Компрометація 32 пакетів Red Hat у каталозі NPM та 1577 пакетів у репозиторії AUR

Who are we? Red Hat! 1600x1200 redhat_uk_exw.png
Who are we? Red Hat!

Добре поповнення колекції.
Новинам треба дати настоятися, після чого смакувати деталі.

  • Red Hat, RED HAT, КАРЛ!
  • GitHub Actions, як завжди.
  • NPM, до цього вже звикли.
  • Arch User Repository, вже цікавіше.
Компрометація 32 пакетів...

Щоденна рутина

14/Червень/2026 Meteor75MikroTik

MikroTik Switch CRS354
MikroTik Switch CRS354 5712x4284
mikrotik_network_stand.jpg
Датчик тиску
Датчик тиску 4032x3024
26-06-14_13-45-16.jpg
BetaFPV Meteor75
BetaFPV Meteor75 4032x3024
meteor75_6.jpg
Датчик тиску | Показання осцилографа - стан порожній 1920x1021 empty.png
Датчик тиску | Показання осцилографа - стан порожній


Щоденна рутина

WiFi розетка, заявлена ​​на 20 Ампер

9/Червень/2026 wall-socket

WiFi Розетка
WiFi Розетка 4032x3024
ima_145e6a7.jpg
LN822HKI
LN822HKI 4032x3024
ima_9a69bb5.jpg
Плата та антена
Плата та антена 4032x3024
ima_4b1e157.jpg


Що ж тут може бути не так?

WiFi розетка, заявлена...

Критична вразливість у Nginx CVE-2026-9256

23/Травень/2026 nginxdebianCVE

Перезберемо Nginx з патчем CVE-2026-9256 відповідно до Debian-way.

Debian Nginx CVE-2026-9256 1600x900 CVE-2026-9256.png
Debian Nginx CVE-2026-9256

Критична вразливість у nginx, що дозволяє віддалено досягти виконання коду з правами робочого процесу nginx через відправлення спеціально оформленого HTTP-запиту.
Але не у цьому річ.
А річ у тому, що мейнтейнери Debian не квапляться викочувати новий пакет із патчами.

1
2
3
4
5
apt --no-install-recommends \
    --no-install-suggests install \
    build-essential \
    fakeroot \
    devscripts

nano /etc/apt/sources.list

1
2
3
4
# trixie sources
deb-src https://deb.debian.org/debian/ trixie main contrib non-free non-free-firmware
deb-src http://security.debian.org/debian-security/ trixie-security main contrib non-free non-free-firmware
deb-src https://deb.debian.org/debian/ trixie-updates main contrib non-free non-free-firmware
Критична вразливість у...

Якщо розробник, обираючи між зручністю та безпекою, вибирає зручність, він не отримає ані зручності, ані безпеки

5/Травень/2026 zero-trustsecurity

Інженер з безпеки завантажив шкідливий скрипт у свій адмін-аккаунт 1280x1080 nice-security-engineering_exw.png
Інженер з безпеки завантажив шкідливий скрипт у свій адмін-аккаунт

Минуло лише пів року, але стрічка новин не переставала приносити нові кумедні вразливості.
Як завжди, я не акцентую увагу на системних вразливостях snapd / Rust Coreutils / Flatpak, ядрі (Copy Fail, Dirty Frag, Fragnesia, pidfd, PinTheft, GRO Frag) або AppArmor.


Якими б небезпечними вони не були - вони “умовно” пасивні, тобто за їх наявності потрібна низка факторів і активних дій зсередини чи ззовні для успішної експлуатації.

Мені набагато цікавіше стежити за поширеннями шкідливого коду в системах розповсюдження пакетів, бібліотеках та інших репозиторіях.

Тому що це стосується “активних” і безпосередніх атак, їм майже не потрібно поєднання певних факторів, після завантаження вони відразу ж вразять репозиторій розробника, далі зберуть його персональну / фінансову / авторизаційну інформацію, а після цього продовжать діяти по ланцюжку на всіх серверах, до яких у нього був доступ.

Якщо розробник, обираючи...
Сторінка 1 з 14