#иТакСойдет
Size: a a a
2019 August 18
У кого-то слишком много свободного времени для этой дичи.
Зачем нам стандарты?
2019 August 19
Глубокая очистка.
Сколько работаю в IT, юзвери не перестают удивлять.
2019 August 20
#иТакСойдет от подписчика.
Юзверь попытался высушить свой ноутбук с помощью тепловой пушки.
В Webmin исправлена критическая уязвимость.
В Webmin, популярном решении для системного администрирования Unix-систем (таких как Linux, FreeBSD или OpenBSD) был обнаружен бэкдор. При этом проблемные сборки версий от 1.882 до 1.921 были доступны для загрузки через официальный сайт и Sourceforge более года. GitHub проблема не коснулась.
Впервые о проблеме стало известно 10 августа нынешнего года на конференции DEF CON. Исследователь безопасности Ёзкан Мустафа Аккуш (Özkan Mustafa Akkuş) рассказал о ней во время своего выступления, предварительно не уведомив разработчиков Webmin. Разработчикам стало известно о проблеме только 17 августа, когда они увидели обсуждение уязвимости в Сети. Идентификатор CVE (CVE-2019-15107) был присвоен ей 15 августа.
Уязвимость позволяет внедрять команды до прохождения аутентификации. Проблема связана с использованием qx// в одном из вызовов функции &unix_crypt (строка password_change.cgi:). Поскольку qx// равнозначен открывающим кавычкам в Perl, все данные в // будут запускаться в оболочке.
Уязвимость существует только при определенных настройках конфигурации ПО на Perl – если политики истечения срока действия пароля Webmin -> Webmin Configuration -> Authentication -> Password установлены на Prompt users with expired passwords to enter a new one («подсказывать пользователю с истекшим паролем ввести новый»). Эта опция не установлена по умолчанию, но в случае, если пользователь сам ее установил, возможно удаленное выполнение кода.
Итог: Бэкдор был обнаружен в версиях от 1.882 до 1.921, распространявшихся через официальный сайт и Sourceforge. 18 августа 2019 года разработчики Webmin представили версию 1.930, удаляющую бэкдор. Всем пользователем рекомендовано обновиться как можно скорее. Те, кто работает с версиями от 1.900 до 1.920, также могут открыть /etc/webmin/miniserv.conf, удалить строку passwd_mode= line, а затем запустить /etc/webmin/restart.
https://thehackernews.com/2019/08/webmin-vulnerability-hacking.html
В Webmin, популярном решении для системного администрирования Unix-систем (таких как Linux, FreeBSD или OpenBSD) был обнаружен бэкдор. При этом проблемные сборки версий от 1.882 до 1.921 были доступны для загрузки через официальный сайт и Sourceforge более года. GitHub проблема не коснулась.
Впервые о проблеме стало известно 10 августа нынешнего года на конференции DEF CON. Исследователь безопасности Ёзкан Мустафа Аккуш (Özkan Mustafa Akkuş) рассказал о ней во время своего выступления, предварительно не уведомив разработчиков Webmin. Разработчикам стало известно о проблеме только 17 августа, когда они увидели обсуждение уязвимости в Сети. Идентификатор CVE (CVE-2019-15107) был присвоен ей 15 августа.
Уязвимость позволяет внедрять команды до прохождения аутентификации. Проблема связана с использованием qx// в одном из вызовов функции &unix_crypt (строка password_change.cgi:). Поскольку qx// равнозначен открывающим кавычкам в Perl, все данные в // будут запускаться в оболочке.
Уязвимость существует только при определенных настройках конфигурации ПО на Perl – если политики истечения срока действия пароля Webmin -> Webmin Configuration -> Authentication -> Password установлены на Prompt users with expired passwords to enter a new one («подсказывать пользователю с истекшим паролем ввести новый»). Эта опция не установлена по умолчанию, но в случае, если пользователь сам ее установил, возможно удаленное выполнение кода.
Итог: Бэкдор был обнаружен в версиях от 1.882 до 1.921, распространявшихся через официальный сайт и Sourceforge. 18 августа 2019 года разработчики Webmin представили версию 1.930, удаляющую бэкдор. Всем пользователем рекомендовано обновиться как можно скорее. Те, кто работает с версиями от 1.900 до 1.920, также могут открыть /etc/webmin/miniserv.conf, удалить строку passwd_mode= line, а затем запустить /etc/webmin/restart.
https://thehackernews.com/2019/08/webmin-vulnerability-hacking.html
Not great, not terrible.
