V Bostonu probíhá konference Red Hat Summit 2025. Vybrané přednášky lze sledovat na YouTube. Dění lze sledovat na síti 𝕏 (#RHSummit).
Společnost Red Hat oficiálně oznámila vydání Red Hat Enterprise Linuxu 10. Vedle nových vlastností přináší také aktualizaci ovladačů a předběžné ukázky budoucích technologií. Podrobnosti v poznámkách k vydání.
Tuto sobotu 24. května se koná historicky první komunitní den projektu Home Assistant. Zváni jsou všichni příznivci, nadšenci a uživatelé tohoto projektu. Pro účast je potřebná registrace. Odkazy na akce v Praze a v Bratislavě.
Troy Hunt představil Have I Been Pwned 2.0, tj. nový vylepšený web služby, kde si uživatelé mohou zkontrolovat, zda se jejich hesla a osobní údaje neobjevili v únicích dat a případně se nechat na další úniky upozorňovat.
Microsoft představil open source textový editor Edit bežící v terminálu. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.
V Seattlu a také online probíhá konference Microsoft Build 2025. Microsoft představuje své novinky. Windows Subsystem for Linux je nově open source. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.
Z příspěvku Turris Sentinel – co přinesl rok 2024 na blogu CZ.NIC: "Za poslední rok (únor 2024 – únor 2025) jsme zachytili 8,3 miliardy incidentů a to z 232 zemí a z jejich závislých území. Tyto útoky přišly od 6,2 milionu útočníků (respektive unikátních adres). SMTP minipot je stále nejlákavější pastí, zhruba 79 % útoků bylo směřováno na tento minipot, 16 % útoků směřovalo na minipot Telnet, 3 % útoků směřovaly na minipot HTTP a 2 % na minipot FTP. Dále jsme zaznamenali 3,2 milionu unikátních hesel a 318 tisíc unikátních loginů, které útočníci zkoušeli."
Byla vydána (Mastodon, 𝕏) nová verze 3.0.4 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP (GNU Image Manipulation Program). Přehled novinek v oznámení o vydání a v souboru NEWS na GitLabu. Nový GIMP je již k dispozici také na Flathubu.
Byla vydána nová stabilní verze 7.4 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 136. Přehled novinek i s náhledy v příspěvku na blogu.
Spolek vpsFree.cz vydal statistiky týkající se distribucí nasazených na serverech členů. V dlouhodobém pohledu je zřejmé, že většina uživatelů z původního CentOS přechází na Rocky Linux. Pozoruhodný je také nárůst obliby distribuce NixOS, která dnes zaujímá třetí místo po Debianu a Ubuntu.
4.3.2019 18:42
| Přečteno: 22844×
| Misc.
| 
| poslední úprava: 20.11.2019 13:59
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
/etc/shadow, cracks the hashes and sshs back to the attacking machine.
MySQL/MariaDB has a peculiar feature where the client can send a file (presumably in CSV format) and the server will parse it and create a table from it. I'm not convinced this should be a server-side feature, but whatever. On the wire, it looks like this:
Client: LOAD DATA LOCAL INFILE 'foo.csv' INTO TABLE t; Server: Send me foo.csv then. Client: Okay, here it is: [file contents]What could possibly go wrong.
Client: LOAD DATA LOCAL INFILE 'foo.csv' INTO TABLE t; Server: Send me /etc/passwd then. Client: Okay, here it is: [file contents]And it even works when the server says "Send me /etc/passwd" out of the blue! That's probably because the LOAD DATA SQL command can be computed while the query is being executed, so it isn't known in advance if a file (and which one) will be requested. So the result is that the MySQL server can request arbitrary files from the client. There is an option where this feature can be turned off, but unsurprisingly pretty nobody does it and libraries for most languages (e.g. Python and PHP) have this on by default. There has been for example a security bug in Adminer over this, where strangers requested
wp-config.php, containing passwords and stuff. Only the command-line mysql client has this off by default and it must be enabled by the --local-infile option.
How can we exploit this? The first idea was to create a TRIGGER which will run the LOAD DATA LOCAL command. Unfortunately it turns out that triggers cannot contain certain commands - including LOAD DATA - and patching MySQL to allow this seemed too complicated.
The next approach is to sniff the communication between the server and the client performing LOAD DATA LOCAL using Wireshark and then simply replay it to the victim. The framing/stream format has been immediately obvious even without consulting any documentation/sources - the first three(?) bytes are message length, then the message comes, and we don't need anything more to implement the attack. A simple PoC is here.
