Говорят, что для собственного спокойствия нужно перестать читать тревожные новости и переключиться на что-то хорошее. Чтобы вам было проще поддерживать позитивный настрой и верить в лучшее, собрали в дайджест не только самое интересное, но и самое жизнеутверждающее.
Балансировщик нагрузки на проекте CLO
На проекте CLO появился балансировщик нагрузки (Load Balancer). Сервис отвечает за распределение сетевой нагрузки между серверами, что позволяет построить отказоустойчивую и масштабируемую инфраструктуру для сайтов и приложений.
Если один из серверов перестанет справляться с нагрузкой, трафик будет автоматически перенаправлен на другой. При кратном росте трафика достаточно добавить новые серверы в балансируемую группу — это поможет сохранить доступность приложения.
clo.ru/help/loadbalancer
Уязвимости
Уязвимость Dirty Pipe позволяет получит root-права почти во всех дистрибутивах Linu
В ядре Linux, начиная с версии 5.8, обнаружена уязвимость, которая позволяет непривилегированному пользователю внедрять и перезаписывать данные в файлы, доступные только для чтения, включая процессы SUID, работающие под root. Уязвимости присвоено кодовое имя Dirty Pipe. Исправлена в версиях 5.16.11, 5.15.25 и 5.10.102.
xakep.ru/2022/03/09/dirty-pipe/
Удалённая DoS-уязвимость в ядре Linux вызывает отказ в обслуживании
Уязвимость позволяет исчерпать доступную память и удалённо вызвать отказ в обслуживании через отправку специально оформленных icmp6-пакетов. Проблема проявляется начиная с ядра 5.13 и устранена в выпусках 5.16.13 и 5.15.27. Она не затронула стабильные ветки Debian, SUSE, Ubuntu LTS (18.04, 20.04) и RHEL, устранена в Arch Linux, но остаётся неисправленной в Ubuntu 21.10 и Fedora Linux.
opennet.ru/56865-linux
Вредоносный код в NPM-пакете node-ipc удаляет файлы на системах из РФ и Беларуси
В NPM-пакете node-ipc обнаружен вредоносный код, который в 25% случаев заменяет содержимое всех файлов с доступом на запись на символ «❤️». Активируется только при запуске на системах с IP-адресами в России и Беларуси. Код был размещен в Git-репозитории от имени автора — и в настоящее время ключ, к которому открывался доступ к API ipgeolocation.io из опасной вставки, отозван. Тем не менее пользователям рекомендовано зафиксировать зависимости на версии 9.2.1, а также версии и для остальных разработок этого автора.
Подробнее на opennet.ru
Новый способ фишинга использует всплывающие окна в браузере
Чтобы захватить данные пользователя, злоумышленники используют формы аутентификации, которые открываются во фрейме. Для этого они при помощи iframe накладывают поверх легитимной формы фиктивную, повторяющую внешний вид оригинала. Пользователям можно порекомендовать только одно — будьте внимательнее с всплывающими окнами.
www.opennet.ru/opennews/art.shtml?num=56889