Глава Huawei заявил, что компания находится на грани жизни и смерти.
https://www.bloomberg.com/news/articles/2019-08-20/huawei-founder-sees-live-or-die-moment-from-u-s-uncertainty
Вечером 19 августа США продлила временную лицензию Huawei на сотрудничество с американскими фирмами. Это позволит американским компаниям работать с китайским производителем до 18 ноября 2019 года. Как подчеркнул министр торговли США Уилбур Росс, сейчас страна слишком зависима от продукции Huawei. Также он призвал граждан отказаться от их техники.
Несмотря на тяжёлое положение, глава Huawei выразил уверенность, что компания продолжит развиваться. Он отметил, что действия США не нанесут ей серьёзного ущерба и корпорация может продолжать развиваться без сотрудничества с американскими партнёрами. Он возлагает надежды на развитие собственных сервисов и технологий.
Глава Huawei заявил, что компания находится на грани жизни и смерти.
https://www.bloomberg.com/news/articles/2019-08-20/huawei-founder-sees-live-or-die-moment-from-u-s-uncertainty
Вечером 19 августа США продлила временную лицензию Huawei на сотрудничество с американскими фирмами. Это позволит американским компаниям работать с китайским производителем до 18 ноября 2019 года. Как подчеркнул министр торговли США Уилбур Росс, сейчас страна слишком зависима от продукции Huawei. Также он призвал граждан отказаться от их техники.
Несмотря на тяжёлое положение, глава Huawei выразил уверенность, что компания продолжит развиваться. Он отметил, что действия США не нанесут ей серьёзного ущерба и корпорация может продолжать развиваться без сотрудничества с американскими партнёрами. Он возлагает надежды на развитие собственных сервисов и технологий.
2019 August 21
#иТакСойдет
Гений
Трудно почувствовать эту боль.
Выпуск новой стабильной ветки Tor 0.4.1
https://blog.torproject.org/new-release-tor-0415
Хорошие новости. Тор незаменим, ведь к сожалению все больше стран где интернет ограничивают.
https://blog.torproject.org/new-release-tor-0415
Хорошие новости. Тор незаменим, ведь к сожалению все больше стран где интернет ограничивают.
Сегодня с небольшим (14 дней) опозданием Google и Mozilla заблокируют сертификат безопасности правительства Казахстана. Власть обвинили в слежке за гражданами (сертификат позволяет перехватывать данные и пароли 18 миллионов граждан Казахстана).
Гугл:
https://security.googleblog.com/2019/08/protecting-chrome-users-in-kazakhstan.html
Мозила:
https://blog.mozilla.org/blog/2019/08/21/mozilla-takes-action-to-protect-users-in-kazakhstan/
Почему с опозданием? 7 августа сообщили о том, что власти Казахстана остановили внедрение сертификата и вроде как это был хитрый бета-тест.
https://www.reuters.com/article/us-kazakhstan-internet-surveillance/kazakhstan-halts-introduction-of-internet-surveillance-system-idUSKCN1UX0VD
Другим странам на заметку, такие ловкие меры более не пройдут, гугл с мозилой высказались.
Гугл:
https://security.googleblog.com/2019/08/protecting-chrome-users-in-kazakhstan.html
Мозила:
https://blog.mozilla.org/blog/2019/08/21/mozilla-takes-action-to-protect-users-in-kazakhstan/
Почему с опозданием? 7 августа сообщили о том, что власти Казахстана остановили внедрение сертификата и вроде как это был хитрый бета-тест.
https://www.reuters.com/article/us-kazakhstan-internet-surveillance/kazakhstan-halts-introduction-of-internet-surveillance-system-idUSKCN1UX0VD
Другим странам на заметку, такие ловкие меры более не пройдут, гугл с мозилой высказались.
2019 August 22
Madskillz от подписчика
#промо_пост
Программисты очень загадочные. Ты ему вопрос, он закатывает глазки и отправляет читать стек оверфлоу.
Вот эти ребята сбивают спесь с программистов и объясняют сложные программерские штуки простым языком. Программирование без снобизма, для нормальных людей: https://t.me/thecodemedia
Программисты очень загадочные. Ты ему вопрос, он закатывает глазки и отправляет читать стек оверфлоу.
Вот эти ребята сбивают спесь с программистов и объясняют сложные программерские штуки простым языком. Программирование без снобизма, для нормальных людей: https://t.me/thecodemedia
