#prog
Вероятно, в ближайшее время в std #rust вместо пачки NonZero-типов будет один обобщённый тип NonZero
Вероятно, в ближайшее время в std #rust вместо пачки NonZero-типов будет один обобщённый тип NonZero
GitHub
Tracking Issue for generic `NonZero` · Issue #120257 · rust-lang/rust
Feature gate: #![feature(generic_nonzero)] This is a tracking issue for replacing the distinct NonZero* types with a generic NonZero<T> type. This allows using NonZero with FFI type aliases i...
❤🔥16🔥1🎉1
#game
Рекомендую сию чудесную вещь — Годвилль. Играю вот уже... Семь с половиной лет.
youtube.com/watch?v=lEMz9mUWAak
Рекомендую сию чудесную вещь — Годвилль. Играю вот уже... Семь с половиной лет.
youtube.com/watch?v=lEMz9mUWAak
YouTube
Годвилль - Письмо игроделам
По мотивам идей для Годвилля - игры без игрока (https://godville.net).
Отдельное спасибо корованам (https://lurkmore.to/Корованы) и гениальному креативу (https://wiki.godville.net/Примеры_гениального_креатива).
Отдельное спасибо корованам (https://lurkmore.to/Корованы) и гениальному креативу (https://wiki.godville.net/Примеры_гениального_креатива).
❤4
Forwarded from Технологический Болт Генона
Наша постоянная рубрика
Обновляем гитлабчики 💅💅💅
Уязвимость в GitLab, позволяющая записать файлы в произвольный каталог на сервере
https://www.opennet.ru/opennews/art.shtml?num=60498
+
Оригинал
https://about.gitlab.com/releases/2024/01/25/critical-security-release-gitlab-16-8-1-released/#arbitrary-file-write-while-creating-workspace
Issue https://gitlab.com/gitlab-org/gitlab/-/issues/437819, но она в приватном режиме.
Обновляем гитлабчики 💅💅💅
Опубликованы корректирующие обновления платформы для организации совместной разработки - GitLab 16.8.1, 16.7.4, 16.6.6 и 16.5.8, в которых устранены 5 уязвимостей. Одной из проблем (CVE-2024-0402), которая проявляется начиная с выпуска GitLab 16.0, присвоен критический уровень опасности. Уязвимость позволяет аутентифицированному пользователю записать файлы в любой каталог на сервере, насколько это позволяют права доступа, под которыми выполняется web-интерфейс GitLab.
Уязвимость вызвана ошибкой в реализации функции создания рабочих пространств (workspace). Ошибка проявляется при разборе параметров devfile, заданных в некорректном формате YAML (в патче проблема решена преобразованием YAML в JSON и проверкой наличия конструкций, корректных в YAML, но недопустимых в JSON из-за использования определённых Unicode-символов). Детальную информацию об уязвимости планируют раскрыть через 30 дней после публикации исправления. Уязвимость выявлена в ходе внутренней проверки одним из сотрудников компании GitLab.
Уязвимость в GitLab, позволяющая записать файлы в произвольный каталог на сервере
https://www.opennet.ru/opennews/art.shtml?num=60498
+
Оригинал
https://about.gitlab.com/releases/2024/01/25/critical-security-release-gitlab-16-8-1-released/#arbitrary-file-write-while-creating-workspace
Issue https://gitlab.com/gitlab-org/gitlab/-/issues/437819, но она в приватном режиме.
🤯5😁1
Forwarded from Русская Жизнь
Please open Telegram to view this post
VIEW IN TELEGRAM
🎉17👍3🥰1😁1😱1
Forwarded from Технологический Болт Генона
Jenkins выкатил Advisory
Jenkins Security Advisory 2024-01-24
https://www.jenkins.io/security/advisory/2024-01-24/
И там есть классное
Arbitrary file read vulnerability through the CLI can lead to RCE
CVE-2024-23897
Severity (CVSS): Critical
И есть PoC уже тоже
https://github.com/h4x0r-dz/CVE-2024-23897
https://www.securitylab.ru/news/545554.php
Jenkins Security Advisory 2024-01-24
https://www.jenkins.io/security/advisory/2024-01-24/
И там есть классное
Arbitrary file read vulnerability through the CLI can lead to RCE
CVE-2024-23897
Severity (CVSS): Critical
This allows attackers to read arbitrary files on the Jenkins controller file system using the default character encoding of the Jenkins controller process.
- Attackers with Overall/Read permission can read entire files.
- Attackers without Overall/Read permission can read the first few lines of files. The number of lines that can be read depends on available CLI commands. As of publication of this advisory, the Jenkins security team has found ways to read the first three lines of files in recent releases of Jenkins without having any plugins installed, and has not identified any plugins that would increase this line count.
И есть PoC уже тоже
https://github.com/h4x0r-dz/CVE-2024-23897
Особенностью парсера команд, использующегося в Jenkins, является замена символа "@" на содержимое файла, если путь к файлу следует за этим символом в аргументе команды. Эта функция активирована по умолчанию в версиях Jenkins 2.441 и более ранних, а также в LTS 2.426.2 и более ранних, и до недавнего времени не была отключена.
. . .
Кроме того, недостаток может быть использован для чтения бинарных файлов, содержащих криптографические ключи, хотя и с определенными ограничениями. Извлечение секретов открывает путь к различным атакам:
- Удаленное выполнение кода через корневые URL-адреса ресурсов;
- Удаленное выполнение кода через cookie-файл «Запомнить меня»;
- Удаленное выполнение кода с помощью XSS-атак (Cross-Site Scripting, XSS) через журналы сборки;
- Удаленное выполнение кода через обход защиты CSRF (Cross-Site Request Forgery);
- Расшифровка секретов, хранящихся в Jenkins;
- Удаление любого элемента в Jenkins;
- Загрузка дампа кучи Java.
https://www.securitylab.ru/news/545554.php
👍1