Архивы автора: Alexander Leonov

Об авторе Alexander Leonov

Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте. And I invite all English-speaking people to another telegram channel @avleonovcom.

Мой самый любимый день в году - 1 января

Добавить комментарий

Мой самый любимый день в году - 1 января

Мой самый любимый день в году - 1 января. 31 декабря тоже ничего, но он суетный. А вот следующий за ним день, как правило, выдаётся идеальным. 😇

🔹 Во-первых, подарки под ёлочкой. В основном, конечно, интересно смотреть, как доченька свои подарки находит и разбирает. 🌝 Но мне Дед Мороз тоже принёс разные штуки для упрощения процесса записи видяшек. Буду экспериментировать. 🙂

🔹 Во-вторых, подъедание салатиков и прочих вкусняшек, оставшихся с праздника. 🍴😋

🔹 В-третьих, и это на самом деле самое главное, уникальная атмосфера на улице. Все бурно наотмечавшиеся отлёживаются по домам. Улицы практически пустынны. Коммерция, по большей части, закрыта. Сегодня ещё и погода была замечательная: солнышко, лёгкий морозец, скрипучий снежок. Просто сказка! 🤩

С Новым годом! 🎄

Закончу серию постов про итоги года коротким видео-поздравлением с Котусника Код ИБ, прошедшего на прошлой неделе

Добавить комментарий

Закончу серию постов про итоги года коротким видео-поздравлением с Котусника Код ИБ, прошедшего на прошлой неделе. В нём я общаюсь с Ольгой Поздняк и Дмитрием Борощуком: рассказываю, каким для меня был 2025 год, чего жду от 2026 года, желаю российским компаниям беспроблемного устранения уязвимостей, подсвечиваю две самые интересные уязвимости 2025 года и рассказываю про свой телеграм-канал.

Всех ещё раз поздравляю с наступающим и перемещаюсь к праздничному столу. 😉🍽🎄🎁 До встречи в новом году!

Я тоже пошарю картинку с новогодней статистикой из TGStat

Добавить комментарий

Я тоже пошарю картинку с новогодней статистикой из TGStat

Я тоже пошарю картинку с новогодней статистикой из TGStat. Она за 26 декабря, свежую они генерить отказываются. 🤷‍♂️🙂

Миллион просмотров - ничего себе! 😲 И постов тоже прилично набралось. В этом году я накидывал их достаточно регулярно и, в общем, доволен собой. 😇

К замедлению роста количества подписчиков отношусь спокойно. Аудитория, которой может быть интересна основная тема канала, ограничена, и по большей части она уже здесь. 🙂👋 А делать вид, что я во всех ИБ-шных вопросах эксперт, и заполнять канал AI-слопом - точно не мой путь. 😉

При всех плюсах Телеграма (удобные мобильные и десктопные приложения, форматирование текста, API для постинга, возможность экспорта постов) не стоит забывать о главном минусе - полном игнорировании ботоводства.

Поэтому лайки, подписчики и комментарии здесь весьма условны. 🤷‍♂️ На днях мне скинули предложение "4 руб. за подписчика". 🌚 Эдак за стоимость айфончика можно изобразить самый популярный ИБ-канал в России! 🙃 Но зачем?

Подвожу итоги 2025 года под наши традиционные новогодние печеньки

Добавить комментарий

Подвожу итоги 2025 года под наши традиционные новогодние печеньки

Подвожу итоги 2025 года под наши традиционные новогодние печеньки. Это был ещё один замечательный год. Много чего делал VM-ного и получил результаты, которыми вполне удовлетворён. 😇 Где-то, конечно, фейлился. Но это абсолютно не фатально.

Канал подрос. Хоть и не кратно, как в прошлые годы, но всё-таки существенно. Статистику по каналу отдельно рассмотрим чуть позже. 🙂 Я рад, что в этом году не малодушничал, высказывал своё непопулярное мнение по острым вопросам как есть, несмотря на очевидные издержки. Постараюсь также гнуть свою линию и в следующем году. 😉 Спасибо всем, кто читает, распространяет и комментирует посты в лайв-канале и ВК!

Хвала Создателю за всё! Ничего конкретного на следующий год намеренно не загадываю. Никаких New Year's Resolutions не делаю. Пусть будет как будет. "Не как Я хочу, но как Ты" (Мф. 26:39).

Всем добра и счастья в Новом 2026 году!

Пришёл новогодний подарок от коллег из R-Vision

Добавить комментарий

Пришёл новогодний подарок от коллег из R-Vision

Пришёл новогодний подарок от коллег из R-Vision. 🙂 Внутри, помимо поздравительной открытки:

🔹 Бутылка отечественного вина. Мы алкоголь не употребляем, но это не беда - передарим. 😉

🔹 Сертификат на шоу Luminar-x Elements. Вот это круто, на ВДНХ часто бываем, обязательно заценим. 👍

Спасибо большое, R-Vision! С наступающим! 🎄

Кстати, мой комментарий по "MongoBleed" (CVE-2025-14847) вышел в понедельник в Газета.Ru

Добавить комментарий

Кстати, мой комментарий по MongoBleed (CVE-2025-14847) вышел в понедельник в Газета.Ru

Кстати, мой комментарий по "MongoBleed" (CVE-2025-14847) вышел в понедельник в Газета.Ru. Аккурат в l33t-time. 😅 С правильным указанием имени, должности и компании. И по технике всё достаточно чётко. 👍😇

Конечно, ~2k хостов в Рунете - это оценка Censys. А их, наверняка, довольно сильно блочат и адекватно сканировать Рунет они вряд ли сейчас могут. Тут скорее ждём оценку от коллег из CyberOK.

Для тех, кто не может оперативно обновить MongoDB, разработчики рекомендуют:

"…отключите сжатие zlib на сервере MongoDB, запустив mongod или mongos с опцией networkMessageCompressors или net.compression.compressors, которая явно исключает zlib. Примеры безопасных значений включают snappy, zstd или disabled."

Кроме того, лучше ограничить сетевой доступ к экземплярам MongoDB только доверенными IP-адресами. Это рекомендация из Security Checklist.

Про уязвимость Information Disclosure - MongoDB "MongoBleed" (CVE-2025-14847)

Добавить комментарий

Про уязвимость Information Disclosure - MongoDB MongoBleed (CVE-2025-14847)

Про уязвимость Information Disclosure - MongoDB "MongoBleed" (CVE-2025-14847). MongoDB - это популярная NoSQL-база данных, которая хранит данные в виде JSON-подобных документов с необязательной схемой. Проект лицензируется по SSPL. Уязвимость некорректной обработки параметра длины данных при сжатии с помощью zlib в MongoDB позволяет удалённому неаутентифицированному злоумышленнику получить доступ к неинициализированной памяти и тем самым - к чувствительным данным (учёткам, ключам, данным клиентов и т.д.).

⚙️ "Критические обновления" были выпущены 19 декабря. Уязвимость исправлена в версиях 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 и 4.4.30.

🛠👾 Публичный эксплойт появился на GitHub 26 декабря. Для эксплуатации достаточно задать хост, порт и offset-ы для чтения памяти. Сразу после появления эксплоита, по сообщению Wiz, начались массовые атаки. Уязвимость добавили в CISA KEV 29 декабря.

🌐 Censys показывает ~86k уязвимых серверов в Интернет, из них ~2k в России.