Stanislav Fort, vedoucí vědecký pracovník z Vlčkovy 'kyberbezpečnostní' firmy AISLE, zkoumal dopady Anthropic Mythos (nový AI model od Anthropicu zaměřený na hledání chyb, který před nedávnem vyplašil celý svět) a předvedl, že schopnosti umělé inteligence nejsou lineárně závislé na velikosti nebo ceně modelu a dokázal, že i některé otevřené modely zvládly v řadě testů odhalit ve zdrojových kódech stejné chyby jako Mythos (například FreeBSD CVE-2026-4747) a to s výrazně nižšími provozními náklady.
Federální návrh zákona H.R.8250 'Parents Decide Act', 13. dubna předložený demokratem Joshem Gottheimerem a podpořený republikánkou Elise Stefanik coby spolupředkladatelkou (cosponsor), by v případě svého schválení nařizoval všem výrobcům operačních systémů při nastavování zařízení ověřovat věk uživatelů a při používání poskytovat tento věkový údaj aplikacím třetích stran. Hlavní rozdíl oproti kalifornskému zákonu AB 1043 a kolorádskému SB26-051 je ten, že federální návrh by platil rovnou pro celé USA.
Qwen (čínská firma Alibaba Cloud) představila novou verzi svého modelu, Qwen3.6‑35B‑A3B. Jedná se o multimodální MoE model s 35 miliardami parametrů (3B aktivních), nativní kontextovou délkou až 262 144 tokenů, 'silným multimodálním vnímáním a schopností uvažování' a 'výjimečnou schopností agentického kódování, která se může měřit s mnohem rozsáhlejšími modely'. Model a dokumentace jsou volně dostupné na Hugging Face, případně na čínském Modelscope. Návod na spuštění je už i na Unsloth.
Sniffnet, tj. multiplatformní (Windows, macOS a Linux) open source grafická aplikace pro sledování internetového provozu, byl vydán ve verzi 1.5. V přehledu novinek je vypíchnuta identifikace aplikací komunikujících po síti.
V programovacím jazyce Go naprogramovaná webová aplikace pro spolupráci na zdrojových kódech pomocí gitu Forgejo byla vydána ve verzi 15.0 (Mastodon). Forgejo je fork Gitei.
Současně se SUSECON 2026 proběhne příští čtvrtek v Praze také komunitní Open Developer Summit (ODS) zaměřený na open source a openSUSE. Akce se koná ve čtvrtek 23. 4. (poslední den SUSECONu) v Hilton Prague (místnost Berlin 3) a je zcela zdarma, bez nutnosti registrace na SUSECON. Na programu jsou témata jako automatizace (AutoYaST), DevOps, AI v terminálu, bezpečnost, RISC-V nebo image-based systémy. Všichni jste srdečně zváni.
Český úřad zeměměřický a katastrální zavedl u anonymního nahlížení do katastru nemovitostí novou CAPTCHA ve formě mapové puzzle: nepřihlášení uživatelé musí nově správně otočit devět dlaždic v 3x3 poli tak, aby dohromady daly souvislý obrázek výseče reálné mapy, přičemž na to mají pouze jeden časově omezený pokus. Test je podle uživatelů i odborníků příliš obtížný a na sociálních sítích pochopitelně schytává zaslouženou kritiku a
… více »Byla vydána verze 1.95.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.
Mozilla prostřednictvím své dceřiné společnosti MZLA Technologies Corporation představila open-source AI klienta Thunderbolt. Primárně je určený pro firemní nasazení.
Firma Cal.com oznámila, že přesouvá svůj produkční kód z otevřeného do uzavřeného repozitáře z důvodu bezpečnostního rizika umělé inteligence, která prý dokáže vyhledávat a zneužívat zranitelnosti rychleji, než by je jejich vývojářský tým stíhal opravovat. Zároveň zveřejnila samostatnou, open-source verzi Cal.diy pod licencí MIT, ovšem bez řady původních funkcí. O tom, zda je toto opatření rozumné, existují pochyby. … více »
Byly publikovány informace o kritické bezpečnostní chybě pojmenované Log4Shell (CVE-2021-44228) ve službě pro logování Apache Log4j 2. Jedná se o RCE (Remote Code Execution), tj. kdokoli může na vzdáleném serveru spouštět příkazy. Chyba je opravena v upstream verzi 2.15.0.
Tiskni
Sdílej:
I takhle to může dopadnout, když si do programu zatáhnete dalších 280 000 řádků kódu, jen abyste měli „lepší“ logování, než je ve standardní knihovně…
Dále se pak v programech vyskytují neúmyslné chyby, které lze použít k DoS útoku nebo třeba k eskalaci práv či vzdálenému spuštění kódu. Autor je tam nedal schválně, ale bezpečnostní riziko je to stejné. Komplexní software je jednak náchylnější ke vzniku takových chyb a jednak se v něm tyto chyby hůře hledají.
Nicméně tuhle chybu lze (alespoň částečně) zažehnat vhodným nastavením firewallu, které by na produkčních serverech být mělo.
Ano, myslím java.util.logging. Pokud nestačí, člověk si může implementovat vlastní Formatter nebo Handler, není to moc složité. Obecně, bez ohledu na jazyk, se snažím vystačit si se standardní knihovnou, co to jen jde, a další závislosti přidávat, až když to mám opravdu dobře zdůvodněné.
