Админим с Буквой

SSL-сертификаты и санкции: что произошло Тема уже у всех на слуху, но вдруг кто-то пропустил — продублирую коротко, только факты. пост не даёт ответа на вопрос "что делать". Let's Encrypt — В соглашении подписчика LE-SA v1.7 от 4 июня 2026 появился пункт о запрете выдачи сертификатов резидентам стран под полномасштабными санкциями США. Первоисточник — Под это попадают домены .RU и .SU: выдача и продление могут прекратиться. Аналогичную клаузулу добавил ZeroSSL. Разбор: habr GlobalSign — Японский УЦ (GMO Internet Group) утром 13 июня 2026 начал принудительный отзыв ранее выданных SSL-сертификатов у российских организаций; старт поэтапный, с 04:10 МСК. РБК — Основание — новые правила CA/Browser Forum (в силе с 4 мая): проверка по санкционным спискам OFAC, BIS и их европейским аналогам стала обязательной. Англоязычный материал — О старте сообщил гендиректор «Джи-Эм-О Глобал Сайн Раша» Дмитрий Рыжиков в письме партнёрам; влияния на решения консорциума у российского подразделения нет. habr — Масштаб: под угрозой до 20 тыс. отечественных сайтов; с учётом поддоменов — сотни тысяч сертификатов. — Последствия: блокировка доступа или предупреждение о небезопасном соединении в Chrome, Firefox, Safari, Edge; отдельно затрагивает приложения с Certificate Pinning. — GlobalSign оставался последним крупным зарубежным коммерческим УЦ, работавшим с РФ после ухода Sectigo, DigiCert, Thawte, GeoTrust и RapidSSL в марте 2022. Минцифры оценивает его долю в рунете менее 5% и указывает на бесплатные TLS-сертификаты через Национальный удостоверяющий центр. Эквайринг Эффект дошёл до платёжных интеграций. Т-Банк разослал клиентам уведомление: до 04:00 МСК 13 июня добавить корневой сертификат УЦ Минцифры России в доверенное хранилище на своей стороне. Иначе — риск нарушения взаимодействия с сервисами банка и недоступности интеграции эквайринга.

⚡️ Запускаем call for papers Заявку можно подать на сайте до 29 июня (включительно). Там же ищите подробности и требования к докладам. Как проходит отбор и как лучше оформить заявку, читайте в статье на «Хабре».

Друзья, мы с командой наконец-то релизнули курс по DevSecOps и открываем набор. Уже полгода мы работаем над созданием курса и теперь готовы представить его миру Встречайте https://edu.eversecure.ru

Дата: 27 мая Время: 11:00 Тема вебинара: Куда движется QA в 2026 году и где компании теряют контроль над качеством Что будет на вебинаре: 70% российских компаний недовольны состоянием своих QA-процессов — по данным нового Russia Quality Report–2026, который выйдет в мае. Для аналитики мы опросили сотни российских компаний и погрузились в процессы ведущих игроков рынка. IT развивается как никогда быстро. Инструменты ИИ позволяют тестировать быстрее, релизы выпускаются в среднем каждую 1–2 недели. Но как это влияет на качество? Приглашаем обсудить вызовы и тренды обеспечения качества на бесплатном вебинаре. Алексей Кузнецов, технический директор направления обеспечения качества в «Перфоманс Лаб», расскажет: как меняются требования к QA; почему время выхода на рынок — важная, но не главная метрика; где проходит грань между качеством и скоростью; какие практики применяют крупные компании для поддержания высокого качества релизов.   На вебинаре поделимся аналитикой и рекомендациями, которые основаны на интервью с главными профессионалами индустрии — и, конечно, на нашей собственной практике. Команда «Перфоманс Лаб» работает с качеством с 2008 года — все изменения рынка мы отслеживаем на своих проектах. Все участники вебинара: первыми получат новый Russia Quality Report 2025–2026 с полной аналитикой рынка; смогут пройти бесплатную консультацию с Алексеем Кузнецовым по QA-процессам и работе с ИИ-агентами.

