Инцидент с подстановкой непристойных выражений в инсталлятор Ubuntu 23.10

https://www.opennet.ru/opennews/art.shtml?num=59922

Bitwarden и Vaultwarden повреждены

Кто использует Bitwarden или Vaultwarden скрестите пальцы. Дело в том, что в состав этих продуктов входит компонент SweetAlert2, который разрабатывают неадекватные люди.

Поясню. Время от времени Web интерфейс этих продуктов будет зависать у вас в браузере. Лечится это очисткой куков и кешей. Но потом опять появляется через какое-то время. Причем не всегда и не везде, зависит еще от браузера. К примеру в Firefox замечено чаще чем в других.

Проблема заключается в том, что с 24.02.2022 в компонент SweetAlert2 были внесены следующие изменения:
• 2022-11-24 Became a protestware, disabling plugin for the .ru, .su, and .рф domain zones and playing Ukrainian national anthem
• 2023-06-06 Добавлена доменная зона .by в вышеуказанное

Проще говоря, если интерфейс браузер на русском, а домен заканчивается на ru, то ваш браузер при входе в веб версию менеджера паролей будет пытаться воспроизвести файл https://flag-gimn.ru/wp-content/uploads/2021/09/Ukraina.mp3 и при этом доступ на веб версию сайта будет заблокирован. Вы не сможете ни ввести пароль, ни войти, ни выйти.

Разработчики Bitwarden уже исправили проблему и отказались от использования этого компонента. А вот VaultWarden тупит и ждет непонятно чего.

Имейте ввиду.

Через взлом службы поддержки Okta были украдены токены доступа клиентов компании.

https://sec.okta.com/harfiles

Кучно как-то пошло:

Зафиксирован перехват шифрованного трафика jabber.ru и xmpp.ru

https://www.opennet.ru/opennews/art.shtml?num=59965

По рекомендациям: добавьте уже CAA запись в ДНС, подпишитесь на CT-логи (ну или хотя бы периодически проверяйте https://crt.sh на выпуск сертификатов для вашего домена). Ну и по классике - не держите все яйца в одной корзине: разнесите по разным местам хостинг, ДНС, регистратора etc.

Ну и добавлю еще. Для меня Hetzner и Linode умерли, как хостеры. Если раньше я еще как-то рекомендовал Hetzner друзьям и знакомым, то теперь - категорически не рекомендую даже думать в их сторону.

Прилетела статистика ко вчерашнему разговору в соседнем чате:

В России блокируют 167 VPN-сервисов и больше 200 почтовых сервисов

– Под блокировку в России попали уже 167 VPN-сервисов
– Также в России заблокированы 200+ почтовых сервисов
– Это делают для противодействия угрозам безопасности
– Под блокировкой также находятся 590+ тыс. ресурсов
– Еще 84+ приложения и 24 центров рапространения ПО
– Более 17,5 тыс. IP-адресов включены в «белый список»
– Адреса из «белого списка» исключены из фильтрации

Если кому надо малинок прикупить - обращайтесь к проверенным людям :)

Похоже Телеграм сломал ботов, которые внезапно перестали работать в каналах с сообщением "Bad Request: not enough rights to send text messages to the chat".

Многие разработчики ботов сообщают о проблемах и на GitHub и на StackOverflow.

Интересное в IT

Все заработало. Похоже пофиксили проблему.

Если вы фанат cli-утилит и управляете #k8s, то попробуйте KDash. Вам может понравится.

https://github.com/kdash-rs/kdash

Интересное в IT

Сбер открыл API для GigaChat (их содственный аналог ChatGPT). И он бесплатный для некомерческих задач.

Интересное в IT

Битва за флешку: кто изобрел USB-накопитель?

