Уязвимость подвергает опасности популярные облачные приложения и веб-сайты.
9 мая исследователи из JFrog обнаружили DoS-уязвимость в Envoy. Envoy – высокопроизводительный прокси-сервер с открытым кодом, предназначенный для облачных приложений и сайтов с высокой посещаемостью.
Уязвимость отслеживается как CVE-2022-29225 и была описана в блоге JFrog Security Research. Она заключается в том, что прокси-сервер Envoy не имеет ограничений на размер выходного буфера для формата данных Brotli. Это означает, что практически неограниченный объем данных может забить буфер, если хакеры решат использовать zip-бомбу – вредоносный архив, который при распаковке способен вывести из строя программу или систему жертвы.
"В большинстве случаев память устройства не сможет справиться с таким большим объемом данных, и процесс Envoy экстренно завершается", – предупреждают специалисты JFrog. "В большинстве случаев перед завершением процесса возникнут серьезные проблемы с производительностью из-за перегрузки процессора, который тратит все ресурсы на распаковку zip-бомбы".
В своем заявлении Envoy Proxy порекомендовала клиентам обновить Envoy до версий 1.19.5, 1.20.4, 1.21.3 и 1.22.1, в которых уязвимость уже полностью устранена. Если клиент не может выполнить обновление, то специалисты компании рекомендуют запретить распаковку данных формата Brotli. Это можно сделать, полностью удалив декомпрессор Brotli или заменив его на декомпрессор Gzip.
1000 сотрудников Администрации города Иванова начали пользоваться российской почтовой системой RuPost.
С 5 марта в Москве фиксируются масштабные перебои в работе мобильного интернета и голосовой связи.
Министерство обороны США внесло компанию-разработчика ИИ Anthropic в список неблагонадёжных поставщиков и намерено в течение полугода полностью заменить её решения на альтернативные.
Опрос об использовании искусственного интеллекта в профессиональной деятельности россиян показал, что нейросети уже выходят за рамки экспериментов и становятся частью повседневной работы.
Исследователи зафиксировали инцидент, в ходе которого ИИ-агент крупной технологической компании без каких-либо инструкций от создателей развернул майнинг криптовалюты на выделенных серверных мощностях.
Редакторы Википедии обнаружили, что массовое использование нейросетей для перевода статей на другие языки приводит к появлению в энциклопедии фактических ошибок и ложных ссылок.
Минцифры предложило онлайн-кинотеатрам новую схему передачи данных о пользовательской активности исследовательской компании Mediascope.
Редакция Cyber Media собрала все ключевые события этой недели.
Исследователи обнаружили, что в Android-клиенте мессенджера Max есть встроенный модуль, который проверяет доступность серверов Telegram и WhatsApp*, определяя IP-адрес пользователя через сторонние сервисы и фиксируя использование VPN.
Компания RED Security провела анализ состояния DDoS-угроз в России за 2025 год.
