abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Go 1.26
    včera 22:44 | Nová verze

    Byla vydána nová verze 1.26 programovacího jazyka Go (Wikipedie). Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    CrossOver 26
    včera 18:11 | Nová verze

    CrossOver, komerční produkt založený na Wine, byl vydán ve verzi 26. Přehled novinek v ChangeLogu. CrossOver 26 vychází z Wine 11.0, D3DMetal 3.0, DXMT 0.72, Wine Mono 10.4.1 a vkd3d 1.18. Do 17. února lze koupit CrossOver+ se slevou 26 %.

    Ladislav Hagara | Komentářů: 9
    KiCad nově také jako AppImage
    včera 14:22 | Komunita

    KiCad je nově k dispozici také jako balíček ve formátu AppImage. Stačí jej stáhnout, nastavit právo na spouštění a spustit [Mastodon, 𝕏].

    Ladislav Hagara | Komentářů: 0
    Open-source robotické rameno reBot-DevArm
    včera 13:22 | Zajímavý projekt

    Šenčenská firma Seeed Studio představila projekt levného robotického ramena reBot Arm B601, primárně coby pomůcky pro studenty a výzkumníky. Paže má 6 stupňů volnosti, dosah 650 mm a nosnost 1,5 kilogramu, podporované platformy mají být ROS1, ROS2, LeRobot, Pinocchio a Isaac Sim, krom toho bude k dispozici vlastní SDK napsané v Pythonu. Kompletní seznam součástek, videonávody a nejspíš i cena budou zveřejněny až koncem tohoto měsíce.

    … více »
    NUKE GAZA! 🎆 | Komentářů: 7
    MythTV 36.0
    včera 11:11 | Nová verze

    Byla vydána nová verze 36.0, tj. první stabilní verze nové řady 36, svobodného multimediálního centra MythTV (Wikipedie). Přehled novinek a vylepšení v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 1
    LineageOS 23.2
    včera 04:44 | Nová verze

    Byl vydán LineageOS 23.2 (Mastodon). LineageOS (Wikipedie) je svobodný operační systém pro chytré telefony, tablety a set-top boxy založený na Androidu. Jedná se o nástupce CyanogenModu.

    Ladislav Hagara | Komentářů: 3
    Na Discordu bez ověření věku pouze minimální práva vhodná pro teenagery
    včera 03:44 | IT novinky

    Od března budou mít uživatelé Discordu bez ověření věku pouze minimální práva vhodná pro teenagery.

    Ladislav Hagara | Komentářů: 23
    Evropská komise předběžně shledala TikTok návykovým designem v rozporu s nařízením DSA
    9.2. 23:43 | IT novinky

    Evropská komise (EK) předběžně shledala čínskou sociální síť pro sdílení krátkých videí TikTok návykovým designem v rozporu s unijním nařízením o digitálních službách (DSA). Komise, která je exekutivním orgánem Evropské unie a má rozsáhlé pravomoci, o tom informovala v tiskovém sdělení. TikTok v reakci uvedl, že EK o platformě vykreslila podle něj zcela nepravdivý obraz, a proto se bude bránit.… více »

    Ladislav Hagara | Komentářů: 20
    Offpunk 3.0
    9.2. 18:33 | Nová verze

    Offpunk byl vydán ve verzi 3.0. Jedná se o webový prohlížeč běžící v terminálu a podporující také protokoly Gemini, Gopher a RSS. Přibyl nástroj xkcdpunk pro zobrazení XKCD v terminálu.

    Ladislav Hagara | Komentářů: 0
    Promethee, UEFI binding pro JavaScript
    9.2. 18:22 | Zajímavý projekt

    Promethee je projekt, který implementuje UEFI (Unified Extensible Firmware Interface) bindingy pro JavaScript. Z bootovacího média načítá a spouští soubor 'script.js', který může používat UEFI služby. Cílem je vytvořit zavaděč, který lze přizpůsobit pomocí HTML/CSS/JS. Repozitář se zdrojovými kódy je na Codebergu.

