операций/секунду.
— Память сохраняет информацию без питания — как флешка, но работает быстрее оперативки (DRAM).
— Решает проблему «бутылочного горлышка» в ИИ: сейчас 90% энергии тратится на перемещение данных, а не их анализ.
— Гаджеты перестанут греться: локальные нейросети (типа ChatGPT в смартфоне) будут работать без лагов.

Типичный 🥸 Сисадмин