67% публичных серверов Apache Superset используют ключ доступа из примера настроек
На 2124 из 3176 изученных публичных серверов с Apache Superset выявлено использование типового ключа шифрования, указанного по умолчанию в примере файла конфигурации. Данный ключ используется в Python-библиотеке Flask для генерации сессионных Cookie, что позволяет знающему ключ атакующему сформировать фиктивные параметры сеанса, подключиться к web-интерфейсу Apache Superset и загрузить данные из привязанных БД или организовать выполнение кода с правами Apache Superset.
Интересно, что изначально исследователи сообщили разработчикам о проблеме ещё в 2021 году, после чего в выпуске Apache Superset 1.4.1, сформированном в январе 2022 года, значение параметра SECRET_KEY было заменено на строку "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET", в код была добавлена проверка, при наличии данного значения выводящая в лог предупреждение.
В феврале этого года исследователи решили повторить сканирование уязвимых систем и столкнулись с тем, что на предупреждение мало кто обращает внимание и 67% серверов Apache Superset по-прежнему продолжают применять ключи из примеров конфигурации, шаблонов развёртывания или документации. При этом среди организаций, использующих ключи по умолчанию, оказались некоторые крупные компании, университеты и госучреждения.
➡️ Указание рабочего ключа в примере конфигурации теперь воспринято как уязвимость (CVE-2023-27524), которая устранена в выпуске Apache Superset 2.1 через вывод ошибки, блокирующей запуск платформы при использовании указанного в примере ключа (учитывается только ключ, указанный в примере конфигурации актуальной версии, старые типовые ключи и ключи из шаблонов и документации не блокируются). Для проверки наличия уязвимости по сети предложен специальный скрипт.
На 2124 из 3176 изученных публичных серверов с Apache Superset выявлено использование типового ключа шифрования, указанного по умолчанию в примере файла конфигурации. Данный ключ используется в Python-библиотеке Flask для генерации сессионных Cookie, что позволяет знающему ключ атакующему сформировать фиктивные параметры сеанса, подключиться к web-интерфейсу Apache Superset и загрузить данные из привязанных БД или организовать выполнение кода с правами Apache Superset.
Интересно, что изначально исследователи сообщили разработчикам о проблеме ещё в 2021 году, после чего в выпуске Apache Superset 1.4.1, сформированном в январе 2022 года, значение параметра SECRET_KEY было заменено на строку "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET", в код была добавлена проверка, при наличии данного значения выводящая в лог предупреждение.
В феврале этого года исследователи решили повторить сканирование уязвимых систем и столкнулись с тем, что на предупреждение мало кто обращает внимание и 67% серверов Apache Superset по-прежнему продолжают применять ключи из примеров конфигурации, шаблонов развёртывания или документации. При этом среди организаций, использующих ключи по умолчанию, оказались некоторые крупные компании, университеты и госучреждения.
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚13👍3
Релиз набора компиляторов GCC 13
- В состав GCC принят фронтэнд для сборки программ на языке программирования Modula-2. Поддерживается сборка кода, соответствующего диалектам PIM2, PIM3 и PIM4, а также принятому ISO-стандарту для данного языка.
- В дерево исходных текстов GCC добавлен фронтэнд c реализацией компилятора языка Rust, подготовленного проектом gccrs (GCC Rust).
- В механизм оптимизации на этапе связывания (LTO) добавлена поддержка cервера управления заданиями (jobserver), поддерживаемого проектом GNU make для оптимизации выполнения параллельной сборки в несколько потоков.
И другие изменения.
- В состав GCC принят фронтэнд для сборки программ на языке программирования Modula-2. Поддерживается сборка кода, соответствующего диалектам PIM2, PIM3 и PIM4, а также принятому ISO-стандарту для данного языка.
- В дерево исходных текстов GCC добавлен фронтэнд c реализацией компилятора языка Rust, подготовленного проектом gccrs (GCC Rust).
- В механизм оптимизации на этапе связывания (LTO) добавлена поддержка cервера управления заданиями (jobserver), поддерживаемого проектом GNU make для оптимизации выполнения параллельной сборки в несколько потоков.
И другие изменения.
