Вот это поворот

Компания SUSE объявила о покупке Rancher Labs
https://www.opennet.ru/opennews/art.shtml?num=53313

Отдел админов reg.ru уволился полным составом. В буквальном смысле полным. Менеджеры посчитали, что они-де недостаточно эффективные. Админы пожали плечами и ушли. Остался там 1 (прописью: один) джун.

Уязвимость нулевого дня. Zoom.

https://blog.0patch.com/2020/07/remote-code-execution-vulnerability-in.html?m=1

В личку прислали оригинал вдогонку https://sematext.com/blog/linux-logs/
#logs

Overcoming scalability issues in your Prometheus ecosystem - Talk at Cloud Native Night Munich
https://www.youtube.com/watch?v=RbAp5YuPjZI

Andrew Hoffman. Web Application Security. Exploitation and Countermeasures for Modern Web Applications. 2020.

ЗЫ На сайте NGINX есть целый раздел с доступными книгами и отчётами
https://www.nginx.com/resources/library/

Состоялся первый значительный выпуск сервера SFTPGo 1.0, позволяющего организовать удалённый доступ к файлам при помощи протоколов SFTP, SCP/SSH и Rsync. В том числе SFTPGo может использоваться для предоставления доступа к Git-репозиториям, используя протокол SSH. Данные могут отдаваться как с локальной файловой системы, так и из внешних хранилищ, совместимых с Amazon S3 и Google Cloud Storage. Для хранения пользовательской базы и метаданных используются СУБД с поддержкой SQL или формата ключ/значение, такие как PostgreSQL 9.4+, MySQL 5.6+, SQLite 3.x или bbolt 1.3.x. Имеется также режим хранения метаданных в оперативной памяти, не требующий подключения внешней БД. 

Выпуск SFTP-сервера SFTPGo 1.0
https://www.opennet.ru/opennews/art.shtml?num=53311
+
https://github.com/drakkan/sftpgo

FWD: Cloudsec 2020

Выложены доклады с FWD: Cloudsec 2020 - конференции по облачной безопасности.

https://www.youtube.com/playlist?list=PLCPCP1pNWD7OBQvDY7vLCFhxWxok9DITl

#talks

Выложены доклады Rooted CON 2020. Это конференция посвящённая различным аспектам информационной безопасности проводящаяся с 2010 года.

Основной язык конференции испанский, но доклады, которые надо было переводить, переведены на английский и собраны в отдельный плейлист
https://www.youtube.com/playlist?list=PLUOjNfYgonUudCTkwyok3zUVaUPy2CwS3

Программа
https://www.rootedcon.com/archive/rooted2020/

Elastic Security opens public detection rules repo
https://www.elastic.co/blog/elastic-security-opens-public-detection-rules-repo
+
https://github.com/elastic/detection-rules

Статический анализ

Прочитал статью Технологии, используемые в анализаторе кода PVS-Studio для поиска ошибок и потенциальных уязвимостей и для меня было новостью, что в качестве одной из технологий используются статические аннотации для самых популярных библиотек. То есть они взяли самые популярные библиотеки (WinAPI, glibc, STL, Qt, OpenSSL и другие), проаннотировали каждую фунцию для описания инвариантов и при статическом анализе проверяют выполнение инвариантов из аннотаций. Очень похоже на подход Frama-C + ACSL для верификации исходного кода. Ещё мне в статье показалось странным, что они сравнивают свой статический анализатор с использованием регулярных выражений. Я конечно знаю про подход продавцов ПО "возьми самого слабого и сравнивайся с ним, чтобы в глазах покупателя выглядеть наиболее выгодно", но уж и сравнивать статический анализатор с наколенными инструментами, то с наиболее близким аналогом будет coccinelle для семантических патчей, semgrep или coccigrep, но точно не regexp, который не учитывает контекст.

Нашёл слайды от одного из создателей Coverity, они интересны тем, что там описывается и техническая и продуктовая составляющие сервиса. Очень познавательно.

