Forwarded from Технологический Болт Генона
Тутова на днях ВНЕЗАПНО11!!11 в Confluence нашли дырку страшную в авторизации, что аж 10/10 поставили. Могут все данные удалить, а могут ransomware залить.
https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html
По ссылке на GH лежит скрипт на Python, который позволяет проверить как дела у вашей инсталляции
https://github.com/ForceFledgling/CVE-2023-22518
As part of Atlassian's ongoing monitoring and investigation of this CVE, we observed several active exploits and reports of threat actors using ransomware. We have escalated CVE-2023-22518 from CVSS 9.1 to 10, the highest critical rating, due to the change in the scope of the attack.
. . .
All versions of Confluence Data Center and Server are affected by this vulnerability. This Improper Authorization vulnerability allows an unauthenticated attacker to reset Confluence and create a Confluence instance administrator account. Using this account, an attacker can then perform all administrative actions that are available to Confluence instance administrator leading to a full loss of confidentiality, integrity and availability.
https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html
По ссылке на GH лежит скрипт на Python, который позволяет проверить как дела у вашей инсталляции
https://github.com/ForceFledgling/CVE-2023-22518
🤣5👍1😱1
Forwarded from Афиша Daily
This media is not supported in your browser
VIEW IN TELEGRAM
«ТНТ Music» заблюрил радугу в клипе кей-поп-группы Seventeen «God Of Music» — вместо нее показали черно-белое изображение. В интернете предположили, что канал опасается новых штрафов за «ЛГБТ-пропаганду».
Подписывайтесь на Афишу Daily 🙃
Подписывайтесь на Афишу Daily 🙃
🤡24😁7👍1
Вы когда-нибудь пробовали в аэропорту договориться с улетающим пассажиром, чтобы тот передал нужную вещь?
Вот я не просто пробовал, но и успешно договорился.
Кто молодец? Я молодец.
Вот я не просто пробовал, но и успешно договорился.
Кто молодец? Я молодец.
💯15🌚8🤡4❤1
#prog #article
How we found and fixed a rare race condition in our session handling
Статья от Github о вызванном состоянием гонки баге, из-за которого пользователь мог залогиниться как другой пользователь, о том, как его нашли и как починили.
How we found and fixed a rare race condition in our session handling
Статья от Github о вызванном состоянием гонки баге, из-за которого пользователь мог залогиниться как другой пользователь, о том, как его нашли и как починили.
The GitHub Blog
How we found and fixed a rare race condition in our session handling
On March 8, out of an abundance of caution, we logged all users out of GitHub.com. In this post we share technical details of the vulnerability and steps we're taking to ensure it doesn't happen again.
🌚3👍2
#prog #rust
Faster compilation with the parallel front-end in nightly
TL;DR:
Пока что на nightly, потому что в реализации всё ещё есть баги, вызывающие дедлоки, и потому что параллельность фронтенда пока что не эксплуатируется в полной мере.
Использование
Как ни странно, бекенд это тоже в некоторой степени ускоряет, потому что генерация LLVM IR для codegen unit-ов также происходит параллельно.
Faster compilation with the parallel front-end in nightly
TL;DR:
RUSTFLAGS="-Z threads=8" cargo +nightly build --releaseПока что на nightly, потому что в реализации всё ещё есть баги, вызывающие дедлоки, и потому что параллельность фронтенда пока что не эксплуатируется в полной мере.
Использование
threads=1 в среднем примерно на полтора процента медленнее текущего однопоточного фронтенда. Как ни странно, бекенд это тоже в некоторой степени ускоряет, потому что генерация LLVM IR для codegen unit-ов также происходит параллельно.
👍7❤🔥1🔥1
Forwarded from Segment@tion fault
- а как ты дебажишь Rust в проде?
- я заливаю специальную сборку
- что за сборка? ты же не просто обложил её принтами?
- ...
- я заливаю специальную сборку
- что за сборка? ты же не просто обложил её принтами?
- ...
🥰31
#prog #rust
В Google переписывают Android binder (компонент ядра для IPC) с C на Rust. Это компонент, который используется практически всем на Android, а потому для нормального функционирования он должен быть быстрым и корректным.
Авторы ожидают, что переписывание кода позволит и дальше развивать binder, избавиться от накопившегося техдолга и повысить его безопасность.
В качестве преимуществ Rust называют:
* возможность закодировать в системах типов инварианты, которые в C надо поддерживать самостоятельно.
* деструкторы, избавляющие от необходимости вручную освобождать ресурсы (корректная деинициализация в C требует неловкого паттерна goto cleanup).
* обработка ошибок проще: игнорирование потенциальных ошибок приводит к ошибке компиляции.
Переписанный вариант имеет отличную от текущего варианта Binder архитектуру, но имеет почти ту же функциональность. Пока что не реализованы фичи для отладки. Все тесты проходят, а бенчмарки показывают, что переписанный вариант сопоставим по производительности с исходным (где-то быстрее, где медленнее). Автор патча при этом отмечает, что это синтетические бенчмарки и для полной уверенности следует проверить производительность на реальной системе.
В наборе патчей непереписанным остался компонент binderfs:
В Google переписывают Android binder (компонент ядра для IPC) с C на Rust. Это компонент, который используется практически всем на Android, а потому для нормального функционирования он должен быть быстрым и корректным.
Авторы ожидают, что переписывание кода позволит и дальше развивать binder, избавиться от накопившегося техдолга и повысить его безопасность.
В качестве преимуществ Rust называют:
* возможность закодировать в системах типов инварианты, которые в C надо поддерживать самостоятельно.
* деструкторы, избавляющие от необходимости вручную освобождать ресурсы (корректная деинициализация в C требует неловкого паттерна goto cleanup).
* обработка ошибок проще: игнорирование потенциальных ошибок приводит к ошибке компиляции.
Переписанный вариант имеет отличную от текущего варианта Binder архитектуру, но имеет почти ту же функциональность. Пока что не реализованы фичи для отладки. Все тесты проходят, а бенчмарки показывают, что переписанный вариант сопоставим по производительности с исходным (где-то быстрее, где медленнее). Автор патча при этом отмечает, что это синтетические бенчмарки и для полной уверенности следует проверить производительность на реальной системе.
В наборе патчей непереписанным остался компонент binderfs:
We have left the binderfs filesystem component in C. Rewriting it in Rust would be a large amount of work and requires a lot of bindings to the file system interfaces. Binderfs has not historically had the same challenges with security and complexity, so rewriting binderfs seems to have lower value than the rest of Binder.❤🔥31👍7