Инженеры перебрали... Linux-кейсов 🤩 У K2 Cloud и K2Тех вышла запись митапа по Linux — pебята разобрали реальные инженерные кейсы из практики про поломанный SSH, обновление ядер, поломку сети в ВМ и балансировщики с одинаковыми конфигами, но разными результатами. А еще в конце дали специальный кейс для зрителей — можно решить его и забрать приз до 5 июня. Смотреть здесь

Стикер-пак для сетевиков и сисадминов — бесплатно по заявке К конференции GetNet сделали набор стикеров для тех, кто живёт в сетях, конфигах, мониторинге. Стикеры можно клеить на ноутбук, стойку, шкаф, рабочее место или любое железо, которому не хватало характера. Отправят их домой или в офис. А ещё сейчас идёт прямая трансляция GetNet — конференции для сетевиков и системных администраторов среднего бизнеса. Заказать стикер-пак и посмотреть трансляцию https://live.getnet.pro/

Успели обновиться вчера? 🌚 Еще не успели выдохнуть, как подъехала 4 уязвимость Arbitrary File Read Linux https://github.com/0xdeadbeefnetwork/ssh-keysign-pwn/tree/main Патча пока нет 🌚

* Block pidfd_getfd. I don't think it's actually used that heavily and
  there's often fallbacks for older kernels when it is.

* You could remove the world-executable bit from ssh-keysign
  but this is *not* the only binary affected, and this is a very weak
  mitigation indeed __only for the PoC__.

👀@ever_secure | 💪 Мерч | 💳Поддержать

Давно не было Обновление nginx 1.31.0 с устранением RCE-уязвимости, эксплуатируемой через HTTP-запрос https://www.opennet.ru/opennews/art.shtml?num=65442

Уязвимость (CVE-2026-42945), которой присвоен критический уровень опасности, вызвана переполнением буфера в модуле ngx_http_rewrite_module, которое может быть эксплуатировано для выполнения кода с правами рабочего процесса nginx через отправку HTTP-запроса со специально оформленным URI. Проблема проявляется в конфигурациях с директивой "rewrite", в которой в регулярных выражениях используются подстановки масок при помощи неименованных переменных (например, $1 и $2), при условии, что в заменяющей строке имеется символ "?". Пример уязвимой конструкции:

rewrite ^/users/([0-9]+)/profile/(.*)$ /profile.php?id=$1&tab=$2 last;

Выражения с именованными подстановками уязвимости не подвержены. Например, уязвимость не затрагивает конструкции:

rewrite ^/users/(?<user_id>[0-9]+)/profile/(?<section>.*)$ /profile.php?id=$user_id&tab=$section last;

Уязвимость присутствует начиная с версии 0.6.27, выпущенной в марте 2008 года. Причиной появления уязвимости стало то, что буфер выделялся с расчётом, что в него будут записаны неэкранированные данные, а фактически копировались данные после выполнения экранирования спецсимволов, размер которых был больше, так как каждый символ "+", "%" и "&" кодировался не одним, а тремя байтами.

NGINX Rift: Achieving NGINX Remote Code Execution via an 18-Year-Old Vulnerability https://depthfirst.com/research/nginx-rift-achieving-nginx-rce-via-an-18-year-old-vulnerability PoC https://github.com/depthfirstdisclosures/nginx-rift

