Linux за българи: Форуми

Повече тук: https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt

Всеки ден ще е така, до победата! - казало ИИ

имам чувството че вече ползват ИИ утилки (да ги набарат тия дупки) ама не си признават


https://techcrunch.com/2024/07/03/twilio-says-hackers-identified-cell-phone-numbers-of-two-factor-app-authy-users/
...а хората се радват  ;D

П.П. Подозирам скоро ИИ ще му е толкова лесно да излъже човек, колкото човека.... нар. куче (за него той е почти бог)

А имам(е) новинка и за всички фенове на смоко...
https://thehackernews.com/2024/07/github-token-leak-exposes-pythons-core.html

TLDR; The admin of PIP leaked his GitHub token

Great! "You have a vulneravility, it is called Python"

..time to move all your python tools to Go or Rust  ;D

Ето за това човек трябва да автоматизира всички рутинни задачи.
Правиш контейнера, накрая триеш каквото трябва. И, ако последното трябва да го правиш всеки път, правиш скрипт, който да прави накрая точно това и не се занимаваш повече.
Щото човек се отнася и забравя или просто пропуска.

Наскоро оправихме Лаб-а, ха честито и на (феновете на) Хъб-а
https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github

You can access data from deleted forks, deleted repositories and even private repositories on GitHub. And it is available forever. This is known by GitHub, and intentionally designed that way.

наздраве  [_]3 [_]3 [_]3

Наскоро оправихме Лаб-а, ха честито и на (феновете на) Хъб-а
https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github

You can access data from deleted forks, deleted repositories and even private repositories on GitHub. And it is available forever. This is known by GitHub, and intentionally designed that way.

наздраве  [_]3 [_]3 [_]3

Някак не съм очуден.
Изглежда Майкрософт правят нарочно данните публични, за да могат да си тренират AI-тата като намалят и риска от дела или неблагоприятен изход от тях.
Чудя се, дали няма да има и промени по EULA, които да им вържат гащите.
А защо не и доброволно да им се съгласиш, да предоставиш всичко.

Тъй или иначе не бих ползвал GitHub за нищо сериозно.
Там имам само малко javascript, защото е най-удобно да кача за публично ползване.

Наздраве за вендора дето leak-ва ключа  [_]3 [_]3 [_]3

https://arstechnica.com/security/2024/07/secure-boot-is-completely-compromised-on-200-models-from-5-big-device-makers/
Secure Boot is completely broken on 200+ models from 5 big device makers

...a cryptographic key underpinning Secure Boot on those models that was compromised in 2022. In a public GitHub repository committed in December of that year

Изглежда има много хора, които не са и чували за gitignore или не им се занимава с несъществени работи  ;D

Мдаа несъществени работи.. а някой (вече) кешират и от хеширани пароли

https://www.csoonline.com/article/3478933/critical-servicenow-vulnerabilities-expose-businesses-to-data-breaches.html

особено секция [Understanding the vulnerabilities]

П.П. Някой откриха топлата вода в обалците, но... от вода до вода има разлика  :P
т.е. някои залагат (и) на сигурността а други.. карат на принципа е карай да върви нали паролите са хеширани обаче като навържат (по) няколко CVE-та акерите (дали и ИИ не им подсказава вече) и става интересно.

А от др. страна пък (бизнеса) си мислят че ще се измъкнатсамо с едни  с по яки адвокати т.е. че техните са по яките ..докато не се стигне до някой class action lawsuit:
https://techcrunch.com/2024/07/30/healthequity-data-breach-affects-4-3-million-people/

П.П.П. акенца, акенца ама акването отива да става печеливш бизнес
https://www.forbes.com/sites/daveywinder/2024/07/31/record-breaking-75-million-ransom-paid-to-dark-angels-gang/

Oh, SSHit - this is serious, isn't it?
https://www.theregister.com/2024/08/07/vulnerable_ssh_implementations_are_everywhere/

...и още нещо,  в стил "пиши к@р и да си ходим" (за който иска да се разпише де - там по публични и частни репота)
https://x.com/InsecureNature/status/1819818382902091805

Cross Fork Object Reference (CFOR) allows you to "Graffiti" any repository you'd like.