Protože mám představu, kolik byznys logiky (hodně) obsahuje software o třeba 500 000 řádcích kódu, tak mi přijde dost nepřiměřené, aby 280 000 padlo jen na nějaké logování, což je pomocná vedlejší funkce.
To množství kódu buď znamená, že je to psané hodně hloupě a neefektivně s mnoha duplicitami – což mi u Apachů přijde dost nepravděpodobné, protože tam bývá ta kvalita celkem slušná – nebo to znamená, že ta knihovna obsahuje mnoho funkcí, které nebudu potřebovat. A to je právě obrovský zbytečný prostor, ve kterém mohou být chyby. Statisticky vzato jsou chyby v každém softwaru a víceméně platí, že čím víc kódu, tím větší pravděpodobnost, že mě nějaká chyba ohrozí. Tlakem na kvalitu a různými kontrolními mechanismy se dá ta pravděpodobnost snížit – to je samozřejmě dobré dělat – ale často většího efektu dosáhnu tím, že snížím množství kódu, který vstupuje do hry.
Tu podľa mňa chyba nie je iba na strane log4j. Ich najväčšia chybe je podľa mňa template string injection aj v prípade, že skladám log message správne pomocou format stringu a parametrov.
Ano a to je právě chyba na straně log4j. Pokud by to šlo jen skrze šablony zpráv, tak se dá říct, že to je vlastnost nikoli chyba – ty šablony má psát programátor a je to jeho odpovědnost, co do nich napíše. Ale pokud jde o parametry, k těm knihovna musí přistupovat obezřetně a nesmí je takto interpretovat.
Když si programátor poslepuje logovanou zprávu pomocí "bla bla " + parametrOdPotenciálníhoÚtočníka, tak je to podobné SQL injection (což je chyba programátora, nikoli knihovny).
Nicméně je pravda, že ve výchozím stavu bych očekával nějaké celkem bezpečné a blbuvzdorné nastavení – nebezpečné funkce by se měly zapínat až na vyžádání.
Ďalej áno, využívajú JNDI lookup bez zabezpečenia. Problém ale je, že *defaultne* je možné cez JNDI loadnuť remote untrusted kód a spustiť ho. … JNDI máte na classpath štandardne.
Tohle je vlastnost, funkce. Stejně tak tam mám třeba java.lang.Runtime.exec(), přes který můžu spustit libovolný příkaz, nebo javax.script.* API, přes které můžu spouštět skripty, nebo mám k dispozici kompilátor a reflexi…
A tu si používaním JUL nepomôžete
Pokud vím, tak v java.util.logging takto logované hodnoty zneužít a interpretovat nejde.
Inak používať knižnice versus vynaliezať znova koleso je na dlhšiu diskusiu.
Ano, o tom je mj. ten seriál článků (viz odkaz výše). Neexistuje jednoznačný recept, jestli jít jednou nebo druhou cestou, vždy je potřeba zvažovat ty poměry a hledat nějaké přiměřené řešení. Některé věci je lepší si napsat sám, i když při tom „vynalézám kolo“ a jinde je samozřejmost použít knihovnu. Dost taky pomáhá modulární návrh a vyšší granularita, kdy si mohu vybrat malé části (knihovny), které přepoužiji, aniž bych si zároveň zatáhl do systému spoustu nepotřebných funkcí. Na druhou stranu, kdyby to člověk hnal do extrému, tak převáží ta režie související se správou spousty malých závislostí, takže ani tohle není úplně černobílé. Pak se zase dostáváme k tomu, že něco si radši napíšu sám, než abych kvůli tomu závisel na knihovně, která má pár řádků.
Ďalej áno, využívajú JNDI lookup bez zabezpečenia. Problém ale je, že *defaultne* je možné cez JNDI loadnuť remote untrusted kód a spustiť ho. … JNDI máte na classpath štandardne.Tohle je vlastnost, funkce. Stejně tak tam mám třeba
java.lang.Runtime.exec(), přes který můžu spustit libovolný příkaz, nebojavax.script.*API, přes které můžu spouštět skripty, nebo mám k dispozici kompilátor a reflexi…A tu si používaním JUL nepomôžetePokud vím, tak v
java.util.loggingtakto logované hodnoty zneužít a interpretovat nejde.
No chcel som poukázať na nasledujúce: písal ste o tom, ako si nepoužívaním log4j pomôžete od komplexity a tým pádom od chýb. Na príklade tejto chyby (nutnou podmienkou na exploit je chyba v log4j a zároveň problém v JNDI) je vidieť, že aj pri nulových externých zavislostiach už máte v projekte kód s komplexitou a chybami (aj keď bez použitia JNDI túto konkrétnu chybu nezprístupníte). To je ale zrejme osud každého netriviálneho SW.
Inak zarazilo ma, že v oprave v log4j neriešili ten template string injection problém, ale iba začali opatrnejšie používať JNDI. Ak mi teda niečo neušlo.
11.12.2021 16:24
Jendа | skóre: 78
| blog: Jenda
| JO70FB
This tweet aged like milk
11.12.2021 18:36
JiK | skóre: 13
| blog: Jirkoviny
| Virginia
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
11.12.2021 10:09
