Когда ты либо слишком неопытен, чтобы видеть проблемы, либо слишком опытен, чтобы они тебя волновали. Главное, не посередине, там душно от размышлений 😬

Типичный 🥸 Сисадмин

Критическая уязвимость в vBulletin: RCE без аутентификации для тысяч форумов 🚨

Плохие новости для владельцев форумов на популярной платформе vBulletin: обнаружена критическая уязвимость, позволяющая злоумышленникам удаленно выполнять код (RCE) без аутентификации. Проблема затрагивает версии vBulletin 5.x и 6.x, работающие на PHP 8.1 или более поздних версиях, и может привести к полной компрометации системы.

💔 В основе уязвимости лежит то, как vBulletin использует PHP Reflection API для своего кастомного MVC-фреймворка и API-системы. Платформа использует динамическую маршрутизацию, где эндпоинты API сопоставляются с методами контроллеров на основе входящих HTTP-запросов (например, AJAX-вызов /ajax/api/user/fetchProfileInfo направляется на метод vB_Api_User::fetchProfileInfo()).

Критическая проблема возникает из-за изменений в поведении функций ReflectionMethod::invoke() и ReflectionMethod::invokeArgs() в PHP 8.1. Начиная с этой версии, данные функции позволяют вызывать `protected` и `private` методы без необходимости предварительно выставлять `setAccessible(true)`, в отличие от предыдущих версий PHP.

Это, казалось бы, незначительное изменение означает, что методы, которые разработчики vBulletin задумывали как внутренние, вспомогательные и никогда не предназначенные для публичного вызова, теперь могут быть вызваны напрямую удаленными пользователями, если само приложение не реализует явные проверки видимости на своем уровне.

Простой пример уязвимого паттерна:
Если бы в коде было что-то вроде (new ReflectionMethod($controller, $_GET['method']))->invoke($controllerObject);, то запрос /api.php?method=protectedMethod напрямую вызвал бы защищенный метод на PHP 8.1+, обходя предполагаемые контроли доступа.

Сама по себе возможность вызывать защищенные методы опасна, но реальная угроза возникает, когда один из таких методов может быть использован для выполнения кода. В vBulletin таким методом оказался vB_Api_Ad::replaceAdTemplate(). Это защищенная функция, предназначенная для вставки или обновления шаблонов рекламы.

Злоумышленники обнаружили, что могут внедрить произвольный код шаблона в систему, вызвав этот метод через специально сформированный HTTP POST-запрос.