Флеш-накопитель был разработан в результате сочетания флеш-памяти и интерфейса USB, заменяя дискеты. Технологическая среда того времени способствовала появлению этого изобретения. Один из первых, кто вывел флешку на коммерческий рынок, был сингапурец Хенн Тан. Он вел судебные споры о нарушении патентов, но ему удалось добиться лишь ограниченного успеха. В 1994 году был разработан стандарт USB, обеспечивший единообразный интерфейс для подключения устройств хранения данных. В конце 1990-х годов разные компании начали пытаться получить патент на USB-флеш-накопитель, и израильская компания M-Systems в 2000 году получила права на форм-фактор DiskOnKey. Этому развитию также способствовала идея Сингапурской компании Trek 2000, которая предложила сочетание памяти и USB-порта. История памяти началась в 1967 году с создания mosfet-транзистора, а в 1970 году было изобретено стираемое/программируемое пзу (EPROM).

https://habr.com/ru/companies/first/articles/771294/

@Интересное в IT

Первый софт для брутфорса

"2012 IEEE Symposium on Security and Privacy" is an important event in the field of computer security and privacy. It showcased the latest research and advancements in areas such as network security, cryptography, and data privacy. Participants from academia, industry, and government presented their findings and exchanged ideas to enhance security measures in the digital world.

https://habr.com/ru/companies/globalsign/articles/770608/

@Интересное в IT

The Verge: Google Registry запускает новый домент верхнего уровня .ing

– Зарегистрировать домен .ing можно в рамках раннего доступа
– При этом нужно будет заплатить единовременную доп. плату
– Размер платы будет снижаться каждый день до 5 декабря
– Планируется, что 5 декабря домены .ing станут общедоступны
– Google Registry также работает над новым доменом .meme
– Пока на .meme действует ограниченный период регистрации
– Ранний доступ откроют 28 ноября, общий начнется 5 декабря

@Интересное в IT

Вас сдаст Гитхаб: деанонимизация пользователей SSH-серверов

Феномен утечки информации людей, использующих SSH, является долгоживущим явлением, на которое автор обратил внимание и хочет предостеречь о его опасности, особенно в настоящее время. SSH использует асимметричную криптографию для шифрования связи, а GitHub, как один из известных сервисов Git, публикует открытые ключи пользователей. Злоумышленники могут просканировать эти ключи и использовать их для идентификации граждан, ставя под угрозу их конфиденциальность.

https://habr.com/ru/articles/771688/

@Интересное в IT

Открытые бреши в NGINX угрожают безопасности данных Kubernetes

Специалисты по кибербезопасности обнаружили три опасные уязвимости в контроллере NGINX, которые могут привести к утечке конфиденциальных данных из кластеров Kubernetes. Уязвимости получили обозначения CVE-2023-5043, CVE-2023-5044 и CVE-2022-4886. Пока неизвестно, были ли они использованы в реальных атаках и когда будет выпущено исправление.

Уязвимости затрагивают NGINX Ingress Controller, используемый в Kubernetes, до версии 1.9.0. Они связаны с недостаточной проверкой входных данных, могут привести к внедрению произвольного кода и краже учетных данных и секретов кластера. Рекомендуется использовать флаг "--enable-annotation-validation" и проверять поле "pathtype" для смягчения последствий.

https://www.securitylab.ru/news/543207.php

@Интересное в IT

Atlassian's senior management is all but begging customers to take immediate action.

Статья сообщает о критической уязвимости в приложении Atlassian's Confluence Enterprise Server, которая позволяет злоумышленникам выполнять вредоносные команды и сбрасывать серверы. Уязвимость активно эксплуатируется акторами, устанавливающими рансомваре.

https://arstechnica.com/security/2023/11/critical-vulnerability-in-atlassian-confluence-server-is-under-mass-exploitation/

@Интересное в IT

TechCrunch: OpenAI представила новую флагманскую модель GPT-4 Turbo

– OpenAI провела свою первую конференцию для разработчиков
– Компания представила две версии флагманской GPT-4 Turbo
– Это улучшенная версия флагманской модели ИИ от компании
– Одна версия GPT-4 Turbo предназначена для анализа текста
– Вторая версия может понимать контекст текста и изображений
– Цена: $0,01 за 1000 входных токенов и $0,03 за 1000 выходных
– Стоимость обработки изображений будет зависеть от размера
– Например, для разрешения 1080х1080 она составит $0,00765
– Стоимость GPT-4 Turbo будет в 2-3 раза ниже прошлых версий
– Контекстное окно GPT-4 Turbo будет 128 тыс. токенов (т.е. х4)
– Туда влезет около половины «Гарри Поттера и узника Азкабана»
– Это крупнейшее контекстное окно среди коммерческих моделей
– Также GPT-4 Turbo умеет поддерживать новый «режим JSON»

Кто еще не посмотрел новости о ChatGPT - бежим смотреть

https://youtu.be/8MBUl0f2Ojw?si=FPBmm2hp99q4I8ks