Невозможно отучить людей изучать самые ненужные предметы.
Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3
Надо знать обо всем понемножку, но все о немногом.
Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы
Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)
Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода
Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5
Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости
Справочник от А до Я
HTML, CSS, JavaScript
Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы
Помогли мы вам |
Разработчики Veeam выпустили патчи, устраняющие несколько недостатков в Veeam Backup & Replication (VBR), включая критическую уязвимость удаленного выполнения кода (RCE).
Проблему, которая получила идентификатор CVE-2025-23121 (9,9 балла по шкале CVSS), обнаружили эксперты из компаний watchTowr и CodeWhite, и сообщается, что уязвимость затрагивает только domain-joined установки.
Как объясняют представители Veeam в бюллетене безопасности, уязвимость могла использоваться аутентифицированными пользователями домена для удаленного выполнения кода на сервере резервного копирования. Ошибка затрагивает Veeam Backup & Replication версии 12 и старше, и была исправлена в версии 12.3.2.3617.
Хотя CVE-2025-23121 затрагивает только domain-joined установки VBR, воспользоваться ею может любой пользователь домена, что облегчает возможные злоупотребления в таких случаях.
Отмечается, что многие компании подключают свои серверы резервного копирования к домену Windows, игнорируя рекомендации Veeam, хотя компания всегда настаивает на использовании отдельного Active Directory Forest и защите административных учетных записей с помощью двухфакторной аутентификации.
Следует отметить, что в марте 2025 года специалисты watchTowr Labs уже обнаруживали похожую уязвимость (CVE-2025-23120), которая представляла собой проблему десериализации в .NET-классах Veeam.Backup.EsxManager.xmlFrameworkDs и Veeam.Backup.Core.BackupSummary.
Эта уязвимость, как и другие более старые баги, была связана BinaryFormatter — устаревшем компоненте, которому, по данным Microsoft, нельзя доверять при десериализации данных, и который не может быть защищен в принципе. То есть приложение неправильно обрабатывало сериализованные данные, что позволяло внедрять вредоносные объекты и гаджеты, которые могут выполнять опасный код.
Вероятно, корень новой проблемы CVE-2025-23121 лежит в этой же области. Так, еще в марте специалист watchTowr Антон Гостев писал, что пока BinaryFormatter не будет удален из VBR, подобные проблемы безопасности будут неизменно возникать снова.
Теперь компаниям, использующим Veeam Backup & Replication, рекомендуется как можно скорее обновиться до версии 12.3.2.3617.
|
|