Другие уязвимости: - CVE-2026-42926 - возможность подстановки данных атакующего в проксируемый запрос при использовании в настройках директивы "proxy_set_body" и обращении к бэкенду через HTTP/2 (proxy_http_version=2). - CVE-2026-40701 - обращение к памяти после её освобождения (use-after-free) в модуле ngx_http_ssl_module, возникающее при обработке ответов от DNS-сервера в конфигурациях с директивой "ssl_ocsp". - CVE-2026-42946 - чтение из области за пределами буфера в модулях ngx_http_uwsgi_module и ngx_http_scgi_module, возникающее при обработке специально оформленного ответа. Проблема может привести к утечке содержимого памяти рабочего процесса или его аварийному завершению. - CVE-2026-42934 - чтение из области за пределами буфера в рабочем процессе, возникающее при обработке ответов с декодированием из кодировки UTF-8 при использовании директивы "charset_map". Проблема может привести к утечке содержимого памяти рабочего процесса или его аварийному завершению. - CVE-2026-40460 - уязвимость в реализации протокола HTTP/3, допускающая спуфинг IP-адреса для обхода авторизации или ограничений.

ЗЫ Когда-нибудь в Telegram можно будет залить видос без звука, чтобы его не ужимало до "GIF" на котором ничего не будет видно. А пока добавляем к видео аудио дорожку 🌝

А вы думали - всё:)

Череда уязвимостей в ядре, приводящих к LPE и container escape продолжается. На этот раз – fragnesia. Это новая LPE уязвимость из семейства Dirty Frag/Dirty Pipe, позволяющая локальному пользователю получить root через corruption page cache в подсистеме XFRM ESP-in-TCP. Эксплойт не требует race condition и работает как deterministic logic bug, что делает эксплуатацию особенно стабильной и опасной. Интересно, что fragnesia появилась как побочный эффект одного из патчей для Dirty Frag. CVE пока не назначена, а фикс пока только в виде небольшого patchset, который ещё не успел попасть во все mainstream kernel releases. P.S. Сегодня последний день подать свой вариант на конкурс и выиграть билет на нашу конференцию БеКон 2026.

Ansible mitigation https://gist.github.com/bykvaadm/7bb8937ebc4f0485fea26fa27af4c522

зря мы издевались над астрологами, старая неделя обновлений еще не успела закончится, как подъехала новая неделя обновлений) Linux LPE https://github.com/V4bel/dirtyfrag 👀@ever_secure | 💪 Мерч | 💳Поддержать

Всем привет! 15 мая пройдёт GetNet — конференция для сетевых инженеров и сисадминов среднего бизнеса. Москва + онлайн, без космолётов и маркетинговых слайдов про «цифровую трансформацию». Организаторы собрали программу из реальных кейсов: только практикующие специалисты, только проверенные решения, только то, что можно применить сразу. 🛠 Что будет: • Импортозамещение без боли: методология тестирования и выбора оборудования — как не пожалеть после закупки • NGFW: разбор архитектуры промышленного межсетевого экрана от PT — как не купить цифры вместо безопасности • Автоматизация управления сетью — от скриптов до комплексных инструментов • Мониторинг и надёжность — чтобы спать, а не перезагружать коммутаторы по ночам • VPN, обход блокировок и вообще как выживать админу в 2026 году 💡 офлайн-часть в Москве и онлайн-трансляция для всех остальных. Регистрация и подробная программа Если устали от бесконечных вебинаров с графиками ROI и хотите реальных инженерных докладов — загляните.

Всем привет! 15 мая пройдёт GetNet — конференция для сетевых инженеров и сисадминов среднего бизнеса. Москва + онлайн, без космолётов и маркетинговых слайдов про «цифровую трансформацию». Организаторы собрали программу из реальных кейсов: только практикующие специалисты, только проверенные решения, только то, что можно применить сразу. 🛠 Что будет: • Импортозамещение без боли: методология тестирования и выбора оборудования — как не пожалеть после закупки • NGFW: разбор архитектуры промышленного межсетевого экрана от PT — как не купить цифры вместо безопасности • Автоматизация управления сетью — от скриптов до комплексных инструментов • Мониторинг и надёжность — чтобы спать, а не перезагружать коммутаторы по ночам • VPN, обход блокировок и вообще как выживать админу в 2026 году 💡 офлайн-часть в Москве и онлайн-трансляция для всех остальных. Регистрация и подробная программа Если устали от бесконечных вебинаров с графиками ROI и хотите реальных инженерных докладов — загляните.

