Почти каждый день приносит новости про новые уязвимости. Иной раз кажется, что мир сошел с ума. Искать процессорные баги и называть их Spectre_и_циферки — тренд этого года. Развитие способов эксплуатации уязвимости Spectre продолжается, выходят все новые патчи, так что «ребутнуть кластер» — теперь норма. Мы продолжаем патчить ноды, и чтобы все прошло максимально незаметно для клиентов, стараемся для этого мигрировать vds и проводить работы на пустых серверах.
А пока системные администраторы в офисах и дата-центрах мужественно предотвращают атаки, злоумышленники добрались до домашних маршрутизаторов. Под раздачу попали популярные марки. Чтобы не потерять свои пароли и другую конфиденциальную информацию, следите за выходом новых прошивок для своего домашнего сетевого оборудования.
Вернемся к веб-серверам и веб-угрозам.
У каждой из трех лидирующих бесплатных CMS что-то произошло. В марте Drupalgeddon 2 заставил разработчиков обновить ядро, а уже в апреле вышло следующее внеочередное критическое обновление. Для WordPress в июле вышло внеплановое обновление, устранившее две критических уязвимости, у Joomla в этом году пока поспокойнее, все обновления безопасности заявлены некритическими, но обновиться на всякий случай стоит.
Впрочем, если вы используете коммерческие CMS, это не повод расслабляться: уязвимости есть и в них, просто о них не так широко известно. Так что не забывайте регулярно и своевременно обновляться.
Ну и топ сегодняшнего хит-парада. В популярной бесплатной панели Vesta CP обнаружена критическая уязвимость, позволяющая злоумышленнику получить root-доступ к панели, а затем и к серверу. Уязвимость уже привела к эксплуатации серверов для DDoS-атак и следом к их блокировке.
Так что если вы этого еще не сделали, то СРОЧНО обновитесь.
P.S. А еще проверьте доступы к .git-папкам и базам своих сайтов: на 390 тыс. сайтах каталог .git оказался доступным для загрузки, а крупнейшая утечка персональных данных произошла из-за использования конфигурации по умолчанию.