    NUKE GAZA! 🎆 | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (19%)
     (6%)
     (0%)
     (10%)
     (26%)
     (3%)
     (5%)
     (2%)
     (12%)
     (28%)
    Celkem 835 hlasů
     Komentářů: 25, poslední 3.2. 19:50
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Zprávičky / Bezpečnostní chyba v Nette / Bezpečnostní chyba v Nette (diskuse)
    Štítky: není přiřazen žádný štítek

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Vložit další komentář
    3.10.2020 20:41 azurIt | skóre: 34 | blog: zatial_bez_mena
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
    Nie len potencialne ale normalne sa tam da spustit takmer akykolvek PHP kod, staci ho vlozit do GET parametru. Otestovane.
    3.10.2020 21:26 zzz
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
    No to je docela velky fuck up. Zajimalo by me jestli to bylo zpusobene Grudlovym diletanstvim nebo nejakou super "ficurou" PHP.
    xkucf03 avatar 4.10.2020 00:37 xkucf03 | skóre: 50 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
    Nechci zveřejňovat přesný postup zneužití chyby a doufám, že to ani nikdo jiný neudělá.

    Tohle je pro mne bezcenný článek a zprávička. Těšil jsem se, že se dozvím detaily a třeba i na co si dávat pozor, ale nic.

    Pokud jde o uživatele Nette, tak k těm, to snad doputuje jako normální bezpečnostní aktualizace případně e-mailem.

    Když už psát články a zprávičky, tak ať se z toho člověk aspoň něco naučí – tzn. rozbor, jak chyba funguje, proč k ní došlo a jak ji příště neopakovat. Stejně tak by se hodilo napsat, jakou metodu použil ten, kdo chybu objevil (jestli používal nějaký automatický software na hledání chyb, nebo jestli automatizovaně analyzoval zdrojáky nebo jestli to hledal ručně…).

    Alespoň ne v dohledné době, protože by tím způsobil ostatním nepříjemnosti a zpronevěřil se duchu open source.

    Tohle píše člověk, který tvrdí, že open source je komunismus a nefunguje…

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    4.10.2020 00:46 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
    Nebo jestli třeba není něco, co by se dalo nakrmit do mod_security, a ochránit tak weby lidí, co si to v životě neaktualizují.
    Quando omni flunkus moritati
    4.10.2020 07:28 azurIt | skóre: 34 | blog: zatial_bez_mena
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
    Do nasho WAFu sme hned pridali blokujuce pravidlo. Autora Nette som v case, ked chybu zverejnil v mailing liste, kontaktoval s ponukou, aby mi pomohol dane pravidlo v modsecurity doladit (kedze nie som expert na interne fungovanie Nette) s tym, ze mu ho potom dam a on ho moze zdarma ponuknut svojim klientom/pouzivatelom. Vobec nereagoval.
    xkucf03 avatar 7.10.2020 16:18 xkucf03 | skóre: 50 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette

    Dle #18 by mělo stačit zablokovat jedno URL nebo URL odpovídající jednomu regulárnímu výrazu. Což se dá udělat na nějaké společné reverzní proxy nebo v tom ModSecurity. Tedy alespoň pokud tento GET požadavek je jediný způsob, jak tuto chybu zneužít.

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    Jendа avatar 4.10.2020 06:24 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
    Jn. Kdyby to někdo chtěl reverzovat z patche, tak tady je to dobře izolované.
    4.10.2020 14:19 Odin1918 | skóre: 6 | blog: Valhalla
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
    Php a grudl :-D :-D :-D

    <?php die("php");

