Статья на Хабре

Носорог внутри кота — запускаем прошивку в эмуляторе Kopycat
https://habr.com/ru/company/inforion/blog/445798/

QNAP pre-auth root RCE Exploit (CVE-2019-7192 ~ CVE-2019-7195)
https://github.com/th3gundy/CVE-2019-7192_QNAP_Exploit

@kvaps продолжает пилить годноту

Бэкап-хранилище для тысяч виртуальных машин свободными инструментами
https://habr.com/ru/post/504152/

#PROTIP: If you can't listen on port 80 during a bind shell, try adding the URI '/Temporary_Listen_Address/' to ur listener. Magic! You don't need administrative privileges to listen on port 80 on Windows anymore #redteam #windows

https://twitter.com/NinjaParanoid/status/1265187842889744384

Записи докладов DevOps Days: From Home от DevOps Days Kyiv
https://www.youtube.com/playlist?list=PL_O8YSX8ckfdtscOx6DyMYaUQ7lomjKfr

Программа
https://devopsdays.com.ua/fromhome/

Prowler is a security tool to perform AWS security best practices assessments, audits, incident response, continuous monitoring, hardening and forensics readiness.
https://github.com/toniblyx/prowler

Стало интересно собрать статистику по Cloud & SaaS. Кто и что использует на работе или просто для себя. На текущем месте работы, а так же и на прошлом.

Даже если вы с этими вещами не работаете (в силу специализации), но знаете, что есть в вашей фирме используется - попрошу вас ответить :)

Результаты выложу на след неделе, думаю за 3-4 дня будет собрано достаточно ответов. Репост приветствуется, или хотя бы ссылку на опрос киньте покидайте другим.

https://forms.gle/v4wppXeC1thfHJ4J9

Спасибо.

The Octopus Scanner Malware: Attacking the open source supply chain
https://securitylab.github.com/research/octopus-scanner-malware-open-source-supply-chain

​Давно я не бугуртил по поводу очередных ценных рекомендаций по работе с базой от рубистов.
Нет новостей от рубистов, вот и не бугуртил. Попрятались.

Но есть ЦУ от js-разрабов :)
И не от кого-нибудь, а от человека, который сделал prettier.
Для тех кто не знает - это тулза, которая сама форматирует js - код, согласно правилам в линтере.
Т.е. импакт его работы не поддается подсчету. Сэкономлены миллионы человеко-часов и миллиарды долларов.

И вот тут выходит ЭТО.

https://jlongster.com/how-one-word-postgresql-performance

Если коротко - человек узнал, что можно делать INSERT сразу нескольких строк сразу, а не по одной и поспешил рассказать об этом миру...

Не, ну допустим, что не всем это очевидно, ок (хотя, фак, как это можно оправдать). Но блин, делать поля с именами timestamp и group_id типа TEXT это как вообще?
Следующим открытием, видимо, будет то, что timestamp можно не хранить текстом и group вынести в отдельный справочник.
А потом про COPY.

Но и это еще не все.
Человек написал тулзу, которая работает с линтером, но сам, похоже им не пользуется.

await внутри for!
forEach вместо reduce!

И никто из 23.7k его фоловеров в твиттере ему не напихал!

Работает в stripe, кстати.

Короче, фак дыс щит.

PS: в анализаторе есть правила, которые выдают notice при сильном расхождение имени колонки и типа для нескольких кейсов. timestamp там тоже есть.

Ansible is used in Quarkslab to manage our infrastructure and in our product Irma. In order to have an idea of the security of Ansible, we conducted a security assessment. This blogpost presents our findings.

