Release 28.12.2023

* Glossary: added the new term chat-bot * Security: added 3 new security bulletins. * Translations updated. * Fixes and improvements.
yandex-cloud · Dec 28, 2023 · e6c272e · e6c272e
1 parent 812232a
commit e6c272e
Show file tree

Hide file tree

Showing 182 changed files with 1,479 additions and 920 deletions.
diff --git a/en/_includes/security/security-bulletins/cve-2023-23583.md b/en/_includes/security/security-bulletins/cve-2023-23583.md
@@ -0,0 +1,45 @@
+## 28/12/2023: CVE-2023-23583 Reptar vulnerability in Ice Lake (IPU Out-of-Band) {#CVE-2023-23583}
+
+CVE ID: CVE-2023-23583
+
+CVE link:
+
+<https://nvd.nist.gov/vuln/detail/CVE-2023-5043>
+
+### Summary {#brief-description}
+
+The Reptar vulnerability affects Intel-based server systems, and the manufacturer has released the necessary patches. The {{ yandex-cloud }} infrastructure has been updated.
+
+The vulnerability potentially led to privilege escalation.
+
+### Technologies affected {#technologies-affected}
+
+Intel (microcode)
+
+### Vulnerable products and versions {#vulnerable-products-and-versions}
+
+<https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00950.html>
+
+<https://www.intel.com/content/www/us/en/developer/topic-technology/software-security-guidance/processors-affected-consolidated-product-cpu-model.html>
+
+### Base vector and severity level of the vulnerability according to CVSS v.3.0 {#severity-level}
+
+7.8 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
+
+### Recommendations for vulnerability detection and additional materials {#recommendations-for-vulnerability-detection}
+
+Procedure for checking the vulnerability and supporting materials (PoC code, video demonstration or others):
+
+<https://lock.cmpxchg8b.com/reptar.html>
+
+Update or patch version:
+
+<https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00950.html>
+
+### Safe version of vulnerable product or patch {#safe-version}
+
+The vulnerability has been fixed as of version 1.9.0.
+
+### Are cloud services affected? {#impact-on-yandex-cloud-services}
+
+No.
diff --git a/en/_includes/security/security-bulletins/cve-2023-44487.md b/en/_includes/security/security-bulletins/cve-2023-44487.md
@@ -0,0 +1,70 @@
+## 28/12/2023: CVE-2023-44487 HTTP/2 Rapid Reset DDoS Attack {#CVE-2023-44487}
+
+CVE ID: CVE-2023-44487
+
+CVE link:
+
+<https://nvd.nist.gov/vuln/detail/CVE-2023-44487>
+
+### Original report {#original-report}
+
+<https://gist.github.com/adulau/7c2bfb8e9cdbe4b35a5e131c66a0c088>
+
+### Summary {#brief-description}
+
+{{ yandex-cloud }} has implemented all necessary measures against CVE-2023-44487 known as _HTTP/2 Rapid Reset_.
+
+This vulnerability is related to the HTTP/2 protocol. Under certain conditions, can be exploited to execute a denial-of-service attack on webservers such as NGINX, envoy and other products that implement the server-side portion of the HTTP/2 specification. To protect your systems from this attack, we’re recommending an immediate update to your web server.
+
+### Technologies affected {#technologies-affected}
+
+NGINX, HTTP/2
+
+### Vulnerable products and versions {#vulnerable-products-and-versions}
+
+* NGINX Open Source 1.x: 1.25.2 - 1.9.5
+* org.apache.tomcat.embed:tomcat-embed-core package, versions [,8.5.94], [9.0.0,9.0.81], [10.0.0,10.1.14], [11.0.0-M3,11.0.0-M12]
+* NGINX Ingress Controller
+   * 3.x 3.0.0 - 3.3.0 3.3.1
+   * 2.x 2.0.0 - 2.4.2
+   * 1.x 1.12.2 - 1.12.5
+* Envoy 1.27.1, 1.26.5, 1.25.10 or 1.24.10
+* NGINX Plus R2x R25 - R30
+* BIG-IP (all modules) 17.x 17.1.0
+* BIG-IP Next (all modules) 20.x 20.0.1
+* BIG-IP Next SPK 1.x 1.5.0 - 1.8.2
+* <https://my.f5.com/manage/s/article/K000137106>
+
+### Base vector and severity level of the vulnerability according to CVSS v.3.0 {#severity-level}
+
+CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
+
+### Recommendations for vulnerability detection and additional materials {#recommendations-for-vulnerability-detection}
+
+Procedure for checking the vulnerability and supporting materials (PoC code, video demonstration or others):
+
+<https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/>
+
+<https://github.com/envoyproxy/envoy/security/advisories/GHSA-jhv4-f7mr-xx76>
+
+<https://security.snyk.io/vuln/SNYK-JAVA-ORGAPACHETOMCATEMBED-5953331>
+
+Update or patch version:
+
+* Upgrade org.apache.tomcat.embed:tomcat-embed-core to version 8.5.94, 9.0.81, 10.1.14, 11.0.0-M12 or higher.
+
+* Upgrade envoyproxy/envoy to version 1.24.11, 1.25.10, 1.26.5, 1.27.1 or higher.
+
+* Use http2_max_concurrent_streams directive NGINX
+
+   <https://www.nginx.com/blog/http-2-rapid-reset-attack-impacting-f5-nginx-products/>
+
+* Use [{{ sws-full-name }}](https://cloud.yandex.ru/services/smartwebsecurity)
+
+### Safe version of vulnerable product or patch {#safe-version}
+
+Not yet.
+
+### Are cloud services affected? {#impact-on-yandex-cloud-services}
+
+No.
diff --git a/en/_includes/security/security-bulletins/cve-2023-46850.md b/en/_includes/security/security-bulletins/cve-2023-46850.md
@@ -0,0 +1,42 @@
+## 28/12/2023: CVE-2023-46850 OpenVPN v.2.6.7 Security patch {#CVE-2023-46850}
+
+CVE IDs: CVE-2023-46849, CVE-2023-46850
+
+CVE link:
+
+<https://nvd.nist.gov/vuln/detail/CVE-2023-46849>
+<https://nvd.nist.gov/vuln/detail/CVE-2023-46850>
+
+### Original report {#original-report}
+
+<https://openvpn.net/community-downloads/>
+
+### Summary {#brief-description}
+
+CVE-2023-46850: it can lead to sending the contents of the process memory to the other side of the connection, as well as potentially to remote code execution.
+
+CVE-2023-46849: this may lead to the remote initiation of an emergency shutdown of the access server.
+
+### Technologies affected {#technologies-affected}
+
+OpenVPN
+
+### Vulnerable products and versions {#vulnerable-products-and-versions}
+
+From v2.6.0 before v2.6.6
+
+### Base vector and severity level of the vulnerability according to CVSS v.3.0 {#severity-level}
+
+Network.
+
+### Procedure for checking the vulnerability and supporting materials (PoC code, video demonstration or others) {#poc}
+
+No PoC yet.
+
+### Safe version of vulnerable product or patch {#safe-version}
+
+The vulnerability has been fixed as of version 2.6.7.
+
+### Are cloud services affected? {#impact-on-yandex-cloud-services}
+
+Yes.
diff --git a/en/_tutorials/datasphere/s3-to-datasphere.md b/en/_tutorials/datasphere/s3-to-datasphere.md
@@ -164,6 +164,7 @@ To access {{ objstorage-name }} from {{ ml-platform-name }}, you need a static k
       For more information about the `yandex_storage_bucket` resource, see the [{{ TF }} provider documentation]({{ tf-provider-link }}/storage_bucket).
 