А това
https://cybersecuritynews.com/microsoft-entra-id-vulnerability/
While it remains unclear if any organizations were compromised via these vulnerabilities, the potential impact was extensive.

т.е. искат да кажат че /се правят че/ не знаят колко и кои са засегнати, но иначе на M$ даже и уязвимостите им "са с голям потенциал"  ::)

За пореден път  :D

MS AD винаги е създавала проблеми, но да ти позволи глобални администраторски права е вече прекалено  :D

   Активните директории са проблематични по дефиниция,даже се
учудвам защо са хванали толкова малко дупки в сигурността там.

   Като системен администратор ми се е налагало да правя такива
и са ми ясни що за "хубост" са ...
Няколко пъти са ме проверявали (основно от "Делойт" и "Ърнст&Янг")
и никога не са хващали проблеми там (имам предвид видимите  ;D ).

Аз само да вметна, че... и на т'ва май вече му смениха името
много дупки явно в старото, няма страшно тепърва ще разпробиват и у новото (в крак с новите тенденций ще му турят и на него Х-кса)

https://learn.microsoft.com/en-us/entra/fundamentals/new-name
Azure Active Directory is now Microsoft Entra ID.

На мен ми е чудно, кой собственик или директор на компания ще реши да се занимава с това.
Защо изобщо се захващат с нещо толкова доказало се като ненадеждно.

   Дори не подозираш колко масово e това.
В почти всички банки например има активна директория.

   Тъпи и закостенели меринджеи - това е основния проблем.
Голяма част са такива. Обясняваш им безумните проблеми със
сигурността на М$ продуктите (като  Exchange) и те
ти обясняват колко си некомпетентен и как не си на тяхното ниво

Аз лично никога не съм я разбирал докрай тази AD, и не съм я ползвал в работата ми.

   Не ти и трябва ...

Интересно а с какво предлагате да го заменят като толкова не ви харесва...

   Как с какво ...

   Samba 4 и по-новите версии емулират достатъчно добре AD,и
тъй като става дума за Линукс,сигурността е на много по-високо ниво.
   Точно това не съм го правил (емулацията), но съдейки по мнения в
професионални форуми,работи нелошо.

   Тези фокуси са необходими само ако има машини с Усхадуя (по кашика  ;D)
и наследени с-ми,; по принцип е по-добре въобще без боза ...

Я да ви образовам още малко т.е. долното не е пропаганда, да не си помислите нещо такова.. с образователна цел е  :P

https://www.bleepingcomputer.com/news/security/github-actions-artifacts-found-leaking-auth-tokens-in-popular-projects/
GitHub Actions artifacts found leaking auth tokens in popular projects

и както питаше по-напред един колега тук за процесорите - и сега какво, фикс ще пуснат ли
Отг. Твърдо НЕ (това си е проблем на потребителите а те.. някои са баш бая ...Multiple high-profile open-source projects, including those from Google, Microsoft, AWS, and Red Hat, were found to leak GitHub authentication tokens through GitHub Actions artifacts in CI/CD workflows.)

П.П. А някой... и без уязвимости си заминават - тоя знаете ли го?
https://killedbygoogle.com/

Ей го е росно-прясно от вчера дето се вика - ууу убиха 11 годишно
Killed 9 days ago, Chromecast was ($2) a line of digital media players that allowed users to play online content on a television. It was about 11 years old.

По-интересното е (най-вече за Гогата) че вече минмума явно е 4К - останалите до го духат, на никой не му пука за тях (още от римско... ($2) / и с превод на БГ ($2))
- заместника (на горното) - Google TV Streamer (4K) ($2)

Айде бозаджиите... да позакърпят положението

Zero-click Windows TCP/IP RCE impacts all systems with IPv6 enabled, patch now

https://www.bleepingcomputer.com/news/microsoft/zero-click-windows-tcp-ip-rce-impacts-all-systems-with-ipv6-enabled-patch-now/

"Moreover, Microsoft is aware of past instances of this type of vulnerability being exploited."

   Ползвайте ХР, там няма IPv6 поддръжка.  ;D

Или някоя по-стара версия - WIN2K, NT4.0, NT3.5 или Win98/Win95. И по възможност връзката да е през DialUP Modem, по PPP протокол. Стари и НЕ_IPV6 технологии.