Приветы!
Рассчитывали на спокойное начало года, но получилось как получилось. Уже в первый рабочий день нас догнали отложенные запуски (те самые, которые «давайте после праздников»), новые проекты и внеплановые задачи. Но ничего, мы тоже быстро бегаем!
В этом месяце новостей немного, а всё потому что мы готовим для вас кое-что масштабное грядущей весной. Но это пока секрет, поэтому сегодня поделимся свежими статьями и обсудим последние уязвимости.
Статьи и инструкции
HTTP-запросы: структура, методы, заголовки, строка статуса и коды состояния
В новой статье подробно разбираемся, как работают HTTP-запросы, какими они бывают и для чего используются. Также расскажем, почему при переходе по ссылке вас встречают цифры 404 и 503 и что можно узнать по ответу сервера.
Межсетевой экран: что это такое и как работает
Наверняка вы уже слышали о файрволе, а если нет — эта статья для вас. После прочтения вы узнаете, что такое межсетевой экран (иначе файрвол или брандмауер), каких видов он бывает, как работает и для чего служит.
Habr: самое интересное за январь
Так любим делиться с вами интересными статьями, что писали на Хабр даже во время январских выходных. По сложившейся традиции приготовили для вас подборку самого-самого за этот месяц. Тут и познавательный экскурс в прошлое, и новости с технологической передовой:
- Квантовый интернет: уже скоро
- 75 лет транзистору: прошлое, настоящее и будущее самого важного изобретения современного мира
- Состоялась первая передача информации с помощью телепортации
- Как появился графический интерфейс пользователя: история в лицах, деталях, фактах и курсорах
VC: самое интересное за январь
На VC и тоже вышло много новых материалов. На этот раз обсуждали, в каких сферах пользуются популярностью VR-технологии, выясняли, почему бизнес пока не готов к ИИ, несмотря на многомиллиардные вклады в его развитие, и даже давали советы, как обмануть свою лень.
- Оригинальные методы повышения продуктивности: не только матрица Эйзенхауэра
- Не играми одними: самое необычное применение VR
- Бизнес не готов к ИИ
Новости
А теперь к новостям января, точнее новости.
Изменение цен на ispmanager с 1 февраля 2024 года
Компания ispmanager повышает стоимость панели управления из-за увеличения затрат на развитие и поддержку продукта. С 1 февраля 2024 года будут действительны новые цены:
- ispmanager 6 Lite — 349 рублей в месяц.
- ispmanager 6 Pro — 699 рублей в месяц.
- ispmanager 6 Host — 1149 рублей в месяц.
Для серверов, которые продолжат работу с ispmanager 4 и 5, цена составит:
- для версии Lite — 349 рублей в месяц,
- для версии Pro — 699 рублей в месяц.
Также напоминаем, что на прошлой неделе ispmanager сообщила об уязвимости, позволяющей получить root-доступ. Чтобы обезопасить себя, пользователям необходимо обновить панель управления до последней версии stable 6.88.1 или beta 6.90.1.
Релизы и уязвимости
Релиз ядра Linux 6.7
Представлена новая версия ядра Linux — 6.7. Среди основных изменений: интеграция ФС Bcachefs, прекращение поддержки архитектуры Itanium, возможность работы Nouveau с прошивками GSP-R, поддержка TLS-шифрования в NVMe-TCP, возможность использования исключений в BPF, поддержка futex в io_uring, оптимизация производительности планировщика fq (Fair Queuing), поддержка расширения TCP-AO (TCP Authentication Option) и возможность ограничения сетевых соединений в механизме защиты Landlock, также добавлено управление доступом к user namespace и io_uring через AppArmor.
Релиз СУБД MySQL 8.3.0
Компания Oracle сформировала новую ветку СУБД MySQL 8.3 и опубликовала корректирующее обновление MySQL 8.0.36. Сборки уже доступны для всех основных дистрибутивов Linux, FreeBSD, macOS и Windows. Среди основных изменений: устранено 25 уязвимостей, добавлена поддержка компоновщика mold для Linux, требования к поддерживаемому компилятором стандарту C++ подняты до C++20, удалены некоторые устаревшие настройки и опции.
PixieFAIL — 9 уязвимостей в UEFI-прошивках на основе TianoCore EDK2
В сетевом стеке UEFI-прошивок на основе открытой платформы TianoCore EDK2 выявлено 9 уязвимостей под общим кодовым именем PixieFAIL. Наиболее опасные уязвимости позволяют неаутентифицированному пользователю удалённо выполнить свой код на уровне прошивки в системах, допускающих PXE-загрузку с использованием сети IPv6. Менее опасные приводят к отказу в обслуживании (блокирование загрузки), утечке информации, отравлению кэша DNS и перехвату TCP-сеансов. Большая часть уязвимостей может быть эксплуатирована из локальной сети, но отдельные допускают и атаку из внешней сети.
Исправлены критические уязвимости в GitLab
Для GitLab выпустили корректирующие обновления 16.7.2, 16.6.4 и 16.5.6, в которых устранены две критические уязвимости. Первая позволяет захватить чужую учётную запись через манипуляции с формой восстановления забытого пароля и проявляется начиная с выпуска GitLab 16.1.0. Вторая присутствует в коде для интеграции с сервисами Slack и Mattermost и позволяет выполнить /-команды под другим пользователем из-за отсутствия должной проверки авторизации. Также в новых версиях устранена менее опасная уязвимость, позволяющая обойти подтверждение CODEOWNERS через добавление изменений в ранее одобренный запрос на слияние.
С чего начался ваш 2024-й?
Начала год с победы прошлогодних задач — Юля Губкина.