Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты
Ответы к посту
Две новые уязвимости в Linux в сентябре 2025
2 поста сначала свежие
0 просмотренных постов скрыто
4

Продолжение поста «Две новые уязвимости в Linux в сентябре 2025»

И еще одна новая :
0-Click Linux Kernel KSMBD RCE Exploit From N-Day Vulnerabilities

A 0-Click Linux Kernel KSMBD RCE Exploit From N-Day Vulnerabilities, achieving remote code execution on a two-year-out-of-date Linux 6.1.45 instance running the kernelspace SMB3 daemon, ksmbd.

By chaining two authenticated N-day flaws, CVE-2023-52440 and CVE-2023-4130, the exploit attains an unauthenticated SLUB overflow and an out-of-bounds heap read primitive, culminating in a user-mode helper invocation and reverse shell without any manual interaction.

И опять потери:
Unhappy Ending! Kubuntu Creator Jonathan Riddell Departs After 25 Years with KDE
A few corrections about the transition from Blue Systems to Techpaladin

Jonathan Riddell, founder of the beloved Kubuntu, has announced that he is leaving KDE after 25 years. If you didn't know him, his work helped bring the Plasma desktop to millions and shaped the KDE ecosystem through both Kubuntu and KDE Neon.

Причины?
Adios Chicos, 25 Years of KDE

A couple weeks later we had anther video call but Nate called me first and told me I’d be excluded from it. No explanation was given beyond I had “made some comments and would not be happy”. If someone is telling you what your emotions that is when controlling behaviour starts to become abusive. And thus ended my 25 years with KDE.

And what of my colleagues? Surely they wouldn’t want a setup where they have no control over their professional life and all their profit goes to one person? Well dunno, they’ve stopped speaking to me. Nothing. Silence. Nil. Not so much as a “cheereo”, nor “sorry we chose the option were you got excluded” and certainly no explanation.

Дружба это магия, а магия это ересь. Коммерческий мир победил.

Показать полностью
IT Импортозамещение Linux Уязвимость Текст Kde Kde neon Как пропатчить kde под freebsd Ответ на пост
5
48

Две новые уязвимости в Linux в сентябре 2025

Первая:
VMSCAPE (CVE-2025-40300): VMSCAPE targets the Kernel Virtual Machine (KVM) and QEMU (Quick Emulator)

Процессоры и ядра ОС уже содержат защиту от атак Spectre-BTI, которая блокирует утечки между гипервизором и гостевой системой, а также между разными процессами. Но подобная защита не учитывала то, что компоненты гипервизоров, работающие в пространстве пользователя (например, процесс QEMU), и процессы в гостевой системе, выполняются на одном уровне защиты. Из-за этого записи в буфере адреса ветвления (BTB) при предсказании переходов смешивались для процессов гостевых систем и компонентов гипервизора, работающих в пространстве пользователя.
VMScape - атака на CPU AMD и Intel, обходящая изоляцию между гипервизором и гостевой системой

Патчи уже вышли.

Вторая:
CVE-2024-50264

Независимый исследователь по имени Александр Попов представил новую методику эксплуатации критической уязвимости в ядре Linux, получившей идентификатор CVE-2024-50264 . Эта ошибка класса use-after-free в подсистеме AF_VSOCK присутствует начиная с версии ядра 4.8 и позволяет локальному пользователю без привилегий инициировать опасное состояние при работе с объектом virtio_vsock_sock во время установления соединения. Русский хакер представил новую методику эксплуатации сложнейшей уязвимости в ядре Linux

Патчей пока нет

10 лет назад, и даже 5 лет назад, люди, путающие IDE VScode и SATA, мне рассказывали, что ядро линукса и все базовые сервисы проверены и исправлены, и обновлять Linux не надо.

Оказывается, надо.

@editors, можно ли добавить тег "CVE" ?

Показать полностью
[моё] IT Импортозамещение Linux Уязвимость Текст
31
Отличная работа, все прочитано!