Jihokorejská Národní daňová služba (NTS) zabavila kryptoměnu Pre-retogeum (PRTG) v hodnotě 5,6 milionu dolarů. Pochlubila se v tiskové zprávě, do které vložila fotografii zabavených USB flash disků s kryptoměnovými peněženkami spolu se souvisejícími ručně napsanými mnemotechnickými obnovovacími frázemi. Krátce na to byla kryptoměna v hodnotě 4,8 milionu dolarů odcizena. O několik hodin ale vrácena, jelikož PRTG je extrémně nelikvidní, s denním objemem obchodování kolem 332 dolarů a zalistováním na jediné burze, MEXC [Bitcoin.com].
Komunita kolem Linuxu From Scratch (LFS) vydala nové verze knih s návody na instalaci vlastního linuxového systému ze zdrojových kódů Linux From Scratch 13.0 a Beyond Linux From Scratch 13.0. Pouze se systemd.
Byla vydána nová stabilní major verze 25.12 linuxové distribuce primárně určené pro routery a vestavěné systémy OpenWrt (Wikipedie). Jedná se o nástupce předchozí major verze 24.10. Přehled novinek v poznámkách k vydání. Podporováno je více než 2200 zařízení.
Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za únor (YouTube). Odstraněn byl veškerý kód napsaný ve Swiftu. JavaScriptový engine LibJS byl reimplementován v Rustu.
Byla vydána verze 1.94.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example. Zveřejněny byly výsledky průzkumu mezi vývojáři v programovacím jazyce Rust: 2025 State of Rust Survey Results.
Google zveřejnil seznam 185 organizací přijatých do letošního Google Summer of Code (GSoC). Dle plánu se zájemci přihlašují od 16. do 31. března. Vydělat si mohou od 750 do 6600 dolarů. V Česku a na Slovensku je to 900 dolarů za malý, 1800 dolarů za střední a 3600 dolarů za velký projekt. Další informace v často kladených otázkách (FAQ). K dispozici jsou také statistiky z minulých let.
Byla vydána únorová aktualizace aneb nová verze 1.110 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.110 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.
Apple představil 13palcový MacBook Neo s čipem A18 Pro. V základní konfiguraci za 16 990 Kč.
Kalifornský zákon AB 1043 platný od 1. ledna 2027 vyžaduje, aby operační systémy požadovaly po uživatelích věk nebo datum narození a skrze API poskytovaly aplikacím informaci, zda je uživatel mladší 13 let, má 13 až 16 let, má 16 až 18 let nebo má alespoň 18 let. Vývojáři linuxových distribucí řeší, co s tím (Ubuntu, Fedora, …).
Konference LinuxDays 2026 proběhne o víkendu 3. a 4. října v Praze v areálu ČVUT v Dejvicích na FIT. Čekají vás desítky přednášek, workshopy, stánky a setkání se spoustou chytrých lidí.
4.3.2019 18:42
| Přečteno: 23247×
| Misc.
| 
| poslední úprava: 20.11.2019 13:59
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
/etc/shadow, cracks the hashes and sshs back to the attacking machine.
MySQL/MariaDB has a peculiar feature where the client can send a file (presumably in CSV format) and the server will parse it and create a table from it. I'm not convinced this should be a server-side feature, but whatever. On the wire, it looks like this:
Client: LOAD DATA LOCAL INFILE 'foo.csv' INTO TABLE t; Server: Send me foo.csv then. Client: Okay, here it is: [file contents]What could possibly go wrong.
Client: LOAD DATA LOCAL INFILE 'foo.csv' INTO TABLE t; Server: Send me /etc/passwd then. Client: Okay, here it is: [file contents]And it even works when the server says "Send me /etc/passwd" out of the blue! That's probably because the LOAD DATA SQL command can be computed while the query is being executed, so it isn't known in advance if a file (and which one) will be requested. So the result is that the MySQL server can request arbitrary files from the client. There is an option where this feature can be turned off, but unsurprisingly pretty nobody does it and libraries for most languages (e.g. Python and PHP) have this on by default. There has been for example a security bug in Adminer over this, where strangers requested
wp-config.php, containing passwords and stuff. Only the command-line mysql client has this off by default and it must be enabled by the --local-infile option.
How can we exploit this? The first idea was to create a TRIGGER which will run the LOAD DATA LOCAL command. Unfortunately it turns out that triggers cannot contain certain commands - including LOAD DATA - and patching MySQL to allow this seemed too complicated.