🔥11👍3
💡Управление модулями ядра осуществляется следующими утилитами:
В большинстве случаев загрузка модулей осуществляется одной из следующих команд:
lsmod - вывод всех загруженных модулей в виде таблицы.modinfo - вывод информации о модуле: файл модуля, краткое описание, авторы, лицензия, параметры.insmod - утилита для загрузки модулей ядра. Повторяет функционал modprobe название_модуля.rmmod - простая программа для выгрузки модулей. Повторяет функционал modprobe -r название_модуля.modprobe - утилита для загрузки и выгрузки модулей.В большинстве случаев загрузка модулей осуществляется одной из следующих команд:
sudo modprobe название_модуля
sudo insmod название_модуля
При загрузке модуля ему можно указывать определенные параметры:sudo modprobe название_модуля параметр=значение
илиsudo insmod название_модуля параметр=значение
Список параметров можно узнать выполнивmodinfo название_модуля
Выгружаются модули командамиsudo rmmod название_модуля
sudo modprobe -r название_модуля👍11❤4
Мейнтейнер компонентов ядра Linux Такаси Сакамото собрался поддерживать код для устройств с FireWire
Сакамото предупредил Линуса Торвальдса, что уже занялся подготовкой новых правок по этому проекту для ядра Linux 6.4. Разработчик принял этот пост от Стефана Рихтера, который с прошлого года не вносил изменений в код ядра Linux по этому направлению. Ожидается, что поддержка FireWire в Linux прекратится не ранее 2029 года.
Сакамото вызвался наблюдать за подсистемой FireWire для Linux в течение шести лет и будет работать над основными функциями Firewire и звуковыми драйверами для оставшихся немногих пользователей, которые взаимодействуют со своими гаджетами через этот стандарт подключения. Сакамото надеется, что его работа поможет пользователям перейти от FireWire к более современным технологическим стандартам, например, к USB 2.0.
FireWire — один из самых древних стандартов в современной компьютерной истории. Он начал разрабатываться Apple ещё в 1986 году как решение для последовательной шины для высокоскоростной связи и работал как USB-порты, позволяя пользователям подключать внешние устройства к своим компьютерам. Но у FireWire есть несколько преимуществ по сравнению с оригинальными версиями USB, в том числе поддержка последовательной цепочки подключений, подобной Thunderbolt (до 63 устройств), а также поддержка одноранговой сети.
Сакамото предупредил Линуса Торвальдса, что уже занялся подготовкой новых правок по этому проекту для ядра Linux 6.4. Разработчик принял этот пост от Стефана Рихтера, который с прошлого года не вносил изменений в код ядра Linux по этому направлению. Ожидается, что поддержка FireWire в Linux прекратится не ранее 2029 года.
Сакамото вызвался наблюдать за подсистемой FireWire для Linux в течение шести лет и будет работать над основными функциями Firewire и звуковыми драйверами для оставшихся немногих пользователей, которые взаимодействуют со своими гаджетами через этот стандарт подключения. Сакамото надеется, что его работа поможет пользователям перейти от FireWire к более современным технологическим стандартам, например, к USB 2.0.
FireWire — один из самых древних стандартов в современной компьютерной истории. Он начал разрабатываться Apple ещё в 1986 году как решение для последовательной шины для высокоскоростной связи и работал как USB-порты, позволяя пользователям подключать внешние устройства к своим компьютерам. Но у FireWire есть несколько преимуществ по сравнению с оригинальными версиями USB, в том числе поддержка последовательной цепочки подключений, подобной Thunderbolt (до 63 устройств), а также поддержка одноранговой сети.
👍22🌚2😁1
С момента выпуска версии 8.6 было закрыто 17 отчётов об ошибках и внесено 228 изменений. Наиболее важные изменения:
- В компоненте vkd3d реализован API для разбора (vkd3d_shader_parse_dxbc) и сериализации (vkd3d_shader_serialize_dxbc) бинарных данных DXBC. На основе этого API реализованы вызовы d3d10_effect_parse(), parse_fx10_preshader(), d3dcompiler_get_blob_part(), d3dcompiler_strip_shader(), d3dcompiler_get_blob_part(), shader_extract_from_dxbc().
- В PostScript-драйвере продолжено улучшение поддержки spool-файлов, в которых хранятся данные о задании, выводимом на печать.
- Закрыты отчёты об ошибках, связанные с работой игр: Unravel, Street Fighter 4 Benchmark, ReVolt 1207, Sekiro: Shadows Die Twice GOTY, Dark Souls III, Genshin Impact Launcher, Final Fantasy XI Online.
- Закрыты отчёты об ошибках, связанные с работой приложений: Shapes On A Plane, Davar bible, Airscout 1.2.0.5, Conemu.
- В компоненте vkd3d реализован API для разбора (vkd3d_shader_parse_dxbc) и сериализации (vkd3d_shader_serialize_dxbc) бинарных данных DXBC. На основе этого API реализованы вызовы d3d10_effect_parse(), parse_fx10_preshader(), d3dcompiler_get_blob_part(), d3dcompiler_strip_shader(), d3dcompiler_get_blob_part(), shader_extract_from_dxbc().
- В PostScript-драйвере продолжено улучшение поддержки spool-файлов, в которых хранятся данные о задании, выводимом на печать.