Далее в дело вступает еще одна уязвимость: движок шаблонов vBulletin поддерживает условную логику с помощью тегов <vb:if>. Из-за недостатков в том, как парсер шаблонов фильтрует входные данные, атакующие могут обойти ограничения и внедрить PHP-код, используя вызовы переменных функций. Например, такой шаблон:

```html
<vb:if condition="isset($_POST['c'])">
<vb:eval code="echo $cmd;" />
</vb:if>

Типичный 🎹 Сисадмин

Мой внутренний Корбен Даллас, когда кто-то спрашивает, как я решаю проблемы с маршрутизацией и доступностью.

Типичный 🎹 Сисадмин

Кулстори гласит, что это для того, чтобы приглушить шум 🏥

Типичный 🔥 Сисадмин

Мы с младшим админом после выкатки нового функционала в прод 😶

Типичный 🌚 Сисадмин

😳 В Телеграм появится нейронка Grok от Маска — ИИ будет не просто ботом, его ВСТРОЯТ в сам мессенджер!

— ИИ будет проверять посты на фейки;
— Grok сможет расписать любой текст или сделать его выжимку;
— ИИ можно назначить модератором и он будет чистить ботов;
— Вопросы ИИ можно будет задавать прямо в поиске Телеграм.

Партнёрство рассчитано на год, Telegram получит за это $300 млн и долю в выручке от подписок.

🥸 godnoTECH - Новости IT

🎹 GitHub открывает приватные репозитории через уязвимость в ИИ-интеграции

Исследователи обнаружили критическую уязвимость в GitHub: с её помощью можно получить доступ к файлам из приватных репозиториев без ведома владельцев. Проблема связана с протоколом GitHub MCP Server, который используется для подключения ИИ к репозиториям.

⚙️ Сценарий атаки довольно прост: злоумышленник публикует issue в публичном репозитории, связанном с аккаунтом, у которого есть и приватные репозитории. Если в настройках включена автоматизация через ИИ, он может сгенерировать pull request с предложением исправить проблему — и «случайно» включить в него приватную информацию.

Как утверждают эксперты, уязвимость лежит не столько в коде, сколько в логике архитектуры, где ИИ-агенты действуют без чёткого контроля. В результате приватные данные легко утекут в публичное пространство.

Типичный 🥸 Сисадмин

Помните те времена, когда интернет оживал только после того, как хорошенько пинганёшь провайдера – не только ICMP-пакетами, но и веским словом в рамках приличия 👹

Типичный 😬 Сисадмин

Куда приводят мечты Linux-админа?

Народ, тут на днях наткнулся на вечный вопрос: а куда, собственно, дальше плыть простому Linux-админу, если DevOps – это не совсем то, о чем по ночам мечтается (или уже пройдено)? Тема оказалась животрепещущей...

Сразу скажу, топ-ответ, который кочует из дискуссий и обсуждений уже стал почти официальным планом Б для многих из нас – это условное фермерство с козами! 🐐. Видимо, после N-лет борьбы с systemd, сбоящими RAID-массивами и пользователями, которые опять "ничего не трогали", перспектива мирно пасти блеющих на фоне заката выглядит особенно привлекательно. Как метко заметил один товарищ:

"Устал использовать мозг. Хочу использовать тело в расслабленной, безстрессовой манере".

Но если отбросить фантазии (хотя кто знает, может, это и есть истинный DevOps – управление жизненным циклом козы?), то куда еще ведут нас тернистые пути IT? Вариантов, на самом деле, масса. Многие логично двигаются в сторону SRE (Site Reliability Engineering) или Cloud Infrastructure Engineering. Тут наши навыки работы с "железом" (пусть и виртуальным), сетями, автоматизацией и обеспечением отказоустойчивости раскрываются во всей красе. Нередко это означает углубление в Python, Go или Rust, и вот ты уже не просто админ, а почти разработчик инфраструктурных инструментов, проводящий больше времени в IDE, чем в консоли. Platform Engineering – тоже горячая тема, где без крепких знаний Linux никуда.

Есть и те, кто находит себя в кибербезопасности. И это логично: кто, как не мы, знает все потаенные уголки системы и как их можно (или нельзя) защитить? Отсюда прямая дорога в архитекторы ИБ или аудиторы. Некоторые идут в IT-архитекторы более широкого профиля, проектируя сложные облачные и гибридные решения. А если душа совсем уж просит творчества и контроля – то и в менеджмент (от тимлида до CTO/CISO) или даже в преподавание/консалтинг. Делиться мудростью, накопленной за годы отладки iptables – бесценно! Ну или почти 😉

Для многих "эндшпиль" – это не какая-то конкретная должность, а состояние души. "Чтобы оставили в покое" – вот желание многих опытных админов. Достичь дзена, когда все автоматизировано, работает как часы и можно спокойно попивать кофеек, изредка поглядывая на дашборды. Удаленка, комфортная жизнь, возможность заниматься хобби – вот что действительно ценно. И, конечно, ранний выход на пенсию, чтобы наконец-то собрать тот самый идеальный домашний сервер... или все-таки купить тех самых коз 👨‍🦳

Главное – не забывать делать apt update && apt upgrade -y своим знаниям и интересам.

А какой у вас "эндшпиль", куда двигаетесь? И есть ли уже у кого КОЗЫ?

Типичный 🥸 Сисадмин

Эта диаграмма – отличное напоминание о важности аудита ПО из-за хаоса с корпоративным софтом.

Типичный 🎩 Сисадмин

🤑 В России хотят обязать работодателей доплачивать за работу на личной технике — телефонах, ноутбуках и даже домашних ПК.

Законопроект уже сегодня внесут на рассмотрение в Госдуму.

---
Когда твой старый ноут, который тянет только Visual Studio и три вкладки в Chrome, внезапно станет источником пассивного дохода 🤑

🥸 godnoTECH - Новости IT

Многоликий бог IT-отдела. Сегодня он – "Принтер не печатает" 😎

Типичный 😬 Сисадмин

🤵 Минцифры: доля трафика VPN-сервисов увеличивается, ведомство намерено определиться с политикой в отношении VPN

Глава Минцифры Максут Шадаев рассказал, что ведомство в ближайшие полгода определится с единой политикой в отношении VPN-сервисов в России.

«В ближайшие полгода мы как‑то определимся с контурами политики в этой части. Доля трафика VPN увеличивается. С недружественными VPN, которые не выполняют требования российского законодательства, Роскомнадзор борется, при этом зачастую попадают в „замесы“ корпоративные VPN, которые нужны. Мы сейчас будем вырабатывать чёткую политику в этой части. Настало время договориться о каких‑то единых правилах. Сейчас не могу сказать, „куда бежать“ — скажу ближе к осени»,

— рассказал Шадаев.

Типичный 🥸 Сисадмин

#предложка
Классика: тикет настоялся до полной готовности. Проблема самоустранилась 😬

Типичный 🥸 Сисадмин

#предложка
Пора списывать. Накопилось 🎉

Типичный 🥸 Сисадмин