🚀 Managed Kubernetes в Beget — старт BETA-тестирования 🤪 Всем привет, с вами Кот) Есть хорошая новость — спустя примерно год разработки мы вместе с командой наконец-то запустили Managed Kubernetes в Beget.com. Сервис уже доступен в BETA-режиме через облачную платформу. Пока есть ряд ограничений и шероховатостей, но запуск состоялся — и это для нас важный этап. 🙃 Низкий порог входа: Все однонодовые управляющие контуры сейчас доступны за 1 ₽/месяц Наша цель — сделать Kubernetes доступнее не только для крупных команд, но и для небольших проектов, индивидуальных разработчиков и SMB. 😈 Из интересного: • поддержка 1 и 3 нодовых кластеров (CP) • поддержка системы аддонов • поддержка воркер групп (DP) • поддержка L4 балансировщиков Будем очень рады обратной связи, тестам, багрепортам и предложениям по развитию сервиса.

БеКон 2026: единственная в России конференция по безопасности контейнеров и Kubernetes Четвёртый БеКон собирает технических специалистов, чтобы говорить о безопасности Kubernetes без маркетинговой шелухи: только практики, кейсы и инструменты. Два трека под разные задачи: 🧪 «Ингредиенты» — технологии: hardening кластеров, runtime-защита, policy-as-code, сканирование образов 👥 «Рецепты» — люди и процессы: как выстроить культуру безопасности, коммуникацию Dev/Sec/Ops, внедрить Zero Trust в микросервисы Зачем идти? ✅ Узнать, как защищать контейнерные среды в реальных условиях, а не на слайдах ✅ Понять, какие инструменты и подходы работают в 2026 году ✅ Обсудить боли с коллегами и спикерами на Speaker Party ✅ Заработать баллы на геймификации и забрать мерч ✅ Заглянуть в мершоп БеКон за эксклюзивным мерчом БеКон 2026 — где безопасность контейнеров перестаёт быть теорией. 🗓 2 июня 2026 | 📍 Москва, Лофт ГОЭЛРО 👉 Регистрация и программа

Зочем это и как может быть полезно? Унификация, конечно же. ... Много команд, карманные роли, повторение одного и того же по несколько раз, переизобретение, дублирование, нет единого вижена, правил готовки ... наличие централизованного ансибл-гелекси с единым виженом хорошо ложится на процесс "технологический радар" - когда есть зафиксированные и рекомендованные к использованию технологии в компании, готовые RFC, ссылки на автоматизацию и use-cases. + известные и понятные мейнтейнеры, к которым можно обратиться за помощью во внедрении нового для себя инструмента + это также хорошо ложится на трек "компетенции", когда в компании есть какое-то сообщество вокруг технологии и ее применении.

Ansible Role Scanner 🔍 Написал Навайбкодил инструмент для тех, кто разгребает большой GitLab-инстанс и хочет понять — где вообще живут Ansible-роли? Репозиторий сканируется без клонирования — только точечные API-запросы. Скрипт ищет структурные признаки (tasks/main.yml, defaults/, meta/ и т.д.), паттерны в именах репозиториев, вложенные роли через BFS, тест-окружения molecule. На выходе — самодостаточный HTML-отчёт: поиск, фильтры по уверенности (High / Medium / Low), сортировка, попап с историей коммитов и колонка заметок с сохранением в localStorage. Заметки переживают перегенерацию отчёта — привязаны к web_url репозитория, а не к имени файла. Работает на read_api токене, опционально sudo-режим для полного скана инстанса. → https://github.com/bykvaadm/ansible-role-scanner

+ для кубовых сред https://github.com/deckhouse/d8-copy-fail-mitigation https://github.com/yandex-cloud-examples/yc-mk8s-copy-fail-mitigation/blob/main/copy-fail-mitigation-daemonset.yaml