- Закрыты отчёты об ошибках, связанные с работой игр: Unravel, Street Fighter 4 Benchmark, ReVolt 1207, Sekiro: Shadows Die Twice GOTY, Dark Souls III, Genshin Impact Launcher, Final Fantasy XI Online.
- Закрыты отчёты об ошибках, связанные с работой приложений: Shapes On A Plane, Davar bible, Airscout 1.2.0.5, Conemu.
👍16🔥1
Организация ISRG (Internet Security Research Group) представила проект Sudo-rs по созданию написанных на языке Rust реализаций утилит sudo и su, позволяющих выполнять команды от имени других пользователей. Под лицензиями Apache 2.0 и MIT уже опубликована предварительная версия Sudo-rs, пока не готовая к повсеместному использованию. Проект планируют завершить в сентябре 2023 года.
В настоящее время работа сосредоточена на реализации в Sudo-rs функций, позволяющих использовать утилиту в качестве прозрачной замены sudo в типовых сценариях использования. В будущем планируется создать библиотеку, позволяющую встраивать функциональность sudo в другие программы, и предоставить альтернативный метод настройки, дающий возможность обойтись без разбора синтаксиса файла конфигурации sudoers.
В настоящее время работа сосредоточена на реализации в Sudo-rs функций, позволяющих использовать утилиту в качестве прозрачной замены sudo в типовых сценариях использования. В будущем планируется создать библиотеку, позволяющую встраивать функциональность sudo в другие программы, и предоставить альтернативный метод настройки, дающий возможность обойтись без разбора синтаксиса файла конфигурации sudoers.
👍7🌚3
Из изменений в Debian 11.7 можно отметить обновление до свежих стабильных версий пакетов clamav, dpdk, flatpak, galera-3, intel-microcode, mariadb-10.5, nvidia-modprobe, postfix, postgresql-13, shim. Удалены пакеты bind-dyndb-ldap (не работает с новыми выпусками bind9), python-matrix-nio (имеет проблемы с безопасностью и не поддерживает актуальные версии серверов matrix), weechat-matrix, matrix-mirage и pantalaimon (зависят от удалённого python-matrix-nio).
Опубликовано седьмое корректирующее обновление дистрибутива Debian 11, в которое включены накопившиеся обновления пакетов и устранены недоработки в инсталляторе. Выпуск включает 92 обновления с устранением проблем со стабильностью и 102 обновления с устранением уязвимостей.
Из изменений в Debian 11.7 можно отметить обновление до свежих стабильных версий пакетов clamav, dpdk, flatpak, galera-3, intel-microcode, mariadb-10.5, nvidia-modprobe, postfix, postgresql-13, shim. Удалены пакеты bind-dyndb-ldap (не работает с новыми выпусками bind9), python-matrix-nio (имеет проблемы с безопасностью и не поддерживает актуальные версии серверов matrix), weechat-matrix, matrix-mirage и pantalaimon (зависят от удалённого python-matrix-nio).
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚6👍2
💡 Базовые команды для работы с терминалом
clear — очищает всю выведенную в консоль информацию.
history — отображает ранее введенные команды.
whatis — вкратце описывает любую установленную программу.
man — демонстрирует подробное руководство по выбранной программе или команде.
clear — очищает всю выведенную в консоль информацию.
history — отображает ранее введенные команды.
whatis — вкратце описывает любую установленную программу.
man — демонстрирует подробное руководство по выбранной программе или команде.
🌚11❤4😁1
Cisco выпустила свободный антивирусный пакет ClamAV 1.1.0
- Реализована возможность извлечения изображений, встроенных в блоки CSS-стилей.
- В утилите sigtool добавлена опция "--vba", обеспечивающая извлечение VBA-кода из документов MS Office по аналогии с тем, как это делает libclamav.
- В clamscan и clamd добавлена опция "--fail-if-cvd-older-than=число_дней" и параметр конфигурации FailIfCvdOlderThan, при указании которых запуск clamscan и clamd завершится ошибкой, если вирусная база старее указанного числа дней.
- Для математических операций с большими числами вместо отдельной библиотеки TomsFastMath задействованы возможности OpenSSL.
И другие изменения.
- Реализована возможность извлечения изображений, встроенных в блоки CSS-стилей.
- В утилите sigtool добавлена опция "--vba", обеспечивающая извлечение VBA-кода из документов MS Office по аналогии с тем, как это делает libclamav.
- В clamscan и clamd добавлена опция "--fail-if-cvd-older-than=число_дней" и параметр конфигурации FailIfCvdOlderThan, при указании которых запуск clamscan и clamd завершится ошибкой, если вирусная база старее указанного числа дней.
- Для математических операций с большими числами вместо отдельной библиотеки TomsFastMath задействованы возможности OpenSSL.