    1. Create resources:
+
       {% include [terraform-validate-plan-apply](../../_tutorials/terraform-validate-plan-apply.md) %}
 
       {{ TF }} will create all the required resources. You can check the new resources and their configuration using the [management console]({{ link-console-main }}).

diff --git a/en/security/security-bulletins/index.md b/en/security/security-bulletins/index.md
@@ -2,6 +2,12 @@
 
 This page contains security recommendations from {{ yandex-cloud }} experts.
 
+{% include [28.12.2023 — CVE-2023-44487 HTTP/2 Rapid Reset Attack](../../_includes/security/security-bulletins/cve-2023-44487.md) %}
+
+{% include [28.12.2023 — CVE-2023-23583 Reptar in Ice Lake IPU Out-of-Band](../../_includes/security/security-bulletins/cve-2023-23583.md) %}
+
+{% include [28.12.2023 — CVE-2023-46850 OpenVPN v.2.6.7 Security patch](../../_includes/security/security-bulletins/cve-2023-46850.md) %}
+
 {% include [3.11.2023 — CVE-2023-5043 Nginx ingress controller fo Kubernetes vulnerabilities](../../_includes/security/security-bulletins/cve-2023-5043.md) %}
 
 {% include [26.10.2023 — CVE-2023-3484 GitLab Security Release: 16.1.2, 16.0.7, and 15.11.11](../../_includes/security/security-bulletins/cve-2023-3484-gitlab-security-release.md) %}

diff --git a/ru/_includes/api-gateway/terraform-create.md b/ru/_includes/api-gateway/terraform-create.md
@@ -14,8 +14,8 @@
 
