По данным исследователей, дыру уже дёргали вживую, возможно ещё с февраля. Shared-хостинг снова напоминает коммуналку: один плохой замок — и внезапно открывается не одна дверь, а весь этаж. Технически баг сидит в логике сессий. До нормальной авторизации cpsrvd создавал pre-auth session file, а дальше через криво обработанные cookie и заголовки можно было подсунуть в эту сессию лишние свойства. В плохом сценарии — что-нибудь уровня user=root. Потом сессия перечитывается, кэшируется, и вот у нас уже не «неудачная попытка входа», а административный доступ без пароля. Красиво? Да. Противно? Тоже да...
Пока не взломали
Уязвимость Copy Fail, она же CVE-2026-31431
Это не тот случай, когда сервер можно забрать прямо из интернета одним красивым запросом. Тут атакующему сначала нужен обычный пользователь на машине или код внутри контейнера. Но дальше история становится заметно веселее: из непривилегированного состояния можно попытаться доползти до root. И самое мерзкое — баг выглядит почти скромно. Речь про контролируемую запись всего 4 байт в page cache читаемого файла. Четыре байта, да. В обычной жизни это звучит как мелочь, а в ядре Linux — как «мы чуть-чуть подпилили несущую балку, ничего страшного». Технически всё крутится вокруг AF_ALG. Это такой интерфейс, через который userspace может ходить к криптографическому API ядра через сокеты...
Про fail2ban до сих пор любят говорить так, будто это почти антиддос
Хотя если без самообмана, fail2ban — это защита от мусора, а не от атаки. Брутфорс, кривые попытки логина, какая-то веб-помойка — да. DDoS — нет. Проблема очень простая. Fail2ban сначала должен дождаться, пока запрос долетит до nginx, попадет в лог, распарсится, и только потом IP уйдет в бан. То есть вся эта схема работает только тогда, когда сервер еще в состоянии спокойно жить и писать логи. А при нормальном флуде ничего он уже не успевает. Если у вас канал 100 мегабит, а туда прилетает 200 мегабит UDP, то на этом кино заканчивается. Канал забит, пакеты не доходят до приложения, логов нет, fail2ban ничего не видит...
Смотрите, какая история подъехала в экосистеме Nginx
Иногда смотришь на уязвимости и думаешь — ну ладно, бывает, сложная логика, хитрый баг. А иногда читаешь CVE и просто улыбаешься. Потому что это не «хакерская магия», а обычная человеческая расслабленность. В Nginx UI нашли CVE-2026-27944. Там есть эндпоинт /api/backup, который отдает бэкап конфигурации. И всё бы ничего, но авторизацию на него почему-то решили не вешать. Но самое красивое даже не это. В ответе вместе с архивом прилетает ключ для расшифровки этого самого бэкапа. Прямо в заголовке. То есть система буквально говорит: держи конфиг, держи ключ, пользуйся на здоровье. Мы с вами понимаем, что обычно лежит в таких бэкапах...
Коллега поделился болью
Семейный онлайн-бизнес, небольшой сайт, внезапно начинает захлёбываться. Заходит в логи — 400 000 уникальных IP за несколько часов колотят по главной странице. Для контекста: у них обычно 2-3 тысячи посетителей в день. Первая реакция — «Может это вирусный контент? Может нас кто-то упомянул?» Проверяет реферреры — тишина. Проверяет user agents — каша из Firefox, Chrome, Safari, всё как у людей. Вот только люди так не ходят: по 50 запросов в секунду с одного IP к одной и той же странице. Админ начинает банить через fail2ban. Через час понимает, что это как вычерпывать океан ложкой — IP меняются быстрее, чем он успевает добавлять правила...
Годная дискуссия на r/selfhosted: человек хочет хостить майнкрафт сервер дома на своём железе и спрашивает: «Как защититься от DDoS?» Ответы
в комментариях — квинтэссенция того, почему selfhosting и публичные сервисы живут в разных вселенных. Один юзер честно объясняет: «Бро, если кто-то захочет тебя положить — он положит. У тебя домашний канал 100-500 Мбит? Ботнет может гнать 100+ Гбит. Game over». Другой добавляет: «Cloudflare free tier — это единственный способ. Спрячь origin IP за прокси, молись чтобы не слили настоящий». Но самый вкусный комментарий от чувака, который попробовал: поднял сайт дома, через неделю словил атаку. Не какую-то терабитную историю — всего 2 Гбит UDP flood. Его домашний роутер от провайдера просто выключился от перегрева, пытаясь обработать миллионы пакетов в секунду...
