PimpMyGRC upravuje vzhled toolkitu GNU Radio a přidává alternativní barevná témata. Primárním cílem autora bylo pouze vytvořit tmavé prostředí vhodné pro noční práci, nicméně k dispozici je nakonec celá škála barevných schémat včetně možností různých animací a vizuálních efektů (plameny, matrix, bubliny...), které nepochybně posunou uživatelský zážitek na zcela jinou úroveň. Témata jsou skripty v jazyce Python, které nahrazují
… více »GIMP 3.2 byl oficiálně vydán (Mastodon, 𝕏). Přehled novinek v poznámkách k vydání.
FRANK OS je open-source operační systém pro mikrokontrolér RP2350 (s FRANK M2 board) postavený na FreeRTOS, který přetváří tento levný čip na plně funkční počítač s desktopovým uživatelským rozhraním ve stylu Windows 95 se správcem oken, terminálem, prohlížečem souborů a knihovnou aplikací, ovládaný PS/2 myší a klávesnicí, s DVI video výstupem. Otázkou zůstává, zda by 520 KB SRAM stačilo každému 😅.
Administrativa amerického prezidenta Donalda Trumpa by měla dostat zhruba deset miliard dolarů (asi 214 miliard Kč) za zprostředkování dohody o převzetí kontroly nad aktivitami sociální sítě TikTok ve Spojených státech.
Projekt Debian aktualizoval obrazy stabilní větve „Trixie“ (13.4). Shrnuje opravy za poslední dva měsíce, 111 aktualizovaných balíčků a 67 bezpečnostních hlášení. Opravy se týkají mj. chyb v glibc nebo webovém serveru Apache.
Agent umělé inteligence Claude Opus ignoroval uživatelovu odpověď 'ne' na dotaz, zda má implementovat změny kódu, a přesto se pokusil změny provést. Agent si odpověď 'ne' vysvětlil následovně: Uživatel na mou otázku 'Mám to implementovat?' odpověděl 'ne' - ale když se podívám na kontext, myslím, že tím 'ne' odpovídá na to, abych žádal o svolení, tedy myslí 'prostě to udělej, přestaň se ptát'.
Po 8. květnu 2026 už na Instagramu nebudou podporované zprávy opatřené koncovým šifrováním. V chatech, kterých se bude změna týkat, se objeví pokyny o tom, jak si média nebo zprávy z nich stáhnout, pokud si je chcete ponechat.
V lednu byla ve veřejné betě obnovena sociální síť Digg (Wikipedie). Dnes bylo oznámeno její ukončení (Hard Reset). Společnost Digg propouští velkou část týmu a přiznává, že se nepodařilo najít správné místo na trhu. Důvody jsou masivní problém s boty a silná konkurence. Společnost Digg nekončí, malý tým pokračuje v práci na zcela novém přístupu. Cílem je vybudovat platformu, kde lze důvěřovat obsahu i lidem za ním. Od dubna se do Diggu na plný úvazek vrací Kevin Rose, zakladatel Diggu z roku 2004.
MALUS je kontroverzní proprietarní nástroj, který svým zákazníkům umožňuje nechat AI, která dle tvrzení provozovatelů nikdy neviděla původní zdrojový kód, analyzovat dokumentaci, API a veřejná rozhraní jakéhokoliv open-source projektu a následně úplně od píky vygenerovat funkčně ekvivalentní software, ovšem pod libovolnou licencí.
Příspěvek na blogu Ubuntu upozorňuje na několik zranitelností v rozšíření Linuxu o mandatorní řízení přístupu AppArmor. Společně jsou označovány jako CrackArmor. Objevila je společnost Qualys (technické detaily). Neprivilegovaný lokální uživatel se může stát rootem. Chyba existuje od roku 2017. Doporučuje se okamžitá aktualizace. Problém se týká Ubuntu, Debianu nebo SUSE. Red Hat nebo Fedora pro mandatorní řízení přístupu používají SELinux.
4.3.2019 18:42
| Přečteno: 23251×
| Misc.
| 
| poslední úprava: 20.11.2019 13:59
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
/etc/shadow, cracks the hashes and sshs back to the attacking machine.
MySQL/MariaDB has a peculiar feature where the client can send a file (presumably in CSV format) and the server will parse it and create a table from it. I'm not convinced this should be a server-side feature, but whatever. On the wire, it looks like this:
Client: LOAD DATA LOCAL INFILE 'foo.csv' INTO TABLE t; Server: Send me foo.csv then. Client: Okay, here it is: [file contents]What could possibly go wrong.
Client: LOAD DATA LOCAL INFILE 'foo.csv' INTO TABLE t; Server: Send me /etc/passwd then. Client: Okay, here it is: [file contents]And it even works when the server says "Send me /etc/passwd" out of the blue! That's probably because the LOAD DATA SQL command can be computed while the query is being executed, so it isn't known in advance if a file (and which one) will be requested. So the result is that the MySQL server can request arbitrary files from the client. There is an option where this feature can be turned off, but unsurprisingly pretty nobody does it and libraries for most languages (e.g. Python and PHP) have this on by default. There has been for example a security bug in Adminer over this, where strangers requested
wp-config.php, containing passwords and stuff. Only the command-line mysql client has this off by default and it must be enabled by the --local-infile option.