    Salamek avatar 5.10.2020 05:12 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
    Tak jsem to rychle omrkl a jedna se o neosetreny vstup do call_user_func_array pri pouziti App\Presenters\MicroPresenter jako rodice presenteru aplikace...
    Takze aplikace pouzivajci plnotucny Nette\Application\UI\Presenter by mely byt ?ok?
    Taky moc nechapu tu snahu o utajeni detailu chyby, chyba je tak tristni a neni problem najit jeji opravu v diffu... tim myslim ze kdokoliv ma schopnosti danou chybu zneuzit bude take automaticky mit schopnosti si ji dohledat a pochopit jak se da zneuzit...
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    Salamek avatar 5.10.2020 05:38 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
    Tak oprava... neni v bezpeci zadna instalace Nette... App\Presenters\MicroPresenter se da spustit i kdyz z nej zadny pouzivany presenter nededi... da se hacknout temer vetsina nette instalaci pres blbej GET request... zrovna jsem si z hecu hackl par mych projektu v produkci... Tak se dneska asi nevyspim... fuck
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    5.10.2020 12:34 vencis
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
    Muzes sem dat ten GET request ?
    5.10.2020 14:27 Gabron
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
    Take bych to rad odzkousel. Mohl by jsi to postnout? Mam par projektu na kterych se mi zda, ze dira neni...?
    5.10.2020 20:54 ~~°;;{[ 1337 h4xX0Rr ]};;°~~
    Rozbalit Rozbalit vše Re: Bezpečnostní informační služba hledá nové pracovníky se specializací na nelegální ruskou fonografii
    Napiš sem URL těch projektů, já ti to pořádně votestuju!
    6.10.2020 17:05 uhel
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
    Klobasa nic nema. Jen haze plky chytrolin.
    Salamek avatar 7.10.2020 14:47 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
    Mam udelany i testovaci script... ale nez pustim nejake detaily, chci tomu dat jeste cas az si lidi stihnout opravit svuj shit
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    6.10.2020 21:07 survik1
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
    Potvrzuji, že chyba je ve všech app bez ohledu na (ne)používání MicroPresenteru. GET request zde dávat nebudu, není potřeba, aby byly příkazy takhle lehce dohledatelný. Kód každopádně umožňuje i kompletní ovládnutí pc ... Takže aktulizujte a aktulizujte, tohle je fakt průser.
    6.10.2020 22:21 David Grudl
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
    Před lety jsem se totálně zboural, a pak dostal neodolatelnou chuť jít něco doprogramovat v Nette. Jsou chvíle, které provozovatelům webů fakt nezávidím.
    Salamek avatar 7.10.2020 16:07 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
    Ahoj, udelal jsem testovaci script pro jednoduche overeni

    https://salamek.cz/nette-test.php?url=https://cvc.cz

    misto https://cvc.cz dej domenu sveho webu
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    Jendа avatar 7.10.2020 20:23 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
    Kdo nemá nasetupovanej webserver s access logem a chce vidět co to dělá: 
    78.80.161.207 ceskaprehrada.cz - [07/Oct/2020:20:22:15 +0200] "GET /nette.micro?callback=file_put_contents&filename=delete_me_96c9ce10c6293b869039493c9d727263.php&data=%3C%3Fphp+echo+base64_decode%28%27OTZjOWNlMTBjNjI5M2I4NjkwMzk0OTNjOWQ3MjcyNjM%3D%27%29%3B+%40unlink%28%27delete_me_96c9ce10c6293b869039493c9d727263.php%27%29%3B+%2F%2FNette+CVE-2020-15227+test+tool+https%3A%2F%2Fsalamek.cz%2Fnette-test.php%2C+if+you+see+this+file%2C+you+should+update+nette%2Fapplication+ASAP HTTP/1.0" 404 341 "-" "-"
78.80.161.207 ceskaprehrada.cz - [07/Oct/2020:20:22:15 +0200] "GET /delete_me_96c9ce10c6293b869039493c9d727263.php HTTP/1.0" 404 341 "-" "-"
    Jendа avatar 7.10.2020 20:27 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
    Pozn. nevím jestli to není klam a další stage nepřijde když na to první nějak konkrétně odpovím :-), instalovat Nette se mi kvůli tomu fakt nechce (používal jsem jenom samostatné Nette Form. Taky nevím co se stane když nemáte rewrite na tu URL.

    Dále jsem prošel access log a nikdo nic s "nette" nepožadoval, takže nevypadá, že by se to masově skenovalo.
    Salamek avatar 8.10.2020 14:46 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
    Na dalsi stage se jde vzdy... odpoved je dulezita protoze kdyz je hack uspesny app spadne do 500 a jakmile na to budes "odpovidat jinak" tak to znamena ze jsi tomu hacku uspesne zabranil tak jako tak... Samozrejme ten test neni 100% pocita totiz se zapnutymi "nice urls" a defaultnim formatem nice urls v nette... Mohl bych to jeste upravit a pouzivat nazev presenteru v get parametru...
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    8.10.2020 21:03 Bherzet | skóre: 19 | blog: Bherzetův blog
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
    Tak to stihl zazáplatovat dokonce i u Vaška (kontext [1, 2], kdyby někdo nevěděl).
    5.10.2020 15:44 BoneFlute | skóre: 3
    Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
    Já ho jako člověka nemám rád. Ale jako programátora ho obdivuju. Příkladný přístup k chybám. Respekt.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.