Выполнение удаленного кода в apt / apt-get:

https://justi.cz/security/2019/01/22/apt-rce.html

Кто пишет bash скрипты, многие, если не каждый использует или использовал date в своем скрипте, небольшой челледж на тему акутальности используемых дат в bash скриптах:

https://sys-adm.in/programming/814-aktualnye-daty-v-bash-skripte.html

Заплатка уже есть:
apt (1.4.9) stretch-security; urgency=medium

* SECURITY UPDATE: content injection in http method (CVE-2019-3462)
(LP: #1812353)

$ sudo apt-get update && apt-get upgrade

В результате выпущен корректирующий релиз Debian 9.7 где уже в установочном образе закрыта эта уязвимость.

Интересно то, что этот релиз содержит только корректировки для apt уязвимости:

https://www.debian.org/News/2019/20190123

Тот случай, когда нашел старый Zabbix на виртуалке или когда он (Zabbix) достался от предыдущегго админа... Да мало-ли сколько может быть случаев :)

https://sys-adm.in/systadm/815-kak-sbrosit-parol-dlya-polzovatelya-zabbix-v-mysql-postgresql.html

AWS объявил о запуске Amazon WorkLink, службы, которая позволяет организациям предоставлять сотрудникам простой и безопасный доступ к внутренним веб-сайтам и приложениям со своих мобильных устройств без необходимости использования VPN или специального браузера:

https://aws.amazon.com/worklink/

Microsoft объявила в своем официально м блоге о покупке компании, которая активно участвует в разработке PostgreSQL...

Объявление вроде серьезное, при этом фотожаба в начале поста явно сделана школьником. Качество MS как всегда на высоте :)

https://blogs.microsoft.com/blog/2019/01/24/microsoft-acquires-citus-data-re-affirming-its-commitment-to-open-source-and-accelerating-azure-postgresql-performance-and-scale/

Если ты используешь Linux, но еще не знаешь, что такое Flatpak, то это нужно срочно исправить :)

Тем, кто уже использует механизм самодостаточных пакетов - вышло обновление, которое содержит множество новшеств, детали здесь:

https://www.opennet.ru/opennews/art.shtml?num=50040

Теперь банковские приложения, больницы и даже 2Gis будут сохранять и передавать данные пользователей "куда надо":

https://roskomsvoboda.org/44595/

Прям таки уж и баг :)

https://xakep.ru/2019/01/29/facetime-spying/

Python сегодня занимает плотную нишу в жизни админа, на нем можно писать просто скрипты, а можно полноценные web-приложения, микросервисы и т.п.

SkillFactory приглашают на онлайн-курс "Веб-разработка полного цикла на Python", где можно получить хороший фундамент фулстек разработчика и пойти работать в компании, где такие специалисты довольно востребованы. Курс ведет R&D разработчик, лектор РЭУ им. Плеханова с опытом программирования на Python более 10 лет.

Чему учит курс:
- Основам программирования на Python, познакомитесь с функциями и массивами, научитесь работать с файлами, в частности с форматом JSON, изучите работу с библиотеками и применение коллекции для решения практических задач.
- Основам работы с Django-приложениями и работы с базами данных при помощи инструментов Django, а также основам языка SQL и работы с MS SQL.
- Основам сбора данных и работы с API и Библиотекой Beautiful Soup.
- Верстке сайта на HTML и CSS, пройдете интенсив для базового понимания фронта и публикации сайта на хостинг.
⁠
В конце курса Вы полностью разработает свой собственный проект на Python!
Подробности, полная программа курса доступна по ссылке → https://goo.gl/9N1J3S

PoC о том, как поднять привилегии до администратора домена при помощи Exchange:

https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/

Греф как-то сказал - не нужны IT специалисты, все, точка. Нужны бюджеты :)

Если серьезно, уже который раз у Сбербанка возникают проблемы с безопасностью и конфиденциальностью:

https://www.anti-malware.ru/news/2019-01-30-1447/28700

Прикольно... В Android возможно многие встречали такой файл-менеджер, как ES File Explorer? Наверняка встречали, кто-то пользуется и рекомендует его всем подряд...

Оказывается этот менеджер, имел встроенный, скрытый web сервер, через который, к примеру можно было удаленно скачивать файлы с устройства...

Вот скрипт на GitHub который позволяет использовать эту "уязвимость":
https://github.com/fs0c131y/ESFileExplorerOpenPortVuln

Вот собственно видос:
https://www.youtube.com/watch?v=z6hfgnPNBRE

История о том, как Facebook собирал (и ещё собирает на Android) данные с мобильных гаджетов включая iOS устройства, вопреки вендорным политикам...

Собиралось буквально все.

Крысиная история, любителям использовать приложения от FB (афилированность не всегда прослеживается, благодаря предусмотрительности FB), посвящается:

https://iphone.appleinsider.com/articles/19/01/29/facebook-pays-users-to-sideload-data-gathering-vpn-in-apparent-violation-of-apple-privacy-policies

Государственный банк Индии отлично справился с задачей публикации данных своих клиентов. Данные миллионов пользователей успешно обнародованы:

https://www.informationsecuritybuzz.com/expert-comments/state-bank-of-indias-massive-data-leak/

Сегодня 1 февраля 2019 года, настал тот самый DNS flag day. Столкнулся ли ты с трудностями доступа к сайтам? https://dnsflagday.net
anonymous poll

НЕТ. Не заметил изменений. 👍🏼 – 566
👍👍👍👍👍👍👍 84%

Что такое DNS? 👁👁 – 61
👍 9%

ДА. Некоторые сайты легли и не поднимаются. 👎🏼 – 44
👍 7%

👥 671 people voted so far.

Google+ переходит в завершающую стадию отключения, финальная новость в офф блоге:

https://russia.googleblog.com/2019/01/google.html?m=1

За новость спасибо @uart_mode

Готов новый релиз OpenWrt. Обновлено ядро, добавлены фиксы безопасности для Glibc, BZip2, Grub, OpenSSL, MbedTLS улучшена поддержка ipv6:

https://openwrt.org/releases/18.06/notes-18.06.2

Немного о том, что такое Flatpak и как его использовать:

https://sys-adm.in/sections/os-nix/816-flatpak-chto-eto-i-kak-ego-mozhno-ispolzovat-v-linux.html

Защита по максималке от Microsoft, мёртвый комп - защищённый комп :)
Обновление Windows Defender вызывает проблемы с загрузкой Windows, информация о проблемах об этом на официальном сайте Microsoft:
https://support.microsoft.com/en-us/help/4052623/update-for-windows-defender-antimalware-platform