В области статического анализа кода серьезная конкуренция, есть и коммерческие продукты и opensource аналоги, которые могут составить конкуренцию коммерческим продуктам. Может сложится впечатление, что все вместе они покрывают множество проблем, которые вообще возможно найти с помощью стат. анализа. Но это не так и приведу два примера для иллюстрации этого утверждения.

По стандарту POSIX функция mmap() возвращает MAP_FAILED или -1 в случае ошибки выделения памяти. Популярной ошибкой среди разработчиков является проверка возвращаемого значения на 0, что не соответствует стандарту. Из-за этого возможно появление проблем. Эвристику на такую ошибку нашёл Hanno Böck, потом написал простейший скрипт и нашёл проблемы в проектах Geeqie, GDB, KDE/kwayland, Mesa, QEMU и др. В скрипте как раз используется стандартный grep, а для coccinelle семантический патч выглядел бы примерно так:

 identifier p; statement S; @@
  p = mmap(...);
- if (!p) S
+ if (p != MAP_FAILED) S

Я оформил тикет для clang-analyzer и возможно в ближайшее время проверка на такой тип ошибок появится в LLVM.

Вторая одна эвристика выявляет проблемы с сортировкой. Yury Gribov написал подгружаемую с помощью LD_PRELOAD библиотеку, которая проверяет выполнение условия для функций сортировки в `qsort()`: "When the same objects (consisting of width bytes, irrespective of their current positions in the array) are passed more than once to the comparison function, the results shall be consistent with one another. That is, they shall define a total ordering on the array.". Для сложных структур данных легко нарушить требование. Список проектов, в которых были найдены ошибки, внушителен: gcc, PostGIS, dpkg, graphicsmagick и другие.

Service Mesh Comparison: Istio vs Linkerd

https://www.infracloud.io/service-mesh-comparison-istio-vs-linkerd/

Практика переезда с MySQL Percona
16 июля 15:00 МСК

Практический опыт переезда боевого проекта со 100 Гб базы данных из MySQL Percona в кластер на базе Vitess для горизонтального масштабирования

Регистрация
https://devops-nsk.timepad.ru/event/1348920/

Видео опубликовали. Напоминаю: на TechLeadConf рассказывали про инструменты для документации, с фокусом на доки от инженеров и для инженеров. Документирование кода, диаграммы и схемы, публикация в Confluence, вот это всё. Костя Валеев рассказал про Foliant, Семён Факторович — про Pandoc, а я про Sphinx.

https://youtu.be/4qv0YNtuRlE

Below Kubernetes: Demystifying container runtimes
https://www.youtube.com/watch?v=MDsjINTL7Ek

CVE-2020-1350 | Windows DNS Server Remote Code Execution Vulnerability

A remote code execution vulnerability exists in Windows Domain Name System servers when they fail to properly handle requests. An attacker who successfully exploited the vulnerability could run arbitrary code in the context of the Local System Account. Windows servers that are configured as DNS servers are at risk from this vulnerability.

To exploit the vulnerability, an unauthenticated attacker could send malicious requests to a Windows DNS server.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

https://twitter.com/jonasLyk/status/1282945750746509313

Отличнейший тред про MS и Bug Bounty.

Обзор отличный, дыра эпичная, да.

В догонку к эпичной дыре в Windows https://xn--r1a.website/tech_b0lt_Genona/1883 Обзор этой дыры:

https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/

FSecureLABS - Leonidas framework

Leonidas - фреймворк для эмуляции действий злоумышленника в облаке. Фреймворк предоставляет YAML-формат для определения действий злоумышленника и связанных с ними свойств обнаружения. Правила для обнаружения можно задавать с помощью Sigma rules.

#tools #aws

https://devsecops.fm/episodes/terragrunt/ - мы тут недавно про терагрант говорили. Надеюсь, кому-то наш подкаст будет полезным.