И другие изменения.
❤4
💡Как отключить вход в систему через SSH-root
Доступ с root-доступом по ssh считается плохой практикой с точки зрения безопасности. Поэтому рекомендуется отключить вход в систему SSH Root для защиты вашей системы.
Чтобы отключить вход в систему root ssh, отредактируйте файл
Доступ с root-доступом по ssh считается плохой практикой с точки зрения безопасности. Поэтому рекомендуется отключить вход в систему SSH Root для защиты вашей системы.
Чтобы отключить вход в систему root ssh, отредактируйте файл
sshd_config:$ sudo vi /etc/ssh/sshd_configНайдите следующую строку, раскомментируйте ее и установите значение
no.PermitRootLogin noПерезапустите службу SSH, чтобы изменения вступили в силу немедленно:
$ sudo systemctl restart sshd👍16😍2
Разработчики проекта X.Org объявили о прекращении сопровождения некоторых библиотек, драйверов и утилит X Window System, обновления для которых больше не будут выпускаться, даже в случае выявления уязвимостей. Репозитории данных пакетов переведены в архивный статус, подразумевающий прекращение приёма исправлений и сообщений об ошибках. Дистрибутивы могут продолжать поставку этих пакетов, но на свой страх и риск. Выбранные для прекращения поддержки пакеты потеряли актуальность, неработоспособны с новыми версиями X-сервера или привязаны к устаревшим API. Фактически поддержка данных пакетов уже прекращена в прошлые годы, но об этом явно не объявлялось.
😎9🌚5
В пакетном менеджере APT 2.7 реализована поддержка снапшотов
В новом выпуске добавлена начальная поддержка снапшотов, управляемая опцией "--snapshot" ("-S"), при помощи которой можно обратиться к серверам репозиториев, поддерживающих снапшоты, и выбрать определённое состояние архива репозитория.
Например, указав "--snapshot 20230502T030405Z" можно работать со срезом состояния репозитория, зафиксированным 2 мая 2023 года в 03:04:05.
Снапшоты настраиваются в секции APT::Snapshot в файлах sources-list. В новой версии также реализована опция "--update" ("-U"), позволяющая во время выполнения команд установки или обновления пакетов (apt install или apt upgrade) автоматически запустить операцию "apt update" для синхронизации индексов до открытия кэша и обработки sources.list.
В новом выпуске добавлена начальная поддержка снапшотов, управляемая опцией "--snapshot" ("-S"), при помощи которой можно обратиться к серверам репозиториев, поддерживающих снапшоты, и выбрать определённое состояние архива репозитория.
Например, указав "--snapshot 20230502T030405Z" можно работать со срезом состояния репозитория, зафиксированным 2 мая 2023 года в 03:04:05.
Снапшоты настраиваются в секции APT::Snapshot в файлах sources-list. В новой версии также реализована опция "--update" ("-U"), позволяющая во время выполнения команд установки или обновления пакетов (apt install или apt upgrade) автоматически запустить операцию "apt update" для синхронизации индексов до открытия кэша и обработки sources.list.
👍7
Проект Pulse Browser развивает экспериментальный форк Firefox
Доступен для тестирования новый web-браузер Pulse Browser, построенный на кодовой базе Firefox и экспериментирующий с идеями по повышению удобства работы и построению минималистичного интерфейса. Сборки формируются для платформ Linux, Windows и macOS. Код распространяется под лицензией MPL 2.0.
Браузер примечателен проведением чистки кода от компонентов, связанных со сбором и отправкой телеметрии, и заменой некоторых типовых возможностей на сторонние открытые аналоги. Например, для противодействия отслеживанию перемещений в базовую поставку добавлен блокировщик рекламы uBlock Origin. В состав также включено дополнение QR Code Generator для генерации QR-кодов со ссылкой на сайты и дополнение Tabliss с альтернативной настраиваемой реализацией страницы, показываемой при открытии новой вкладки.
Доступен для тестирования новый web-браузер Pulse Browser, построенный на кодовой базе Firefox и экспериментирующий с идеями по повышению удобства работы и построению минималистичного интерфейса. Сборки формируются для платформ Linux, Windows и macOS. Код распространяется под лицензией MPL 2.0.
Браузер примечателен проведением чистки кода от компонентов, связанных со сбором и отправкой телеметрии, и заменой некоторых типовых возможностей на сторонние открытые аналоги. Например, для противодействия отслеживанию перемещений в базовую поставку добавлен блокировщик рекламы uBlock Origin. В состав также включено дополнение QR Code Generator для генерации QR-кодов со ссылкой на сайты и дополнение Tabliss с альтернативной настраиваемой реализацией страницы, показываемой при открытии новой вкладки.
👍8