The next approach is to sniff the communication between the server and the client performing LOAD DATA LOCAL using Wireshark and then simply replay it to the victim. The framing/stream format has been immediately obvious even without consulting any documentation/sources - the first three(?) bytes are message length, then the message comes, and we don't need anything more to implement the attack. A simple PoC is here.
Btw. someone has already implemented it but it didn't work for me. And claims were made that "modified version of the rogue MySQL server is for sale on the dark web" - okay, so here is my Python script.
The trolls are now fed, so what next? I have created a script that does the following:
/etc/shadow. This can of course fail if the client does not have sufficient permissions, is not running on UNIX, has the file inclusion feature turned off or is running old version of mysql client, which is not compatible with my hacky exploit./etc/shadow, about half of which can be cracked. To sum up, the honeypot managed to crack only a few remote systems.
Okay, so what to do with this when I don't want to do any harm? I have contacted abuse@ for the given addresses, but unsurprisingly received no reply.
Tiskni
Sdílej:
4.3.2019 23:04
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
4.3.2019 23:09
Jendа | skóre: 78
| blog: Jenda
| JO70FB
5.3.2019 00:22
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
5.3.2019 01:38
Jendа | skóre: 78
| blog: Jenda
| JO70FB
.
5.3.2019 12:51
cezz | skóre: 24
| blog: dm6
5.3.2019 16:09
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
jinak si to nedovedu vysvetlitAsi bych začal počtem přečtení, který je u tohohle blogu po dvou dnech 12 tisíc, zatímco u běžných jsou to průměrně tak dva tisíce po měsíci co to tu visí.
5.3.2019 18:02
xkucf03 | skóre: 50
| blog: xkucf03
Divil bych se, kdyby tam ještě nebyl.
12.3.2019 11:06
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
Chápu, že se někteří touží formou anglicky psaného blogpostu zviditelnit. Ovšem moje otázka zní: "Proč se v takovém případě realizují na česky psaném portále?"Moje odpověď je: proč ne? Mám tu jednou blog, tak jich přece nebudu mít deset. Když tu mám nějakou skupinu čtenářů, z nihž velká část umí anglicky, tak proč bych to nedal sem? To bych se mohl stejně ptát, proč sem lidi píšou blogy o věcech co se linuxu netýkají. Například by se dalo argumentovat, že když sem napíšu blog o programovacím jazyce, který někteří čtenáři neumí, tak je tím urazím a měl bych to psát na médium o tom programovacím jazyce.
Osobně kdybych chtěl psát v angličtině, tak bych zvolil jinou platformu, kde by moje blogposty nepochybně získaly mnohem větší okruh čtenářů, než na zaplivaném abclinuxu IV. cenové skupiny.Platforma imho nehraje moc roli. Většina lidí se imho dostane k anglickým článkům z vyhledávačů, agregátorů (reddit, hackernews, lobsteři, ..) a doporučení.
12.3.2019 14:52
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
Pokud jde o tu platformu, evidentně máme obrácenou prespektivu. Pokud píšu článek v angličtině, tak to dělám nejspíš proto, že chci aby se dostal tzv. "do světa". I když chápu, že pro někoho to může být forma cvičného testu. Jak něco sepsat a pak se (v případě že se to moc nepovede) ztrapnit pokud možno jen v malém měřítku. Zkrátka mi to nedává smysl, toť vše. Cizinec sem zabrousí jen omylem – ledaže by snad hodlal prostudovat specifika českého trollení. A doufat, že to někdo z nich bude hledat na webu, který má 99% obsahu v češtině ve stylu "zůstaň panenko v koutě, budeš-li hodná, najdou tě", mi přijde liché.Protože máš zřejmě neaktuální představy o tom jak se lidi dostávají k článkům. To pak chápu, že ti to nedává smysl.
5.3.2019 21:22
Jendа | skóre: 78
| blog: Jenda
| JO70FB
jinak si to nedovedu vysvetlitAnglicky jsem začal psát, protože chci mít reference pro získávání kontaktů a míst (pracovních i akademických) v zahraničí. Spíš jde o to jestli to teda mám publikovat jen na svém webu, nebo někde jinde? A ano, členy (a různé minulé časy) mi nejdou.
Přiznám se, že pro porozumění textu je mi úplně jedno, jestli tam jsou členy nebo ne. A tam, kde je rozdíl mezi určitým a neurčitým členem relevantní a ovlivňuje význam, tam to většinou napadne i ne-rodilého mluvčího a patřičný člen tam dá.
To už mě spíš praští do očí absence nedělitelných mezer nebo nějaké jiné typografické chyby.
+1
(na druhou stranu: je lepší, když sem Jenda napíše aspoň anglicky, než aby sem nepsal vůbec)
.