This media is not supported in your browser
VIEW IN TELEGRAM
Потом ты тонешь, потому что не понимаешь что добрался до конца. А вообще, конечно круто.
В Webmin исправлена критическая уязвимость.
В Webmin, популярном решении для системного администрирования Unix-систем (таких как Linux, FreeBSD или OpenBSD) был обнаружен бэкдор. При этом проблемные сборки версий от 1.882 до 1.921 были доступны для загрузки через официальный сайт и Sourceforge более года. GitHub проблема не коснулась.
Впервые о проблеме стало известно 10 августа нынешнего года на конференции DEF CON. Исследователь безопасности Ёзкан Мустафа Аккуш (Özkan Mustafa Akkuş) рассказал о ней во время своего выступления, предварительно не уведомив разработчиков Webmin. Разработчикам стало известно о проблеме только 17 августа, когда они увидели обсуждение уязвимости в Сети. Идентификатор CVE (CVE-2019-15107) был присвоен ей 15 августа.
Уязвимость позволяет внедрять команды до прохождения аутентификации. Проблема связана с использованием qx// в одном из вызовов функции &unix_crypt (строка password_change.cgi:). Поскольку qx// равнозначен открывающим кавычкам в Perl, все данные в // будут запускаться в оболочке.
Уязвимость существует только при определенных настройках конфигурации ПО на Perl – если политики истечения срока действия пароля Webmin -> Webmin Configuration -> Authentication -> Password установлены на Prompt users with expired passwords to enter a new one («подсказывать пользователю с истекшим паролем ввести новый»). Эта опция не установлена по умолчанию, но в случае, если пользователь сам ее установил, возможно удаленное выполнение кода.
Итог: Бэкдор был обнаружен в версиях от 1.882 до 1.921, распространявшихся через официальный сайт и Sourceforge. 18 августа 2019 года разработчики Webmin представили версию 1.930, удаляющую бэкдор. Всем пользователем рекомендовано обновиться как можно скорее. Те, кто работает с версиями от 1.900 до 1.920, также могут открыть /etc/webmin/miniserv.conf, удалить строку passwd_mode= line, а затем запустить /etc/webmin/restart.
https://thehackernews.com/2019/08/webmin-vulnerability-hacking.html
В Webmin, популярном решении для системного администрирования Unix-систем (таких как Linux, FreeBSD или OpenBSD) был обнаружен бэкдор. При этом проблемные сборки версий от 1.882 до 1.921 были доступны для загрузки через официальный сайт и Sourceforge более года. GitHub проблема не коснулась.
Впервые о проблеме стало известно 10 августа нынешнего года на конференции DEF CON. Исследователь безопасности Ёзкан Мустафа Аккуш (Özkan Mustafa Akkuş) рассказал о ней во время своего выступления, предварительно не уведомив разработчиков Webmin. Разработчикам стало известно о проблеме только 17 августа, когда они увидели обсуждение уязвимости в Сети. Идентификатор CVE (CVE-2019-15107) был присвоен ей 15 августа.
Уязвимость позволяет внедрять команды до прохождения аутентификации. Проблема связана с использованием qx// в одном из вызовов функции &unix_crypt (строка password_change.cgi:). Поскольку qx// равнозначен открывающим кавычкам в Perl, все данные в // будут запускаться в оболочке.
Уязвимость существует только при определенных настройках конфигурации ПО на Perl – если политики истечения срока действия пароля Webmin -> Webmin Configuration -> Authentication -> Password установлены на Prompt users with expired passwords to enter a new one («подсказывать пользователю с истекшим паролем ввести новый»). Эта опция не установлена по умолчанию, но в случае, если пользователь сам ее установил, возможно удаленное выполнение кода.
Итог: Бэкдор был обнаружен в версиях от 1.882 до 1.921, распространявшихся через официальный сайт и Sourceforge. 18 августа 2019 года разработчики Webmin представили версию 1.930, удаляющую бэкдор. Всем пользователем рекомендовано обновиться как можно скорее. Те, кто работает с версиями от 1.900 до 1.920, также могут открыть /etc/webmin/miniserv.conf, удалить строку passwd_mode= line, а затем запустить /etc/webmin/restart.
https://thehackernews.com/2019/08/webmin-vulnerability-hacking.html
Not great, not terrible.
Глава Huawei заявил, что компания находится на грани жизни и смерти.
https://www.bloomberg.com/news/articles/2019-08-20/huawei-founder-sees-live-or-die-moment-from-u-s-uncertainty
Вечером 19 августа США продлила временную лицензию Huawei на сотрудничество с американскими фирмами. Это позволит американским компаниям работать с китайским производителем до 18 ноября 2019 года. Как подчеркнул министр торговли США Уилбур Росс, сейчас страна слишком зависима от продукции Huawei. Также он призвал граждан отказаться от их техники.
Несмотря на тяжёлое положение, глава Huawei выразил уверенность, что компания продолжит развиваться. Он отметил, что действия США не нанесут ей серьёзного ущерба и корпорация может продолжать развиваться без сотрудничества с американскими партнёрами. Он возлагает надежды на развитие собственных сервисов и технологий.
