Архив рубрики: Уязвимость

Декабрьский Linux Patch Wednesday

Декабрьский Linux Patch Wednesday. В декабре Linux вендоры начали устранять 650 уязвимостей, примерно как и в ноябре. Из них 399 в Linux Kernel. Уязвимостей с признаками эксплуатации вживую нет.

Для 29 уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Можно выделить:

🔸 RCE - JupyterLab Extension Template (CVE-2024-39700), fontTools (CVE-2025-66034), Cacti (CVE-2025-66399), CUPS (CVE-2025-64524)
🔸 XXE - Apache Tika (CVE-2025-66516)
🔸 SQLi - phpPgAdmin (CVE-2025-60797, CVE-2025-60798)
🔸 AuthBypass - cpp-httplib (CVE-2025-66570)
🔸 OpenRedirect - Chromium (CVE-2024-13983)

🗒 Полный отчёт Vulristics

Если выделить основную "юридическую уязвимость" в злободневных кейсах с покупкой квартир - это возможность продавца признать себя неадекватным в момент заключения сделки купли-продажи и (якобы) при передаче вырученных денег третьим лицам

Добавить комментарий

Если выделить основную "юридическую уязвимость" в злободневных кейсах с покупкой квартир - это возможность продавца признать себя неадекватным в момент заключения сделки купли-продажи и (якобы) при передаче вырученных денег третьим лицам. При этом есть случаи, когда покупатели лично общались с продавцами и их родственниками, заверяли сделку у нотариуса и получали справку психиатра, что продавец адекватен. А в итоге классическое "ой, мошенники меня обманули", теряли и квартиру, и деньги.

То, что справка от психиатра фактически не работает сейчас - это большая проблема. Получается, что человек может быть неадекватным на 30 минут заключения любой сделки, а затем отменить её. И никакой защиты от этого нет. 🤷‍♂️

На такую критическую "юридическую уязвимость", требуется (по выражению Ивана Шубина) свой "юридический патч". Т.е. чёткая позиция государства по этому вопросу и принимаемый в судах механизм подтверждения адекватности в момент совершения сделки.

"Slop" стало главным словом 2025 года по мнению редакторов словаря Merriam-Webster

Добавить комментарий

"Slop" стало главным словом 2025 года по мнению редакторов словаря Merriam-Webster. Первоначальное значение этого слова "мягкая грязь", но теперь им обозначают "цифровой контент низкого качества, который обычно производится в большом количестве с помощью искусственного интеллекта".

Пару недель назад Daniel Stenberg, основатель опенсурсного проекта curl, поделился статистикой по багрепортам на HackerOne. Из статистики видно, что количество подтверждённых уязвимостей падает, а общее количество репортов год от года растёт, в том числе из-за стремительного роста генерённого AI Slop-а.

Daniel Stenberg видит проблему в попытках багхантеров использовать неподходящие AI-инструменты:

"AI-чат-боты всегда отвечают, никогда не говорят «нет» и отчаянно стремятся угодить. Им задают вопрос - и они выдают ответ. Очень часто они его просто выдумывают. Они лгут. Люди, которые так ими пользуются, не умеют выявлять и отделять ложь от правды и, по сути, даже не пытаются этого делать."

Стартовал Call For Papers на международный фестиваль по кибербезопасности и технологиям PHDays Fest 2026

Добавить комментарий

Стартовал Call For Papers на международный фестиваль по кибербезопасности и технологиям PHDays Fest 2026. Фестиваль пройдёт 28-30 мая в Москве.

🏇 Когда можно подать доклад: с 9 декабря и до 9 марта.

⏳ Длительность доклада: 15 или 50 минут.

🗂 Доступно 20 треков: Offense, Defense, Hardware & Firmware Security, OSINT New Blood, Web3, Development General, Development Data, Development Security, OpenSource & OpenSecurity, AI/ML, AI Security, Devices & Technologies, Научпоп, Архитектура ИБ, ИТ-инфраструктура, Security Leader, Next-Generation SOC, Отличные люди в ИБ, Доказательство ИБ, Антикризисный 2026-й год. Описания треков читайте по ссылке, выбрав трек и нажав на i.

В описании Defense указано "Опыт управления уязвимостями", в AI/ML - "Прогнозирование уязвимостей", в Development Security - "Использование AI для поиска и анализа уязвимостей". 🔥 Присматриваюсь и к OpenSource треку, в прошлом году там было неплохо. 😉

Cisco не осилили Vulnerability Management

Добавить комментарий

Cisco не осилили Vulnerability Management. 🤷‍♂️ В 2021 году Cisco купили известного и вполне успешного VM-вендора Kenna Security. В пресс-релизе обещали продемонстрировать "unprecedented combined capability".

