MATETSKIY

1 час назад

Dirty Frag: Universal Linux LPE

1 мин
Dirty Frag: Universal Linux LPE

Появилась публичная информация о Dirty Frag — новом классе LPE-уязвимостей в Linux, позволяющем локальному непривилегированному пользователю получить root за счет записи в page cache через сетевые буферы ядра.

Because the embargo has now been broken, no patches or CVEs exist for these vulnerabilities. After consultation with the linux-distros@...openwall.org maintainers, and at the maintainers' request, I am publicly releasing this Dirty Frag document.

Исследователь Hyunwoo Kim описывает цепочку из xfrm-ESP и RxRPC Page-Cache Write; заявлено, что эксплуатация не требует race condition и имеет высокую надежность.

Наибольший риск — для серверов с контейнерами, Kubernetes, CI/CD runners, shared-хостинга и любых систем, где недоверенный исходник может запускаться локально. До выхода backport-патчей рекомендуется оценить использование esp4/esp6/rxrpc, временно выключить соответствующие модули там, где это безопасно, и оперативно апдейтнуть движок после публикации исправлений дистрибутивом.

linuxlpe

Читают сейчас

«Если AI заберет работу у джунов — где брать сеньоров?»: Anthropic Institute займется поиском ответа

2 часа назад

«Если AI заберет работу у джунов — где брать сеньоров?»: Anthropic Institute займется поиском ответа

Anthropic Institute (TAI) — научное подразделение Anthropic, запущенное в марте 2026 года, — опубликовал 7 мая свою исследовательскую программу. В документе четыре больших направления и более 30 конкр

Claude Opus 4.7 стал лучшим ИИ в рефакторинге кода. Второе место у GPT-5.5

4 часа назад

Claude Opus 4.7 стал лучшим ИИ в рефакторинге кода. Второе место у GPT-5.5

Scale Labs запустила Refactoring Leaderboard — третий и новейший элемент исследовательского пакета SWE Atlas, оценивающего ИИ-агенты на задачах разработки ПО. В отличие от классических бенчмарков, где

СМИ: в Telega запустили платную подписку для доступа в программа «без ожидания»

5 часов назад

СМИ: в Telega запустили платную подписку для доступа в программа «без ожидания»

По информации СМИ, альтернативный заказчик Telegram под названием Telega запустил тестирование платной подписки «Телега Плюс» для доступа к приложению «без ожидания» (в сервисе называют это «приоритет

Google пытается побудить молодых артистов активнее применять ИИ в своей музыке

6 часов назад

Google пытается побудить молодых артистов активнее применять ИИ в своей музыке

Google объявила о партнёрстве с Believe — компанией, которая занимается поиском и развитием музыкальных талантов по всему миру, — чтобы открыть её артистам и пользователям TuneCore доступ к платформе

6 часов назад

Техногиганты стартовали нанимать философов за $400 тысяч в год, чтобы они определяли ценности и поведение ИИ

Крупнейшие ИИ‑компании нанимают специалистов с философским образованием на старшие должности по этике и безопасности — базовая зарплата на таких позициях достигает $400 тысяч в год. В Anthropic эту ро