Forwarded from Sysadmin Tools 🇺🇦
Kubernetes cluster security assessment with kube-bench and kube-hunter
https://blog.flant.com/kubernetes-security-with-kube-bench-and-kube-hunter
#k8s #kubernetes #security #kubebench #kubehunter
https://blog.flant.com/kubernetes-security-with-kube-bench-and-kube-hunter
#k8s #kubernetes #security #kubebench #kubehunter
Forwarded from CatOps
AWS launches its own version of StackOverflow - AWS re:Post.
It's meant to be a community-driven Q&A service. Although, there are already questions there. Some of them even have answers.
Well, let's wish good luck to AWS. TBH, it would be nice to have some sort of Q&A service with official answers from AWS developers.
#aws
It's meant to be a community-driven Q&A service. Although, there are already questions there. Some of them even have answers.
Well, let's wish good luck to AWS. TBH, it would be nice to have some sort of Q&A service with official answers from AWS developers.
#aws
Amazon
AWS re:Post – A Reimagined Q&A Experience for the AWS Community | Amazon Web Services
The internet is an excellent resource for well-intentioned guidance and answers. However, it can sometimes be hard to tell if what you’re reading is, in fact, advice you should follow. Also, some users have a preference toward using a single, trusted online…
Forwarded from Эрудиция | Digital и бизнес образование
👁🗨 DevOps с нуля
DevOps-инженер — это не только разработчик, но еще и человек с навыками организации командной работы, оптимизатор процессов.
Как стать DevOps инженером? DevOps что нужно знать? Какие минимальными навыками должен обладать DevOps инженер? Ответы на эти и на многие другие вопросы найдете в этих материалах.
〰️ DevOps с нуля. Смотреть.
〰️ Как стать DevOps инженером с нуля. Смотреть.
〰️ Что должен знать DevOps инженер junior. Смотреть.
〰️ С чего начать и что делать дальше. Смотреть.
DevOps-инженер — это не только разработчик, но еще и человек с навыками организации командной работы, оптимизатор процессов.
Как стать DevOps инженером? DevOps что нужно знать? Какие минимальными навыками должен обладать DevOps инженер? Ответы на эти и на многие другие вопросы найдете в этих материалах.
〰️ DevOps с нуля. Смотреть.
〰️ Как стать DevOps инженером с нуля. Смотреть.
〰️ Что должен знать DevOps инженер junior. Смотреть.
〰️ С чего начать и что делать дальше. Смотреть.
Сейчас только обнаружил, что вышла 26-ая версия технологического радара
https://www.thoughtworks.com/content/dam/thoughtworks/documents/radar/2022/03/tr_technology_radar_vol_26_en.pdf
на сайте
https://www.thoughtworks.com/radar
https://www.thoughtworks.com/content/dam/thoughtworks/documents/radar/2022/03/tr_technology_radar_vol_26_en.pdf
на сайте
https://www.thoughtworks.com/radar
👍1
Forwarded from Gebutcher
CVE-2022-22963 SpringShell 0day RCE в ядре Java Spring
Исследователи обнаружили еще одну опасную уязвимость, которая может нанести серьезный ущерб тоннам приложений. На данный момент нет идентификатора CVE для этой уязвимости, но многие уже прозвали ее SpringShell. Уязвимость существует в ядре Spring с версией JDK, большей или равной 9.0.
Эксплойт был слит китайским исследователем безопасности, который после публикации и/или утечки удалил свой аккаунт в Твиттере. Ознакомиться и проверить PoC можно по ссылке ниже.
PoC Payload:
spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("xcalc")
https://github.com/craig/SpringCore0day
#web #rce #soft #infosec #cybersecurity #pentesting #cve
Исследователи обнаружили еще одну опасную уязвимость, которая может нанести серьезный ущерб тоннам приложений. На данный момент нет идентификатора CVE для этой уязвимости, но многие уже прозвали ее SpringShell. Уязвимость существует в ядре Spring с версией JDK, большей или равной 9.0.
Эксплойт был слит китайским исследователем безопасности, который после публикации и/или утечки удалил свой аккаунт в Твиттере. Ознакомиться и проверить PoC можно по ссылке ниже.
PoC Payload:
spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("xcalc")
https://github.com/craig/SpringCore0day
#web #rce #soft #infosec #cybersecurity #pentesting #cve
Forwarded from LeakInfo
CVE-2022-1162
В корректирующих обновлениях платформы для организации совместной разработки GitLab 14.7.7, 14.8.5 и 14.9.2 устранена критическая уязвимость (CVE-2022-1162), связанная с установкой предопределённых (hardcoded) паролей для учётных записей, зарегистрированных с использованием провайдера OmniAuth (OAuth, LDAP и SAML).
Уязвимость потенциально позволяет атакующему получить доступ к учётной записи. Всем пользователям рекомендуется срочно установить обновление. Детали проблемы пока не раскрываются.
Уязвимость в GitLab, позволяющая захватить аккаунты, авторизированные через OAuth, LDAP и SAML
https://www.opennet.ru/opennews/art.shtml?num=56948
GitLab Critical Security Release: 14.9.2, 14.8.5, and 14.7.7
https://about.gitlab.com/releases/2022/03/31/critical-security-release-gitlab-14-9-2-released/
#news #cybersecurity #cve #gitlab
В корректирующих обновлениях платформы для организации совместной разработки GitLab 14.7.7, 14.8.5 и 14.9.2 устранена критическая уязвимость (CVE-2022-1162), связанная с установкой предопределённых (hardcoded) паролей для учётных записей, зарегистрированных с использованием провайдера OmniAuth (OAuth, LDAP и SAML).
Уязвимость потенциально позволяет атакующему получить доступ к учётной записи. Всем пользователям рекомендуется срочно установить обновление. Детали проблемы пока не раскрываются.
Уязвимость в GitLab, позволяющая захватить аккаунты, авторизированные через OAuth, LDAP и SAML
https://www.opennet.ru/opennews/art.shtml?num=56948
GitLab Critical Security Release: 14.9.2, 14.8.5, and 14.7.7
https://about.gitlab.com/releases/2022/03/31/critical-security-release-gitlab-14-9-2-released/
#news #cybersecurity #cve #gitlab
www.opennet.ru
Уязвимость в GitLab, позволяющая захватить аккаунты, авторизированные через OAuth, LDAP и SAML
В корректирующих обновлениях платформы для организации совместной разработки GitLab 14.7.7, 14.8.5 и 14.9.2 устранена критическая уязвимость (CVE-2022-1162), связанная с установкой предопределённых (hardcoded) паролей для учётных записей, зарегистрированных…
https://github.blog/2022-04-15-security-alert-stolen-oauth-user-tokens/
и соответствующие страницы по интеграциям
https://status.heroku.com/incidents/2413
https://blog.travis-ci.com/2022-04-17-securitybulletin
и соответствующие страницы по интеграциям
https://status.heroku.com/incidents/2413
https://blog.travis-ci.com/2022-04-17-securitybulletin
The GitHub Blog
Security alert: Attack campaign involving stolen OAuth user tokens issued to two third-party integrators
On April 12, GitHub Security began an investigation that uncovered evidence that an attacker abused stolen OAuth user tokens issued to two third-party OAuth integrators, Heroku and Travis-CI, to download data from dozens of organizations, including npm. Read…