И вот через 4 года, 9 декабря, Cisco объявили об окончании продаж и завершении жизненного цикла Cisco Vulnerability Management, Vulnerability Intelligence и модуля Application Security (ранее известных как Kenna VM, Kenna VI и AppSec). 🌝

🔹 продажи заканчиваются 10 марта 2026
🔹 продления - до 11 июня 2026
🔹 последний день поддержки - 30 июня 2028

"Cisco будут поддерживать текущие коннекторы, однако не будут разрабатывать какие-либо новые коннекторы и не будут выполнять переходы на новые платформы вендоров или вносить изменения в схемы данных. Алгоритм Cisco Security Risk Score не будет изменяться. Поддержка CVSS4 или EPSS v4 добавляться не будет." Морозят as is. 🥶

Каких-либо замен клиентам не предлагают. 🤷‍♂️

Tenable и Qualys зовут клиентов Cisco к себе.

В этом канале ещё не было поста с записью моего выступления на PHDays в этом году "Vulristics - утилита для анализа и приоритизации уязвимостей"

Добавить комментарий

В этом канале ещё не было поста с записью моего выступления на PHDays в этом году "Vulristics - утилита для анализа и приоритизации уязвимостей". Исправляюсь. 😉

00:00 Кто я такой и о чём буду говорить
01:15 GitHub, название, предназначение
02:15 С чего всё началось? Microsoft Patch Tuesday
03:35 Разбор отчёта Vulristics
08:19 Карточка конкретной уязвимости
10:20 Комментарии к уязвимостям
12:49 Группы уязвимостей
14:12 Анализ произвольных наборов уязвимостей
16:32 Работа с JSON
17:06 Linux Patch Wednesday
19:37 Источники данных (Microsoft, NIST NVD, EPSS, Vulners, AttackerKB, БДУ ФСТЭК, Custom)
32:56 Детектирование уязвимого продукта
37:17 Детектирование типа уязвимости
39:03 Интеграция и автоматизация
43:17 Q&A: Можно ли подать на вход список CPE, найти по ним CVE и получить отчёт?
45:01 Q&A: Можно ли отслеживать расхождения в источниках данных?
46:26 Q&A: Планируется ли использовать LLM-ки?
49:27 Q&A: Будет ли поддержка CVSS 4.0?
51:50 Q&A: Какие планы по развитию на полгода?
53:24 Q&A: Какие ещё базы уязвимостей есть смысл поддержать?

Видео доступно на VK Видео, RUTUBE и YouTube.

🎁 БОНУС! На прошлой неделе вышла статья на Хабре по мотивам этого выступления. Так что, если нет времени смотреть видео, можно там пролистать. 😉

Недавно доченька проходила онлайн-олимпиаду "Безопасный интернет" для 1 класса на Учи.ру

Добавить комментарий

Недавно доченька проходила онлайн-олимпиаду "Безопасный интернет" для 1 класса на Учи.ру. Ознакомился с содержанием. 🙂

Понравились задания:

🟢 Какие фотографии опасно выкладывать в паблик.
🟢 Схемы развода и опасное общение на маркетплейсах.
🟢 Мошеннические схемы в мобильных играх.
🟢 План действий в случае кражи данных банковской карты.
🟢 Как отличить мошеннические онлайн-курсы.

Не понравились задания:

🔴 Делать LLM-промпты для получения правильных картинок.
🔴 Экранное время и правильный распорядок дня.
🔴 Квантовые компьютеры (и ни слова про криптографию 🤷‍♂️).

Имхо, вместо этого оффтопа полезнее было затронуть темы кибербуллинга, фейковых новостей, защиту личной информации и паролей, фишинг и, разумеется, основы patch и vulnerability management. 😉

Также хотелось бы, чтобы в каждом задании лейтмотивом было: "в любой непонятной ситуации не держи в себе, немедленно расскажи родителям!"

Но, в целом, олимпиада для 1 класса вполне неплохая. 👍

Александр В. Леонов

Управление Уязвимостями и прочее

Архив рубрики: Уязвимость

Декабрьский Linux Patch Wednesday

"Slop" стало главным словом 2025 года по мнению редакторов словаря Merriam-Webster

Стартовал Call For Papers на международный фестиваль по кибербезопасности и технологиям PHDays Fest 2026

Cisco не осилили Vulnerability Management

В этом канале ещё не было поста с записью моего выступления на PHDays в этом году "Vulristics - утилита для анализа и приоритизации уязвимостей"

Недавно доченька проходила онлайн-олимпиаду "Безопасный интернет" для 1 класса на Учи.ру