Изпечатай

[4096bits]

Повече тук: https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt

[remotexx]

Всеки ден ще е така, до победата! - казало ИИ

имам чувството че вече ползват ИИ утилки (да ги набарат тия дупки) ама не си признават


https://techcrunch.com/2024/07/03/twilio-says-hackers-identified-cell-phone-numbers-of-two-factor-app-authy-users/
...а хората се радват 

П.П. Подозирам скоро ИИ ще му е толкова лесно да излъже човек, колкото човека.... нар. куче (за него той е почти бог)

[remotexx]

А имам(е) новинка и за всички фенове на смоко...
https://thehackernews.com/2024/07/github-token-leak-exposes-pythons-core.html

TLDR; The admin of PIP leaked his GitHub token

Great! "You have a vulneravility, it is called Python"

..time to move all your python tools to Go or Rust 

[4096bits]

Ето за това човек трябва да автоматизира всички рутинни задачи.
Правиш контейнера, накрая триеш каквото трябва. И, ако последното трябва да го правиш всеки път, правиш скрипт, който да прави накрая точно това и не се занимаваш повече.
Щото човек се отнася и забравя или просто пропуска.

[remotexx]

Наскоро оправихме Лаб-а, ха честито и на (феновете на) Хъб-а
https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github

You can access data from deleted forks, deleted repositories and even private repositories on GitHub. And it is available forever. This is known by GitHub, and intentionally designed that way.

наздраве 

[4096bits]

Наскоро оправихме Лаб-а, ха честито и на (феновете на) Хъб-а
https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github

You can access data from deleted forks, deleted repositories and even private repositories on GitHub. And it is available forever. This is known by GitHub, and intentionally designed that way.

наздраве 

Някак не съм очуден.
Изглежда Майкрософт правят нарочно данните публични, за да могат да си тренират AI-тата като намалят и риска от дела или неблагоприятен изход от тях.
Чудя се, дали няма да има и промени по EULA, които да им вържат гащите.
А защо не и доброволно да им се съгласиш, да предоставиш всичко.

Тъй или иначе не бих ползвал GitHub за нищо сериозно.
Там имам само малко javascript, защото е най-удобно да кача за публично ползване.

[remotexx]

Наздраве за вендора дето leak-ва ключа 

https://arstechnica.com/security/2024/07/secure-boot-is-completely-compromised-on-200-models-from-5-big-device-makers/
Secure Boot is completely broken on 200+ models from 5 big device makers

...a cryptographic key underpinning Secure Boot on those models that was compromised in 2022. In a public GitHub repository committed in December of that year

[4096bits]

Изглежда има много хора, които не са и чували за gitignore или не им се занимава с несъществени работи 

[remotexx]

Мдаа несъществени работи.. а някой (вече) кешират и от хеширани пароли

https://www.csoonline.com/article/3478933/critical-servicenow-vulnerabilities-expose-businesses-to-data-breaches.html

особено секция [Understanding the vulnerabilities]

П.П. Някой откриха топлата вода в обалците, но... от вода до вода има разлика 
т.е. някои залагат (и) на сигурността а други.. карат на принципа е карай да върви нали паролите са хеширани обаче като навържат (по) няколко CVE-та акерите (дали и ИИ не им подсказава вече) и става интересно.

А от др. страна пък (бизнеса) си мислят че ще се измъкнатсамо с едни  с по яки адвокати т.е. че техните са по яките ..докато не се стигне до някой class action lawsuit:
https://techcrunch.com/2024/07/30/healthequity-data-breach-affects-4-3-million-people/

П.П.П. акенца, акенца ама акването отива да става печеливш бизнес
https://www.forbes.com/sites/daveywinder/2024/07/31/record-breaking-75-million-ransom-paid-to-dark-angels-gang/

[remotexx]

Oh, SSHit - this is serious, isn't it?
https://www.theregister.com/2024/08/07/vulnerable_ssh_implementations_are_everywhere/

...и още нещо,  в стил "пиши к@р и да си ходим" (за който иска да се разпише де - там по публични и частни репота)
https://x.com/InsecureNature/status/1819818382902091805

Cross Fork Object Reference (CFOR) allows you to "Graffiti" any repository you'd like.

[remotexx]

А това
https://cybersecuritynews.com/microsoft-entra-id-vulnerability/
While it remains unclear if any organizations were compromised via these vulnerabilities, the potential impact was extensive.

т.е. искат да кажат че /се правят че/ не знаят колко и кои са засегнати, но иначе на M$ даже и уязвимостите им "са с голям потенциал" 

[4096bits]

За пореден път 

MS AD винаги е създавала проблеми, но да ти позволи глобални администраторски права е вече прекалено 

[spec1a]

   Активните директории са проблематични по дефиниция,даже се
учудвам защо са хванали толкова малко дупки в сигурността там.

   Като системен администратор ми се е налагало да правя такива
и са ми ясни що за "хубост" са ...
Няколко пъти са ме проверявали (основно от "Делойт" и "Ърнст&Янг")
и никога не са хващали проблеми там (имам предвид видимите  ).

[remotexx]

Аз само да вметна, че... и на т'ва май вече му смениха името
много дупки явно в старото, няма страшно тепърва ще разпробиват и у новото (в крак с новите тенденций ще му турят и на него Х-кса)

https://learn.microsoft.com/en-us/entra/fundamentals/new-name
Azure Active Directory is now Microsoft Entra ID.

[4096bits]

На мен ми е чудно, кой собственик или директор на компания ще реши да се занимава с това.
Защо изобщо се захващат с нещо толкова доказало се като ненадеждно.