Телеграмм чат группы srv_admins страница 28831

Смотрите, какая наглядная новость про уязвимости. Кто-то много лет ходил на сервера, как к себе домой, пока уязвимости не вышли в открытый доступ и их не закрыли.

Почему я обратил на это внимание? Я часто слышу мнение на тему того, что если ставить обновления, то можно особо не бояться уязвимостей. Об этом заявляют в контексте того, что надо закрывать из открытого доступа по возможности все сервисы.

Так вот. Существенно обезопасить себя можно закрывая доступ на уровне фаервола ко всему, что не нуждается в этом доступе. Я последнее время стал и ssh закрывать белыми списками ip, хотя раньше делал это очень редко, так как не припоминаю серьезных уязвимостей в этом протоколе, хотя допускаю, что они есть, просто знает о них ограниченный круг лиц.

Рекомендую поступать так же. Все, что только можно, закрывайте фаерволом и не ленитесь его настраивать. Чем меньше информации о вас можно собрать, тем надежнее будет ваша защита. Это универсальный совет. Возможно со временем дойду до того, что и пинги закрою :) Пока оставляю.
https://www.opennet.ru/opennews/art.shtml?num=53535

www.opennet.ru

Удалённая уязвимость в серверных платах Intel с BMC Emulex Pilot 3

Компания Intel сообщила об устранении 22 уязвимостей в прошивках своих серверных материнских плат, серверных систем и вычислительных модулей. Три уязвимости, одной из которых присвоен критический уровень, (CVE-2020-8708 - CVSS 9.6, CVE-2020-8707 - CVSS 8.3, CVE-2020-8706 - CVSS 4.7) проявляется в прошивке BMC-контроллера Emulex Pilot 3, применяемого в продуктах Intel. Уязвимости позволяют без аутентификации получить доступ к консоли удалённого управления (KVM), обойти аутентификацию при эмуляции USB-устройств хранения и вызвать удалённое переполнение буфера в применяемом в BMC ядре Linux.