How can we exploit this? The first idea was to create a TRIGGER which will run the LOAD DATA LOCAL command. Unfortunately it turns out that triggers cannot contain certain commands - including LOAD DATA - and patching MySQL to allow this seemed too complicated.
The next approach is to sniff the communication between the server and the client performing LOAD DATA LOCAL using Wireshark and then simply replay it to the victim. The framing/stream format has been immediately obvious even without consulting any documentation/sources - the first three(?) bytes are message length, then the message comes, and we don't need anything more to implement the attack. A simple PoC is here.
Btw. someone has already implemented it but it didn't work for me. And claims were made that "modified version of the rogue MySQL server is for sale on the dark web" - okay, so here is my Python script.
The trolls are now fed, so what next? I have created a script that does the following:
/etc/shadow. This can of course fail if the client does not have sufficient permissions, is not running on UNIX, has the file inclusion feature turned off or is running old version of mysql client, which is not compatible with my hacky exploit./etc/shadow, about half of which can be cracked. To sum up, the honeypot managed to crack only a few remote systems.
Okay, so what to do with this when I don't want to do any harm? I have contacted abuse@ for the given addresses, but unsurprisingly received no reply.
Tiskni
Sdílej:
4.3.2019 23:04
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
4.3.2019 23:09
Jendа | skóre: 78
| blog: Jenda
| JO70FB
5.3.2019 00:22
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
5.3.2019 01:38
Jendа | skóre: 78
| blog: Jenda
| JO70FB
.
5.3.2019 12:51
cezz | skóre: 24
| blog: dm6
5.3.2019 16:09
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
jinak si to nedovedu vysvetlitAsi bych začal počtem přečtení, který je u tohohle blogu po dvou dnech 12 tisíc, zatímco u běžných jsou to průměrně tak dva tisíce po měsíci co to tu visí.
5.3.2019 18:02
xkucf03 | skóre: 50
| blog: xkucf03
Divil bych se, kdyby tam ještě nebyl.
12.3.2019 11:06
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
Chápu, že se někteří touží formou anglicky psaného blogpostu zviditelnit. Ovšem moje otázka zní: "Proč se v takovém případě realizují na česky psaném portále?"Moje odpověď je: proč ne? Mám tu jednou blog, tak jich přece nebudu mít deset. Když tu mám nějakou skupinu čtenářů, z nihž velká část umí anglicky, tak proč bych to nedal sem? To bych se mohl stejně ptát, proč sem lidi píšou blogy o věcech co se linuxu netýkají. Například by se dalo argumentovat, že když sem napíšu blog o programovacím jazyce, který někteří čtenáři neumí, tak je tím urazím a měl bych to psát na médium o tom programovacím jazyce.
Osobně kdybych chtěl psát v angličtině, tak bych zvolil jinou platformu, kde by moje blogposty nepochybně získaly mnohem větší okruh čtenářů, než na zaplivaném abclinuxu IV. cenové skupiny.Platforma imho nehraje moc roli. Většina lidí se imho dostane k anglickým článkům z vyhledávačů, agregátorů (reddit, hackernews, lobsteři, ..) a doporučení.
12.3.2019 14:52
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
Pokud jde o tu platformu, evidentně máme obrácenou prespektivu. Pokud píšu článek v angličtině, tak to dělám nejspíš proto, že chci aby se dostal tzv. "do světa". I když chápu, že pro někoho to může být forma cvičného testu. Jak něco sepsat a pak se (v případě že se to moc nepovede) ztrapnit pokud možno jen v malém měřítku. Zkrátka mi to nedává smysl, toť vše. Cizinec sem zabrousí jen omylem – ledaže by snad hodlal prostudovat specifika českého trollení. A doufat, že to někdo z nich bude hledat na webu, který má 99% obsahu v češtině ve stylu "zůstaň panenko v koutě, budeš-li hodná, najdou tě", mi přijde liché.Protože máš zřejmě neaktuální představy o tom jak se lidi dostávají k článkům. To pak chápu, že ti to nedává smysl.
5.3.2019 21:22
Jendа | skóre: 78
| blog: Jenda
| JO70FB
jinak si to nedovedu vysvetlitAnglicky jsem začal psát, protože chci mít reference pro získávání kontaktů a míst (pracovních i akademických) v zahraničí. Spíš jde o to jestli to teda mám publikovat jen na svém webu, nebo někde jinde? A ano, členy (a různé minulé časy) mi nejdou.
Přiznám se, že pro porozumění textu je mi úplně jedno, jestli tam jsou členy nebo ne. A tam, kde je rozdíl mezi určitým a neurčitým členem relevantní a ovlivňuje význam, tam to většinou napadne i ne-rodilého mluvčího a patřičný člen tam dá.
To už mě spíš praští do očí absence nedělitelných mezer nebo nějaké jiné typografické chyby.
+1
(na druhou stranu: je lepší, když sem Jenda napíše aspoň anglicky, než aby sem nepsal vůbec)
.