Глава Huawei заявил, что компания находится на грани жизни и смерти.
https://www.bloomberg.com/news/articles/2019-08-20/huawei-founder-sees-live-or-die-moment-from-u-s-uncertainty
Вечером 19 августа США продлила временную лицензию Huawei на сотрудничество с американскими фирмами. Это позволит американским компаниям работать с китайским производителем до 18 ноября 2019 года. Как подчеркнул министр торговли США Уилбур Росс, сейчас страна слишком зависима от продукции Huawei. Также он призвал граждан отказаться от их техники.
Несмотря на тяжёлое положение, глава Huawei выразил уверенность, что компания продолжит развиваться. Он отметил, что действия США не нанесут ей серьёзного ущерба и корпорация может продолжать развиваться без сотрудничества с американскими партнёрами. Он возлагает надежды на развитие собственных сервисов и технологий.
Выпуск новой стабильной ветки Tor 0.4.1
https://blog.torproject.org/new-release-tor-0415
Хорошие новости. Тор незаменим, ведь к сожалению все больше стран где интернет ограничивают.
https://blog.torproject.org/new-release-tor-0415
Хорошие новости. Тор незаменим, ведь к сожалению все больше стран где интернет ограничивают.
blog.torproject.org
New release: Tor 0.4.1.5 | Tor Blog
After months of work, we have a new stable release series! If you build Tor from source, you can download the source code for 0.4.1.5 on the website. Packages should be available within the next several weeks, with a new Tor Browser in early September.
This…
This…
Сегодня с небольшим (14 дней) опозданием Google и Mozilla заблокируют сертификат безопасности правительства Казахстана. Власть обвинили в слежке за гражданами (сертификат позволяет перехватывать данные и пароли 18 миллионов граждан Казахстана).
Гугл:
https://security.googleblog.com/2019/08/protecting-chrome-users-in-kazakhstan.html
Мозила:
https://blog.mozilla.org/blog/2019/08/21/mozilla-takes-action-to-protect-users-in-kazakhstan/
Почему с опозданием? 7 августа сообщили о том, что власти Казахстана остановили внедрение сертификата и вроде как это был хитрый бета-тест.
https://www.reuters.com/article/us-kazakhstan-internet-surveillance/kazakhstan-halts-introduction-of-internet-surveillance-system-idUSKCN1UX0VD
Другим странам на заметку, такие ловкие меры более не пройдут, гугл с мозилой высказались.
Гугл:
https://security.googleblog.com/2019/08/protecting-chrome-users-in-kazakhstan.html
Мозила:
https://blog.mozilla.org/blog/2019/08/21/mozilla-takes-action-to-protect-users-in-kazakhstan/
Почему с опозданием? 7 августа сообщили о том, что власти Казахстана остановили внедрение сертификата и вроде как это был хитрый бета-тест.
https://www.reuters.com/article/us-kazakhstan-internet-surveillance/kazakhstan-halts-introduction-of-internet-surveillance-system-idUSKCN1UX0VD
Другим странам на заметку, такие ловкие меры более не пройдут, гугл с мозилой высказались.
Google Online Security Blog
Protecting Chrome users in Kazakhstan
Posted by Andrew Whalley, Chrome Security When making secure connections, Chrome trusts certificates that have been locally installed on a...
#промо_пост
Программисты очень загадочные. Ты ему вопрос, он закатывает глазки и отправляет читать стек оверфлоу.
Вот эти ребята сбивают спесь с программистов и объясняют сложные программерские штуки простым языком. Программирование без снобизма, для нормальных людей: https://news.1rj.ru/str/thecodemedia
Программисты очень загадочные. Ты ему вопрос, он закатывает глазки и отправляет читать стек оверфлоу.
Вот эти ребята сбивают спесь с программистов и объясняют сложные программерские штуки простым языком. Программирование без снобизма, для нормальных людей: https://news.1rj.ru/str/thecodemedia
Бесплатный онлайн практикум DevOps by REBRAIN: Docker. Gitlab CI
Регистрация - http://bit.ly/2XTUy3D
Количество мест строго ограничено!
Практикум по освоению DevOps
Время проведения:
27 Августа (Вторник) в 19:00 по МСК
Что будет на практикуме?
🔹Настраиваем gitlab runners
🔹Собираем Docker образ с помощью Gitlab CI
🔹Деплоим контейнер в production
Кто ведет?
Василий Озеров - основатель агентства Fevlake (fevlake.com) и действующий Devops-инженер (опыт в Devops более 5 лет). Регулярно выступает на RootConf, DevOpsConf Russia, HighLoad.
Открытые еженедельные DevOps практикумы - https://bit.ly/2CGmm3C
Присоединяйтесь!
#промо_пост
Регистрация - http://bit.ly/2XTUy3D
Количество мест строго ограничено!
Практикум по освоению DevOps
Время проведения:
27 Августа (Вторник) в 19:00 по МСК
Что будет на практикуме?
🔹Настраиваем gitlab runners
🔹Собираем Docker образ с помощью Gitlab CI
🔹Деплоим контейнер в production
Кто ведет?
Василий Озеров - основатель агентства Fevlake (fevlake.com) и действующий Devops-инженер (опыт в Devops более 5 лет). Регулярно выступает на RootConf, DevOpsConf Russia, HighLoad.
Открытые еженедельные DevOps практикумы - https://bit.ly/2CGmm3C
Присоединяйтесь!
#промо_пост