Начало сентября выдалось относительно спокойным, и мы даже успели расслабиться. Но не тут-то было. Изменилось всё после новости про проблемы с регистрацией в Google, которая то ли есть, то ли нет. Следом пошли уязвимости. И пусть достойных внимания в этот раз было не так много, но почти все с высоким уровнем угрозы.
В общем, больше томить ожиданием не будем, рассказываем.
Google больше не регистрирует аккаунты российских пользователей, но это не точно
У пользователей наблюдаются проблемы с регистрацией аккаунтов Google с использованием номеров телефонов из России. При попытке зарегистрироваться пользователи получают сообщение: «Этот номер нельзя использовать для подтверждения».
Как сообщается, проблема возникает не всегда, и некоторым все-таки удается пройти регистрацию, поэтому причины пока остаются неясными. Возможно, это связано с техническим сбоем на серверах компании или завершением контракта с сервисом, отвечающим за отправку SMS. Некоторые эксперты предпринимают попытки связать данную ситуацию с новыми санкциями США, которые вступили в силу 12 сентября, однако явной связи между этими событиями не наблюдается.
UPD: 26 сентября Минцифры подтвердили, что Google ограничил создание новых аккаунтов для россиян.
Уязвимость в Ruby-SAML позволяет обходить аутентификацию в GitLab
Критическая уязвимость(CVE-2024-45409) присутствует в механизме SAML-аутентификации. Она затрагивает библиотеки ruby-saml и omniauth-saml и отмечена самым высоким уровнем угрозы — 10 из 10.
Ключевая проблема заключается в некорректной обработке селекторов XPath, что вызывает ошибочную проверку подписей в XML-ответах от SAML-сервера. Атакующий, не имея аутентификации, может создать фальшивый SAML-ответ с использованием атаки XSW (XML Signature Wrapping). Суть этой атаки состоит в том, что, обладая корректно подписанным сообщением, злоумышленник может вставить ложное сообщение в связанный XML-документ с тем же идентификатором. При этом идентификатор будет считаться действительным, что даст возможность злоумышленнику получить доступ к системе от имени любого пользователя.
В сентябре для трех версий GitLab (17.3.3, 17.2.6 и 17.1.8) выпущены обновления, устраняющие эту уязвимость.
В Acronis Backup нашли серьезную уязвимость
В сентябре 2024 года была обнаружена серьёзная уязвимость CVE-2024-8767 с уровнем угрозы оценкой 9.9 по CVSS. Уязвимость найдена в плагинах Acronis Backup, работающих на Linux-серверах с cPanel, WHM, Plesk и DirectAdmin. С ее помощью злоумышленники получают избыточные права и, как следствие, — возможность удаленного доступа к конфиденциальной информации, изменению данных и выполнению несанкционированных действий. Уязвимость затрагивает следующие версии плагинов: до 619 (cPanel), 555 (Plesk) и 147 (DirectAdmin).
Рекомендация тут одна: как можно быстрее обновить свои системы.
Уязвимости в PCP и Nix создают риск повышения привилегий в системе
В системе PCP (Performance Co-Pilot) выявлено две уязвимости. Первая (CVE-2024-45770) затрагивает утилиту pmpost, которая может запускаться с повышенными привилегиями, что дает возможность выполнять код с правами root при наличии доступа к учётной записи PCP и изменении символической ссылки на файл "/var/log/pcp/NOTICES". Вторая уязвимость (CVE-2024-45769) относится к фоновому процессу pcmd и вызывает обращения к памяти за пределами буфера. Однако опасность её снижена, так как приём сетевых запросов в pcmd по умолчанию отключен. Обе проблемы были исправлены в версии PCP 6.3.1.
Дополнительно, в пакетном менеджере Nix (CVE-2024-45593) обнаружена уязвимость, позволяющая записывать данные в несанкционированные области файловой системы при распаковке файлов NAR. Данная проблема была устранена в версии 2.24.6.
К тому же, была выявлена критическая уязвимость в дистрибутивах GNU/Linux, позволяющая осуществлять удалённое выполнение кода без предварительной аутентификации. Уведомления для разработчиков запланированы на 30 сентября, а публикация информации — на 6 октября. Canonical и Red Hat оценили уязвимости как критические (9.9 из 10).