В свежую подборку собрали самые интересные новости за неделю — критически важные обновления для очень популярного ПО, новая опасная техника для организации DDoS-атак и тревожное напоминание о том, что старые угрозы могут жить годами. Кратко о самом главном.
Наследие xz Utils: десятки зараженных образов все ещё в Docker Hub
Специалисты компании Binarly обнаружили, что в репозитории Docker Hub до сих пор доступны как минимум 35 контейнерных образов, зараженных через уязвимость CVE-2024-3094 (10 баллов по шкале CVSS) в утилитах xz Utils. Это создает серьезную угрозу для цепочек поставок (CI/CD), так как эти образы могут автоматически использоваться для сборки новых приложений, распространяя бэкдор дальше.
Напомним, бэкдор, обнаруженный в 2024 году, позволял злоумышленнику обходить аутентификацию SSH и выполнять команды с правами root.
Особое внимание исследователей привлекла позиция разработчиков Debian, которые сознательно не стали удалять свои зараженные образы, назвав их «историческими артефактами» и сославшись на низкую вероятность эксплуатации. Эксперты Binarly раскритиковали этот подход, указав, что даже случайное использование таких образов несет высокий риск.
Специалисты рекомендуют работать только с актуальными образами. А кроме того, имеет смысл проверять не только версии ПО, но и двоичные файлы на наличие угроз, поскольку вредоносный код может годами оставаться в экосистеме.
В выпуске nginx 1.29.1 закрыта уязвимость и анонсирован встроенный ACME-клиент
Команда nginx выпустила обновление для основной ветки разработки — версию 1.29.1. Самое важное для безопасности — устранение уязвимости CVE-2025-53859 в модуле ngx_mail_smtp_module. Ошибка позволяла при использовании аутентификации "none" и специально сформированных логина с паролем вычитать данные из памяти за пределами буфера, что могло привести к утечке чувствительной информации в процессе аутентификации.
Помимо исправлений, выпуск примечателен двумя вещами:
- Улучшения безопасности TLS: по умолчанию отключено сжатие сертификатов в TLSv1.3 (потенциально опасная функция) и добавлена директива ssl_certificate_compression для гибкого управления этой настройкой.
- Развитие современного стека: добавлена поддержка режима 0-RTT для QUIC (ускоряет установление соединения) и внесён ряд исправлений для HTTP/2, HTTP/3 и ранних подсказок (HTTP 103).
Отдельный сюрприз — компания F5 анонсировала экспериментальный модуль ngx_http_acme, написанный на Rust. Модуль позволяет автоматически получать и обновлять TLS-сертификаты от Let's Encrypt или других ACMEv2-совместимых центров прямо из конфигурации nginx, избавляя администраторов от необходимости использовать внешние клиенты.
Новая уязвимость MadeYouReset в HTTP/2 угрожает масштабными DoS-атаками
Исследователи представили новую технику атаки на реализации протокола HTTP/2 — MadeYouReset. Уязвимость позволяет злоумышленнику легко обходить ограничения на количество одновременных подключений и инициировать мощные атаки на отказ в обслуживании (DoS).
Атакующий отправляет большое количество корректных запросов, но сразу после этого с помощью специальной последовательности управляющих кадров заставляет сервер самостоятельно сбросить эти потоки. Это ключевое отличие от известной уязвимости Rapid Reset (CVE-2023-44487), где сброс инициировал клиент. Здесь же сервер, уже начав обработку запроса (что потребляет CPU и память), вынужден его аварийно завершать. Это позволяет злоумышленнику генерировать лавину запросов без ожидания ответов, максимально нагружая сервер и потенциально выводя его из строя.
Проблема затрагивает множество популярных реализаций, включая:
- Веб-серверы и фреймворки: Apache Tomcat, Eclipse Jetty, Netty, Lighttpd, h2o.
- Прокси и кэширующее ПО: Fastly, Varnish, Pingora.
- Другое: Сервисы Mozilla, BIND (через DNS-over-HTTPS), Zephyr RTOS.
Проверка показала, что такие проекты, как Apache httpd, Apache Traffic Server, Node.js, LiteSpeed, Hyper и HAProxy не подвержены данной уязвимости. Статус nginx пока уточняется. Рекомендация проста: следить за выходом обновлений.
Критические уязвимости в tar-fs и 7-Zip позволяют атаковать файловую систему
Обнаружены критические уязвимости в популярных инструментах для работы с архивами, которые позволяют злоумышленнику записывать файлы в произвольные места файловой системы при распаковке специально сформированного архива.
- CVE-2025-48387 в npm-пакете tar-fs. Пакет, который еженедельно скачивают 23 миллиона раз, содержал ошибку, позволяющую обойти проверки символических ссылок. Атакующий мог создать архив, в котором с помощью цепочки ссылок путь раскрывался за пределы целевой папки распаковки. Это открывало возможность для перезаписи критически важных файлов (например, .bashrc или SSH-ключей) в домашней директории пользователя, что ведет к полной компроментации системы. Уязвимость уже исправлена в выпусках 3.0.9, 2.1.3 и 1.16.5.
- CVE-2025-55188 в архиваторе 7-Zip. Похожая проблема была найдена в знаменитом архиваторе 7-Zip. Она позволяла использовать симлинки с последовательностью “../” в пути для обхода ограничений целевого каталога. Уязвимость затрагивала обработку всех основных форматов архивов (ZIP, TAR, 7z, RAR) и была устранена в версии 25.01.
Обе уязвимости демонстрируют, что даже доверенное ПО может стать инструментом для атаки на файловую систему, и подчеркивают необходимость всегда использовать последние версии программ.
