На этой неделе узнал что у одного из членов сообщества и одного из активных контрибуторов https://github.com/terraform-aws-modules есть ещё и крутая рассылка

https://weekly.tf

А ещё я раньше постил ссылку на классный блог другого нашего участника:

http://rtfm.co.ua/


Если у вас есть классные ресурсы — постите мне. Я не делаю платную рекламу, а бесплатную — всегда рад сделать.
Надо продвигать своих, что б чужие боялись 🙂

В помойке NPM всё как всегда

> Пакет coa, предоставляющий функции для разбора аргументов командной строки, насчитывает около 9 млн загрузок в неделю и используется в качестве зависимости у 159 других NPM-пакетов, включая react-scripts и vue/cli-service.

> Пользователем следует убедиться, что у них установлена версия coa 2.0.2 и желательно добавить в package.json своих проектов привязку к рабочей версии на случай повторной компрометации.

В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внедрено вредоносное ПО
https://www.opennet.ru/opennews/art.shtml?num=56104

Никогда не думал что попадусь на мошенничество. Казалось бы неглупый пацан, с компами давно, всякие схемы знаю и никому не сливаю цифры с карты. Но сегодня я проебался, и размышляя сейчас - уши мошенника там торчали хорошо, но я был слишком самоуверен. За это и поплатился. И сейчас я расскажу как это было.

Ко мне в личку пришёл чел с аватаркой тиньков-банка и начал спрашивать про рекламу. Я пообщался и он купил меня оптовой закупкой. Тут ничего подозрительного пока, так часто приходят прямо в личку в телегу. Утром он кинул мне ссылку и сказал что это партнёрка. Ссылка показалась подозрительной что-то в стиле tinkoff-partner.ru точно я не помню потому что все мои переписки отправились следом за каналом. Я пробил хуиз и вроде успокоился. Залогинился через телеграм и спустя час меня выкинуло отовсюду. Ни рекламы, ни денег, ни канала, ни переписок. Заебись.

Я всегда думал что без телефона в телегу не войти, но сильно ошибался. Знаете такое ощущение беспомощности ты сидишь и думаешь да как так-то, этого не может быть. И ты даже сказать никому не можешь. И стыдно ещё что попался на такой развод.

Немного позже я восстановил акк, но он теперь девственно чистый. И почти сразу же мне написал этот чел и предложил выкупить канал за пятнашку. Но каким дебилом надо быть чтоб ещё и денег ему перевести.

Какие выводы? Нельзя верить людям в интернете, продавать рекламу непонятно кому тоже хуевая идея. Безопасность важна, когда у тебя спиздили что-то очень сложно вернуть это. Настрой 2фа прямо сейчас. Местами это неудобно но спасёт твою жопу.

И самое главное- можно украсть и аккаунт, и канал, но писать как я они всё равно не смогут.

Берегите себя и не ведитесь на мошенничество, не будьте мной

Всё забывал написать. Тут GitLab'ы, торчащие наружу, попали под раздачу. Я в апреле сюда писал о том, что надо бы срочно обновлять GitLab и вот теперь уже надо совсем точно их обновлять, потому что всё опубликовано и доступно.

GitLab CE CVE-2021-22205 in the wild
https://security.humanativaspa.it/gitlab-ce-cve-2021-22205-in-the-wild

Чекалки и PoC'и (ТЫСЯЧИ!11!! их)
https://github.com/Al1ex/CVE-2021-22205
https://github.com/mr-r3bot/Gitlab-CVE-2021-22205
https://github.com/r0eXpeR/CVE-2021-22205
https://github.com/RedTeamWing/CVE-2021-22205

За напоминание спасибо @codediggers

https://twitter.com/VulnersCom/status/1456505760133812234

Посмотреть чего напарсили можно тут
https://vulners.com/search?query=type:githubexploit

Чатик Vulners в телеге @VulnersChat

Всем спасибо. Сработало.

https://xn--r1a.website/durov_russia/36

#ad @alexbodryk готовит к выпуску небольшую книгу по api security на английском. Нужен редактор, если нейтив то идеально. Готов отблагодарить деньгами и/или указанием авторства, контакт @alexbodryk

Зашёл в @zatelecom, а там забавно получилось.

Таргетинг работает (нет)

Доклад про мониторинг Kubernetes от Николая Храмчихина с последнего BMM - https://www.youtube.com/watch?v=cdPKMshnk3M . Транскрипция доклада доступна на хабре - https://habr.com/ru/post/586206/

PS: доступен список с докладами, статьями и другими ссылками об VictoriaMetrics на русском по ссылке https://chits.cc, если у вас есть материал на русском, которого нет в списке - создавайте issue с указанием ссылки или шлите pr 😊

#victoriametrics #kubernetes #monitoring

Тут JB опубликовал свой Security Bulletin
https://blog.jetbrains.com/blog/2021/11/08/jetbrains-security-bulletin-q3-2021/

И там всё не так плохо кроме уязвимости TeamCity

In JetBrains TeamCity before 2021.1.2, remote code execution via the agent push functionality is possible.
Base Score: 9.8 CRITICAL
https://nvd.nist.gov/vuln/detail/CVE-2021-43193

Так что желательно до версии 2021.1.2 свой TeamCity обновить.

В чатик нашего митапа (@spb_reliability) принесли весть интересную

Американская Grafana купила стартап для управления ИТ-инцидентами Amixr с основателями из России
https://vc.ru/services/317755-amerikanskaya-grafana-kupila-startap-dlya-upravleniya-it-incidentami-amixr-s-osnovatelyami-iz-rossii

У ребят есть чатик в телеге @amixr_ru, кому интересно, и они уже успели переименоваться в Grafana OnCall.

Выложены доклады с Open Source Summit + Embedded Linux Conference + OSPOCon 2021

https://www.youtube.com/playlist?list=PLbzoR-pLrL6q8QMGJ4dFnqejkHDm76kJV

Программа тут
https://osselc21.sched.com/