Как-то раз я взломал один из серверов telegram. Не то чтобы это было нечто интересное, да и сами уязвимости стандартные. Удивление скорее вызывает факт того, как телеграм относится к безопасности и почему на протяжении многих лет уязвимостями так никто и не воспользовался. Но, не ошибается тот, кто ничего не делает!

ПОЧЕМУ НЕЛЬЗЯ УСТАНАВЛИВАТЬ СЕРТИФИКАТ ОТ QCA.KZ

Прежде всего потому, что все граждане Казахстана, которые установили у себя предлагаемый сертификат могут оказаться соучастниками незаконной деятельности и пособниками иностранного шпионажа на территории Республики Казахстан

Интернет-ресурс qca.kz и распространяемый данным интернет-ресурсом сертификат являются частной собственностью

Конечным бенефициаром данного ресурса и сертификата является частное лицо – некий казахстанский гражданин Аскар Дюсекеев

Аскар Дюсекеев недавно получил финансовую сумму от иностранного государства. В частности, иностранная российская компания «Лаборатория Касперского» вручила казахстанскому гражданину Аскару Дюсекееву грант в размере 10 000 долларов и свой российский сертификат.

МТС провела внутреннее расследование, но не смогла установить, кто именно установил переадресацию и как злоумышленник перехватил СМС. Компания не признала вину, но при этом предложила Алексею весьма странную компенсацию — 750 рублей.

Connect to any database supporting JDBC drivers
PostgreSQL, Oracle, SQL Server, MySQL, Elasticsearch... You name it.

I watch a lot of talks that I love to share with my friends, fellows and coworkers. As I consider all GitHubbers my friends (oh yeah!), I decided it's time to share the list.

There are talks on programming language specifics as well as a more general section I call "theory". But don't expect to always get theoretical computer science for every talk there; most of them are on the architecture and design of software.

An arbitrary file copy vulnerability in mod_copy in ProFTPD up to 1.3.5b allows for remote code execution and information disclosure without authentication, a related issue to CVE-2015-3306.

В ftp-сервере ProFTPD выявлена опасная уязвимость (CVE-2019-12815), которая позволяет копировать файлы в пределах сервера без проведения аутентификации с помощью команд "site cpfr" и "site cpto". Проблеме присвоен уровень опасности 9.8 из 10, так как она может примеряться для организации удалённого выполнения кода при предоставлении анонимного доступа к FTP.

Уязвимость вызвана некорректной проверкой ограничений доступа на чтение и запись данных (Limit READ и Limit WRITE) в модуле mod_copy, который применяется по умолчанию и включён в пакетах proftpd для большинства дистрибутивов. Примечательно, что уязвимость является следствием не полностью устранённой аналогичной проблемы, выявленной в 2015 году, для которой теперь выявлены новые векторы для атаки. Более того, о проблеме было сообщено разработчикам ещё в сентябре прошлого года, но патч был подготовлен только несколько дней назад.

будет устранена критическая уязвимость (CVE-2019-13917), позволяющая удалённо добиться выполнения своего кода с правами root при наличии в конфигурации определённых специфичных настроек

Из CoreOS Container Linux, который перешёл в руки Red Hat после покупки компании CoreOS, в Fedora CoreOS перенесены инструментарий развёртывания (система конфигурирования на стадии начальной загрузки Ignition), механизм атомарных обновлений и общая философия продукта. 
Из Atomic Host перенесены технология работы с пакетами, поддержка спецификаций OCI (Open Container Initiative) и дополнительные механизмы изоляции контейнеров на базе SELinux. Начинка Fedora CoreOS формируется на основе репозиториев Fedora с применением rpm-ostree. В качестве поддерживаемых в Fedora CoreOS runtime для контейнеров заявлены Moby (Docker) и podman. Для оркестровки контейнеров поверх Fedora CoreOS планируется обеспечить поддержку Kubernetes.