Btw. someone has already implemented it but it didn't work for me. And claims were made that "modified version of the rogue MySQL server is for sale on the dark web" - okay, so here is my Python script.
The trolls are now fed, so what next? I have created a script that does the following:
/etc/shadow. This can of course fail if the client does not have sufficient permissions, is not running on UNIX, has the file inclusion feature turned off or is running old version of mysql client, which is not compatible with my hacky exploit./etc/shadow, about half of which can be cracked. To sum up, the honeypot managed to crack only a few remote systems.
Okay, so what to do with this when I don't want to do any harm? I have contacted abuse@ for the given addresses, but unsurprisingly received no reply.
Tiskni
Sdílej:
4.3.2019 23:04
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
4.3.2019 23:09
Jendа | skóre: 78
| blog: Jenda
| JO70FB
5.3.2019 00:22
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
5.3.2019 01:38
Jendа | skóre: 78
| blog: Jenda
| JO70FB
.
5.3.2019 12:51
cezz | skóre: 24
| blog: dm6
5.3.2019 16:09
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
jinak si to nedovedu vysvetlitAsi bych začal počtem přečtení, který je u tohohle blogu po dvou dnech 12 tisíc, zatímco u běžných jsou to průměrně tak dva tisíce po měsíci co to tu visí.
5.3.2019 18:02
xkucf03 | skóre: 49
| blog: xkucf03
Divil bych se, kdyby tam ještě nebyl.
12.3.2019 11:06
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
Chápu, že se někteří touží formou anglicky psaného blogpostu zviditelnit. Ovšem moje otázka zní: "Proč se v takovém případě realizují na česky psaném portále?"Moje odpověď je: proč ne? Mám tu jednou blog, tak jich přece nebudu mít deset. Když tu mám nějakou skupinu čtenářů, z nihž velká část umí anglicky, tak proč bych to nedal sem? To bych se mohl stejně ptát, proč sem lidi píšou blogy o věcech co se linuxu netýkají. Například by se dalo argumentovat, že když sem napíšu blog o programovacím jazyce, který někteří čtenáři neumí, tak je tím urazím a měl bych to psát na médium o tom programovacím jazyce.
Osobně kdybych chtěl psát v angličtině, tak bych zvolil jinou platformu, kde by moje blogposty nepochybně získaly mnohem větší okruh čtenářů, než na zaplivaném abclinuxu IV. cenové skupiny.Platforma imho nehraje moc roli. Většina lidí se imho dostane k anglickým článkům z vyhledávačů, agregátorů (reddit, hackernews, lobsteři, ..) a doporučení.
12.3.2019 14:52
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
Pokud jde o tu platformu, evidentně máme obrácenou prespektivu. Pokud píšu článek v angličtině, tak to dělám nejspíš proto, že chci aby se dostal tzv. "do světa". I když chápu, že pro někoho to může být forma cvičného testu. Jak něco sepsat a pak se (v případě že se to moc nepovede) ztrapnit pokud možno jen v malém měřítku. Zkrátka mi to nedává smysl, toť vše. Cizinec sem zabrousí jen omylem – ledaže by snad hodlal prostudovat specifika českého trollení. A doufat, že to někdo z nich bude hledat na webu, který má 99% obsahu v češtině ve stylu "zůstaň panenko v koutě, budeš-li hodná, najdou tě", mi přijde liché.Protože máš zřejmě neaktuální představy o tom jak se lidi dostávají k článkům. To pak chápu, že ti to nedává smysl.
5.3.2019 21:22
Jendа | skóre: 78
| blog: Jenda
| JO70FB
jinak si to nedovedu vysvetlitAnglicky jsem začal psát, protože chci mít reference pro získávání kontaktů a míst (pracovních i akademických) v zahraničí. Spíš jde o to jestli to teda mám publikovat jen na svém webu, nebo někde jinde? A ano, členy (a různé minulé časy) mi nejdou.
Přiznám se, že pro porozumění textu je mi úplně jedno, jestli tam jsou členy nebo ne. A tam, kde je rozdíl mezi určitým a neurčitým členem relevantní a ovlivňuje význam, tam to většinou napadne i ne-rodilého mluvčího a patřičný člen tam dá.
To už mě spíš praští do očí absence nedělitelných mezer nebo nějaké jiné typografické chyby.
+1
(na druhou stranu: je lepší, když sem Jenda napíše aspoň anglicky, než aby sem nepsal vůbec)
.