/ GitLab Critical Security Release: 15.3.1, 15.2.3, 15.1.5

...
These versions contain important security fixes, and we strongly recommend that all GitLab installations be upgraded to one of these versions immediately. GitLab.com is already running the patched version.
...

https://about.gitlab.com/releases/2022/08/22/critical-security-release-gitlab-15-3-1-released/

/ Bitbucket Server and Data Center Advisory 2022-08-24

Bitbucket Server and Data Center - Command injection vulnerability - CVE-2022-36804

https://confluence.atlassian.com/bitbucketserver/bitbucket-server-and-data-center-advisory-2022-08-24-1155489835.html

/ LastPass hasked through developer account

Two weeks ago, we detected some unusual activity within portions of the LastPass development environment. After initiating an immediate investigation, we have seen no evidence that this incident involved any access to customer data or encrypted password vaul...

https://blog.lastpass.com/2022/08/notice-of-recent-security-incident/

/ Mistrust Plugins You Must: A Large-Scale Study
Of Malicious Plugins In WordPress Marketplaces

https://www.usenix.org/system/files/sec22-kasturi.pdf

/ Announcing Google’s Open Source Software Vulnerability Rewards Program

bug bounty for open source from e-corp:

https://security.googleblog.com/2023/08/Announcing-Googles-Open-Source-Software-Vulnerability-Rewards-Program%20.html

Mining Node.js Vulnerabilities via Object Dependence Graph and Query

https://www.usenix.org/system/files/sec22summer_li-song.pdf

/ GitLab Critical Security Release: 15.3.2, 15.2.4 and 15.1.6

https://about.gitlab.com/releases/2022/08/30/critical-security-release-gitlab-15-3-2-released/

/ Graph-based JavaScript bug scanner discovers more than 100 zero-day vulnerabilities in Node.js libraries

https://portswigger.net/daily-swig/graph-based-javanoscript-bug-scanner-discovers-more-than-100-zero-day-vulnerabilities-in-node-js-libraries

Open SysConf 2022 - Updates: Анонс доклада
 
Привет, последний день лета не означает, что все летнее, праздничное - уходит до следующего года, скоро наступит 14 Октября и мы снова окунемся в теплую и дружественную обстановку Open SysConf'22.

Готовы стикеры, пару подарков и конечно несколько тем докладов, один из которых хочу презентовать вам:

— Автор: @novitoll - автор deep dive ресерчей, патчер ядра Linux и конечно же автор множества различных статей и докладов, имеет свой канал https://news.1rj.ru/str/novitoll_ch и всегда старается шарить полезную инфу людям, в том числе и на Open SysConf'ах

— Доклад: Практический опыт с 4G, 5G
— Кратко о докладе: Кодим Rx, Tx функционалы на С, описывая теорию (OFDM/SC-OFDM демодуляция, логические и транспорт каналы 4G, 5G) и подводные камни при имплементации. Анализируем трафик.)

Скажу от себя, все технические детали, а их будет очень много будут представлены в доступном и демонстрируемом виде.

В общем дорогой друг, не теряйся:
- https://sysconf.io
- 14 Октября, с 11:00 до 20:00, Алматы
- И просто для галочки, не в службу, а в дружбу, как посетитель зачекинься в этой форме.

Всем добра. Peace ✌️.
 

Открытые практикумы DevOps, Linux, Networks, TeamLead, Golang (расписание на Сентябрь)
 
• 6 сентября Devops: Docker. Основы - Сборка образов и сеть
• 7 сентября Linux: Регулярные выражения
• 8 сентября TeamLead: Метрики, которые мы заслужили
• 13 сентября DevOps: Подходы управления Devops командой
• 14 сентября Linux: Как правильно писать кросс-платформенные скрипты на shell
• 15 сентября Golang: Unit-тестирование. Зачем и почему?
• 20 сентября DevOps: Деплой докер приложений через ansible
• 21 сентября Linux: Скрипты bash
• 22 сентября Golang: Собеседование в зарубежную компанию для go разработчиков
• 27 сентября DevOps by Rebrain
• 28 сентября Linux: Прокси-сервер
• 29 сентября Networks: Резервирование маршрутов в пределах автономной системы

Программы практикумов Здесь

P.S. Запись практикума "Docker-compose и как работает сеть в докере" в подарок за регистрацию

/ Vulnerability in TikTok Android app could lead to one-click account hijacking

…high-severity vulnerability in the TikTok Android application, which could have allowed attackers to compromise users’ accounts with a single click…

- https://www.microsoft.com/security/blog/2022/08/31/vulnerability-in-tiktok-android-app-could-lead-to-one-click-account-hijacking/

/ Samsung data breach from unauthorised access

https://www.samsung.com/us/support/securityresponsecenter/

/ Reinschauer - A PoC to remotely control Windows machines over Websockets.

https://github.com/ps1337/reinschauer

/ EvilProxy Phishing-As-A-Service With MFA Bypass Emerged In Dark Web

https://resecurity.com/blog/article/evilproxy-phishing-as-a-service-with-mfa-bypass-emerged-in-dark-web

/ SafeBreach Labs Researchers Uncover New Remote Access Trojan (RAT)

https://www.safebreach.com/resources/blog/remote-access-trojan-coderat/

/ Sharkbot is back in Google Play

fake Android cleaner and more, technical review:

https://blog.fox-it.com/2022/09/02/sharkbot-is-back-in-google-play/

/ Peter Eckersley, tech activist and founder of Let's Encrypt, dies at 43 🙏

https://www.techspot.com/news/95870-peter-eckersley-tech-activist-founder-encrypt-dies-43.html

Open SysConf 2022 - будут уязвимости, ресерчи и не только
 
Привет, случайности не случайны, наше внимание, это такой же ресурс, как и наши поступки и действия, а уязвимости есть не только в информационных системах. Каждый из этих аспектов будет затронут на Open SysConf'22 - будут уязвимости, ресерчи, взломы и конечно open source.

Еще несколько тем докладов на 14 Октября:
- Обход DEP (Data Execution Prevention)
- Ansible AWX by Oracle
- История одного CVE

DEP vs ROP / Обход DEP (Data Execution Prevention)
- Автор: @Sh3lldon. Reverse engineer - binary exploitation expert. Windows Kernel/Driver/User Mode Exploit Developer. Студент 3 курса.
- Краткое описание: Обход DEP (Data Execution Prevention) с помощью ROP (Return Oriented Programming) chain, а также выполнения meterpreter шелкода.

От себя: Пытливый и молодой ум, что может быть лучше, @Sh3lldon на Open SysConf'22 может поделиться в том числе про ревресы vulnserver-a, дебаги и много чего еще про переполнение буфера.

Так что ждем тебя ув. <username>:
- https://sysconf.io

Peace ✌️

DevSecOps vs SecDevOps

What’s difference?:

https://www.acunetix.com/blog/web-security-zone/devsecops-vs-secdevops/