Ansible Security Assessment
https://blog.quarkslab.com/ansible-security-assessment.html

Тут в 4gophers закинули ссылку на пост про жизнь в Uber с Bazel https://xn--r1a.website/gophernews/1104

Я пару недель назад просматривал видосы с BazelCon 2019, коль такое совпадение, то решил поделиться этим

Вот плейлист
https://www.youtube.com/playlist?list=PLxNYxgaZ8Rsf-7g43Z8LyXct9ax6egdSj

Программа
https://conf.bazel.build/2019/schedule

Там, например, проходил bootcamp
Half-Day Bazel Bootcamp (Part 1)
https://www.youtube.com/watch?v=BGOEq5FdNUQ
Half-Day Bazel Bootcamp (Part 2)
https://www.youtube.com/watch?v=1KbfkOWO-DY
Репозиторий с примерами
https://github.com/OasisDigital/bazelcon-2019

Finding secrets in repositories

truffleHog - open-source инструмент для поиска открытых секретов в репозиториях на GitHub. Инструмент просматривает всю история коммитов каждой ветки, проверяя каждый diff из каждого коммита на наличие секретов. Кстати truffleHog для поиска секретов использует анализ энтропии Шеннона.

Среди его аналогов - defect-secrets, GitGuardian, о котором я писал ранее.

Дополнительно:
Раскрытие секретов на GitHub: что делать после утечки учетных данных и ключей API

LeakLooker - скрипт + веб-интерфейс для постоянного поиска утечки открытых баз данных и сервисов.

#secret

Kubernetes Meetup Online
3 июня 17:00 МСК

1. Kubernetes, микросервисы, CI/CD и докер для ретроградов: советы по обучению - Евгений Потапов, ITsumma.ru

2. Disaster recovery в Kubernetes — Марсель Ибраев, Southbridge.io

3. EKS и самоделкины — Алексей Дюжов, Motorsport network

https://uwdc.timepad.ru/event/1322441/

Чатик "Сисадминки" - @sysadminka

TL;DR
This article explores how we can reverse engineer Docker images by examining the internals of how Docker images store data, how to use tools to examine the different aspects of the image, and how we can create tools like Dedockify to leverage the Python Docker API to create Dockerfiles from source images.

Reverse Engineer Docker Images into Dockerfiles
https://medium.com/appfleet/reverse-engineer-docker-images-into-dockerfiles-4d667874098c

> For this vulnerability, I was paid $100,000 by Apple under their Apple Security Bounty program.

Zero-day in Sign in with Apple
https://bhavukjain.com/blog/2020/05/30/zeroday-signin-with-apple/

Meanwhile, Hetzner запустил клауд с апишечкой к серверам
https://www.hetzner.com/cloud

Покупка сервера на хецнере теперь выглядит так:

curl -H 'Authorization: Bearer YOUR-API-TOKEN' \
        -H 'Content-Type: application/json' \
        -d '{ "name": "server01", "server_type": "cx21", "location": "nbg1", "image": "ubuntu           -16.04"}' \
        -X POST 'https://api.hetzner.cloud/v1/servers'

Симулятор стыковки
https://iss-sim.spacex.com/

Я не смог 🌝

Тут "дятел" в интернеты влетел

Предполагалось, что проблема затрагивает старые выпуски дистрибутивов (включая Debian 9, Ubuntu 16.04, RHEL 6/7) в которых используются проблемные ветки OpenSSL, но проблема проявилась также при работе пакетного менеджера APT в актуальных выпусках Debian 10 и Ubuntu 18.04/20.04, так как APT использует библиотеку GnuTLS. Суть проблемы в том, что многие TLS/SSL-библиотеки разбирают сертификат как линейную цепочку, в то время как в соответствии с RFC 4158 сертификат может представлять ориентированный распределённый циклический граф с несколькими якорями доверия, которые нужно учитывать. О данной недоработке в OpenSSL и GnuTLS было известно уже много лет. В OpenSSL проблема была устранена в ветке 1.1.1, а в GnuTLS остаётся неисправленной.

https://www.opennet.ru/opennews/art.shtml?num=53061

"Починил" у себя так
1. Комментим через ! строчку mozilla/AddTrust_External_Root.crt в /etc/ca-certificates.conf
2. Запускаем update-ca-certificates

В личке пока обсуждал спросили, что на счёт CentOS/RHEL. По ссылке на opennet есть, но я сюда отдельно вынесу

# trust dump --filter "pkcs11:id=%AD%BD%98%7A%34%B4%26%F7%FA%C4%26%54%EF%03%BD%E0%24%CB%54%1A;type=cert"  > /etc/pki/ca-trust/source/blacklist/addtrust-external-root.p11-kit
# update-ca-trust extract