    ```hcl
    resource "yandex_api_gateway" "test-api-gateway" {
-     name        = "<имя API-шлюза>"
-     description = "<описание API-шлюза>"
+     name        = "<имя_API-шлюза>"
+     description = "<описание_API-шлюза>"
      labels      = {
        label       = "label"
        empty-label = ""
@@ -82,5 +82,5 @@
       После этого в указанном каталоге будут созданы все требуемые ресурсы. Проверить появление ресурсов и их настройки можно в [консоли управления]({{ link-console-main }}) или с помощью команд [CLI](../../cli/quickstart.md):
 
       ```
-      yc serverless api-gateway get <имя API-шлюза>
+      yc serverless api-gateway get <имя_API-шлюза>
       ```
diff --git a/ru/_includes/datasphere/control-compute-resources-steps.md b/ru/_includes/datasphere/control-compute-resources-steps.md
@@ -11,4 +11,4 @@
 Увеличьте вычислительные ресурсы для ячейки через интерфейс: 
 1. Нажмите кнопку с названием конфигурации в меню на вкладке ноутбука.
 1. Выберите необходимую конфигурацию.
-1. Дождитесь, когда на панели ноутбука появится статус **<Префикс конфигурации> instance is ready**.
+1. Дождитесь, когда на панели ноутбука появится статус **<префикс_конфигурации> instance is ready**.
diff --git a/ru/_includes/datasphere/dataproc-sessions.md b/ru/_includes/datasphere/dataproc-sessions.md
@@ -1,8 +1,8 @@
 В кластере {{ dataproc-name }} ваш код выполняется в [сессиях](https://livy.incubator.apache.org/docs/latest/rest-api.html#session). Сессия хранит промежуточное состояние до тех пор, пока вы не удалите ее или кластер. У каждого кластера есть сессия по умолчанию. Ее идентификатор равен идентификатору проекта.
 
 Для управления сессиями используйте следующие команды:
-* `%create_livy_session --cluster <имя кластера> --id <идентификатор сессии>` — создание сессии;
-* `%delete_livy_session --cluster <имя кластера> --id <идентификатор сессии>` — удаление сессии.
+* `%create_livy_session --cluster <имя_кластера> --id <идентификатор_сессии>` — создание сессии;
+* `%delete_livy_session --cluster <имя_кластера> --id <идентификатор_сессии>` — удаление сессии.
 
 Например, следующая команда создаст в кластере `my-new-cluster` сессию `ses1`, которая позволит каждому процессу использовать максимум 4 ядра CPU в кластере и 4 ГБ RAM (подробнее см. в [документации Spark](https://spark.apache.org/docs/latest/configuration.html)):
 

diff --git a/ru/_includes/datasphere/install-dependencies-steps.md b/ru/_includes/datasphere/install-dependencies-steps.md
@@ -3,7 +3,7 @@
 1. Напишите в ячейке ноутбука команду:
 
     ```
-    %pip install <Имя_пакета>
+    %pip install <имя_пакета>
     ```
 
     Например, установите пакет [seaborn](https://github.com/mwaskom/seaborn) для визуализации статистических данных:

diff --git a/ru/_includes/iam/iam-token-usage-examples.md b/ru/_includes/iam/iam-token-usage-examples.md
@@ -1,16 +1,16 @@
 Запишите IAM-токен в переменную с помощью CLI и используйте токен в других запросах из командной строки. Пример запроса на получение списка облаков:
 
-{% list tabs %}
+{% list tabs group=programming_language %}
 
-- Bash
+- Bash {#bash}
 
   ```bash
   export IAM_TOKEN=`yc iam create-token`
   curl -H "Authorization: Bearer ${IAM_TOKEN}" \
     https://resource-manager.{{ api-host }}/resource-manager/v1/clouds
   ```
 
-- PowerShell
+- PowerShell {#powershell}
 
   ```powershell
   $IAM_TOKEN=yc iam create-token

diff --git a/ru/_includes/kms/signature-verification-ecdsa.md b/ru/_includes/kms/signature-verification-ecdsa.md
@@ -1,6 +1,6 @@
-{% list tabs %}
+{% list tabs group=programming_language %}
 
-- Bash
+- Bash {#bash}
 
   Проверьте электронную подпись с помощью утилиты [OpenSSL](https://www.openssl.org/):
 
@@ -23,7 +23,7 @@
 
   Если подпись корректна, утилита OpenSSL вернет статус `Verified OK`.
 
-- Java
+- Java {#java}
 
   ```java
   import org.bouncycastle.jce.provider.BouncyCastleProvider;
@@ -91,7 +91,7 @@
 
   Код выполняет проверку электронной подписи на эллиптических кривых (ECDSA). Если подпись корректна, код возвращает `true`, если нет — `false`.
 
