В мире информационной безопасности и IT-инфраструктур все стабильно — выявляют новые угрозы и проблемы совместимости. В недельной подборке рассказываем о критической уязвимость в Linux, сбое в работе Samba, микроархитектурной атаке на процессоры AMD и опасных уязвимостях в системе контроля версий Git. Не переключайтесь.
Уязвимость в Linux позволяет взломать систему через Initramfs
Исследователи кибербезопасности из ERNW выявили критическую уязвимость в Linux, которая позволяет злоумышленникам с физическим доступом к устройству получить полный контроль над системой, даже если диск полностью зашифрован.
Проблема затрагивает Ubuntu 25.04 и Fedora 42. При нескольких неудачных попытках ввода пароля для расшифровки диска (в Ubuntu — после нажатия Esc и ввода специальной комбинации) система предоставляет отладочную оболочку (debug shell). Через неё злоумышленник может подключить USB-накопитель с инструментами для модификации initramfs — временной файловой системы, используемой при загрузке.
Поскольку initramfs не имеет цифровой подписи, изменения не обнаруживаются механизмами защиты. При следующей загрузке, когда владелец введёт правильный пароль, вредоносный код будет выполняться с повышенными привилегиями. Это может привести к утечке данных, удалённому доступу или внедрению кейлоггера.
Атака требует физического доступа и специальных навыков, поэтому наиболее актуальна для корпоративных систем и критической инфраструктуры. В качестве меры защиты рекомендуется настроить автоматическую перезагрузку после нескольких неудачных попыток ввода пароля.
Обновление Windows Server затрагивает работу Samba
Microsoft 8 июля выпустила обновления для Windows Server, усилившие проверки в протоколе Netlogon, используемом для аутентификации в Active Directory. Эти изменения привели к проблемам совместимости с серверами Samba, особенно при использовании бэкенда 'ad'.
После обновления Windows Server сервис winbind в Samba начинает некорректно обрабатывать запросы обнаружения контроллера домена (Netlogon DC Discovery). В результате пользователи не могут подключиться к SMB-ресурсам на серверах Samba, работающих в режиме члена домена.
Разработчики Samba оперативно выпустили патчи (4.22.3 и 4.21.7), устраняющие проблему. Администраторам рекомендуется как можно скорее обновить Samba, чтобы избежать сбоев в работе доменной инфраструктуры.
Атака TSA: уязвимости в процессорах AMD крадут данные из ядра и виртуальных машин
Исследователи из Microsoft и Швейцарской высшей технической школы Цюриха обнаружили новый класс атак на процессоры AMD — TSA (Transient Scheduler Attack). Уязвимости CVE-2024-36350 (TSA-SQ) и CVE-2024-36357 (TSA-L1) позволяют злоумышленнику обходить изоляцию между процессами, ядром и виртуальными машинами, извлекая конфиденциальные данные.
Атака основана на анализе времени выполнения инструкций после "ложного завершения" операций чтения из памяти. Процессор может спекулятивно выполнять инструкции, опираясь на некорректные данные, что создаёт уязвимости для утечки информации через микроархитектурные структуры (Store Queue и кэш L1D).
Проблема затрагивает процессоры AMD на архитектурах Zen 3 и Zen 4, включая линейки Ryzen 5000/6000/7000/8000, EPYC Milan/Genoa и Threadripper PRO и др.
Исправления уже включены в декабрьские обновления микрокода и PI-прошивок. Для полной защиты также требуется обновление ядра Linux (с возможностью отключения через параметр tsa=off) или гипервизора Xen.
Выпущены патчи для критических уязвимостей в Git
Разработчики Git выпустили экстренные обновления (2.43.7 – 2.50.1), закрывающие несколько опасных уязвимостей, которые позволяют выполнить произвольный код при работе с вредоносными репозиториями.
Основные проблемы:
- CVE-2025-48384 – уязвимость в обработке субмодулей: из-за некорректной очистки символа возврата каретки (CR) атакующий может подменить путь и внедрить вредоносный Git hook, который выполнится после операции checkout.
- CVE-2025-48385 – уязвимость в загрузке bundle-файлов, позволяющая записать данные в произвольное место файловой системы.
- CVE-2025-48386 – переполнение буфера в Wincred (учётные данные Windows).
Кроме того, устранены уязвимости в графических интерфейсах Gitk и Git GUI:
- CVE-2025-27613 – перезапись файлов через специальный репозиторий в Gitk.
- CVE-2025-27614 – выполнение произвольного скрипт при запуске команды 'gitk filename' для специально подготовленного репозитория.
- CVE-2025-46334 – запуск вредоносных .exe-файлов в Git GUI (Windows).
- CVE-2025-46335 – создание или перезапись произвольных файлов при работе с репозиторием в Git GUI.
Рекомендуется немедленно обновить Git, особенно разработчикам, работающим с внешними репозиториями.