-- Go
+- Go {#go}
 
   ```golang
   import (
@@ -165,7 +165,7 @@
 
   Код выполняет проверку электронной подписи на эллиптических кривых (ECDSA). Если подпись корректна, код возвращает `true`, если нет — `false`.
 
-- Python
+- Python {#python}
 
   ```python
   import base64

diff --git a/ru/_includes/kms/signature-verification-rsa.md b/ru/_includes/kms/signature-verification-rsa.md
@@ -1,6 +1,6 @@
-{% list tabs %}
+{% list tabs group=programming_language %}
 
-- Bash
+- Bash {#bash}
 
   Проверьте электронную подпись с помощью утилиты [OpenSSL](https://www.openssl.org/):
 
@@ -25,7 +25,7 @@
 
   Если подпись корректна, утилита OpenSSL вернет статус `Verified OK`.
 
-- Java
+- Java {#java}
 
   ```java
   import org.bouncycastle.jce.provider.BouncyCastleProvider;
@@ -95,7 +95,7 @@
 
   Код выполняет проверку электронной подписи RSA. Если подпись корректна, код возвращает `true`, если нет — `false`.
 
-- Go
+- Go {#go}
 
   ```golang
   import (
@@ -164,7 +164,7 @@
 
   Код выполняет проверку электронной подписи RSA. Если подпись корректна, код возвращает `true`, если нет — `false`.
 
-- Python
+- Python {#python}
 
   ```python
   import base64

diff --git a/ru/_includes/managed-kubernetes/create-k8s-res.md b/ru/_includes/managed-kubernetes/create-k8s-res.md
@@ -4,9 +4,9 @@
 
 Создайте [кластер {{ managed-k8s-name }}](../../managed-kubernetes/concepts/index.md#kubernetes-cluster) и укажите ранее созданные [сервисные аккаунты](../../iam/concepts/users/service-accounts.md) во флагах `--service-account-id` и `--node-service-account-id`.
 
-{% list tabs %}
+{% list tabs group=programming_language %}
 
-- Bash
+- Bash {#bash}
 
   Выполните команду:
 
@@ -21,7 +21,7 @@
     --node-service-account-id $NODE_SA_ID
   ```
 
-- PowerShell
+- PowerShell {#powershell}
 
   Выполните команду:
 
@@ -48,9 +48,9 @@
       * В столбце **{{ ui-key.yacloud.k8s.cluster.overview.label_health }}** должно быть указано `Healthy`.
 1. Создайте [группу узлов {{ managed-k8s-name }}](../../managed-kubernetes/concepts/index.md#node-group):
 
-   {% list tabs %}
+   {% list tabs group=programming_language %}
 
-   - Bash
+   - Bash {#bash}
 
      ```bash
      yc managed-kubernetes node-group create \
@@ -66,7 +66,7 @@
        --async
      ```
 
-   - PowerShell
+   - PowerShell {#powershell}
 
      ```shell script
      > yc managed-kubernetes node-group create `

diff --git a/ru/_includes/managed-kubernetes/node-group-migration.md b/ru/_includes/managed-kubernetes/node-group-migration.md
@@ -17,7 +17,7 @@
       * `--name` — название подсети.
       * `--zone` — зона доступности: `{{ region-id }}-a`, `{{ region-id }}-b` или `{{ region-id }}-d`.
       * `--network-id` — идентификатор сети, в которую входит новая подсеть.
-      * `--range` — список IPv4-адресов, откуда или куда будет поступать трафик. Например, `10.0.0.0/22` или `192.168.0.0/16`. Адреса должны быть уникальными внутри сети. Минимальный размер подсети - `/28`, а максимальный размер подсети - `/16`. Поддерживается только IPv4.
+      * `--range` — список IPv4-адресов, откуда или куда будет поступать трафик. Например, `10.0.0.0/22` или `192.168.0.0/16`. Адреса должны быть уникальными внутри сети. Минимальный размер подсети — `/28`, а максимальный размер подсети — `/16`. Поддерживается только IPv4.
 
    1. Перенесите группу узлов:
 
@@ -79,7 +79,7 @@
       * `name` — название подсети.
       * `zone` — зона доступности, в которую вы переносите группу узлов: `{{ region-id }}-a`, `{{ region-id }}-b` или `{{ region-id }}-d`.
       * `network_id` — идентификатор сети, в которую входит новая подсеть.
-      * `v4_cidr_blocks` — список IPv4-адресов, откуда или куда будет поступать трафик. Например, `10.0.0.0/22` или `192.168.0.0/16`. Адреса должны быть уникальными внутри сети. Минимальный размер подсети - `/28`, а максимальный размер подсети - `/16`. Поддерживается только IPv4.
+      * `v4_cidr_blocks` — список IPv4-адресов, откуда или куда будет поступать трафик. Например, `10.0.0.0/22` или `192.168.0.0/16`. Адреса должны быть уникальными внутри сети. Минимальный размер подсети — `/28`, а максимальный размер подсети — `/16`. Поддерживается только IPv4.
       * `subnet_ids` — идентификатор новой подсети.
 
    1. Проверьте корректность конфигурационного файла.