GitHub завёл однократные донаты в Sponsors
1 мин
7 апреля 2021 года GitHub объявил о расширении возможностей инструмента Sponsors. Теперь зарегистрированные в сервисе разработчики могут однократно поддержать своих коллег донатом.
7 апреля 2021 года GitHub объявил о расширении возможностей инструмента Sponsors. Теперь зарегистрированные в сервисе разработчики могут однократно поддержать своих коллег донатом.
GitHub расследует, как инфраструктуру функции Actions использовали для майнинга
1 мин
По информации Record, веб-сервис для хостинга IT-проектов и их совместной разработки GitHub проводит расследование инцидента, связанного со злоупотреблениями при использовании инфраструктуры GitHub Actions. Неопределенный круг лиц до сих пор использует сервера GitHub для криптомайнинга.
Monthly tech community virtual meetings for the Russian-speaking audience/Ежемесячные встречи русскоязычного сообщества
1 мин
ГитХаб начинает ежемесячные виртуальные встречи для русско-говорящей аудитории!
В нашей программе будут докладчики из ГитХаба, а также гости из ведущих проектов открытого программного обеспечения в Европе. Здесь мы будем обсуждать самые новые функции ГитХаба, наш подход к разработке новых технологий и особенности работы с открытым программным обеспечением.
В проект GitHub по хранению кода в Арктике случайно попала утечка медицинских данных
1 мин
В прошлом году GitHub запустил инициативу под названием Arctic World Archive, которая направлена на сохранение проектов с открытым исходным кодом путем переноса их на физические носители. Однако этот проект непреднамеренно собрал конфиденциальные медицинские записи пациентов из нескольких медицинских учреждений.
Стэнфордские ученые провели обратную разработку вакцины Moderna
1 мин
Ученые из Стэнфорда использовали остатки антикоронавирусной вакцины Moderna, чтобы восстановить последовательность мРНК. Они разместили восстановленный генетический код препарата на GitHub.
В популярной NPM-библиотеке netmask обнаружена критическая уязвимость
1 мин
В популярном npm-пакете node-netmask нашли уязвимость, которая позволяет обойти ограничение доступа к IP-адресам и провести атаку SSRF, RFI или LFI на приложение на базе Node.js. Уже выпущен патч.
Опубликовано открытое письмо в поддержку Столлмана
1 мин
Недавно была новость о том, что 23 марта 2021 года более 600 разработчиков-сторонников развития СПО, включая многих ментейнеров, подписали открытое письмо за увольнение Столлмана из совета FSF и со всех руководящих должностей, включая проект GNU.
Не согласные с такой информационной атакой против Столлмана, его сторонники выступили с ответной инициативой в его защиту и также опубликовали открытое письмо.
Как пишет opennet.ru
Не согласные с такой информационной атакой против Столлмана, его сторонники выступили с ответной инициативой в его защиту и также опубликовали открытое письмо.
Как пишет opennet.ru
Несогласные с попыткой смещения Столлмана со всех постов опубликовали ответное открытое письмо сторонников Столлмана и открыли сбор подписей в поддержку Столлмана (чтобы подписаться нужно отправить pull-запрос).
Члены сообщества свободного ПО опубликовали два письма: за и против увольнения Столлмана из FSF
2 мин
Ричард М. Столлман объявляет, что снова занял место в совете директоров Фонда свободного программного обеспечения (FSF).23 марта 2021 года более 600 разработчиков-сторонников развития СПО, включая многих ментейнеров, подписали открытое письмо за увольнение Столлмана из совета FSF и со всех руководящих должностей, включая проект GNU. Они также требуют, чтобы текущий совет FSF ушел в отставку. По мнению подписавшихся, Столлман долгое время был опасной силой в техническом сообществе. Он показал себя женоненавистником, эйблистом и трансфобом. Сторонники СПО утверждают, что человеку с подобными убеждениями нет места в сообществе свободного программного обеспечения.
Обновление публикации на 13.00:
Сторонники Столлмана опубликовали открытое письмо в поддержку основателя FSF и собирают подписи со своей стороны, пока что там в десять раз меньше поддержки. В письме пояснено, что на него происходит организованная атака за высказывания личного мнения и за то, что он преследует объективную истину и лингвистический пуризм, которые зачастую трактуются оппонентами в формате недопонимания и искажения.
Разработчики из РФ выпустили второй неофициальный клиент Clubhouse
2 мин
Разработчик «Крок» Сергей Овчинников, Мирза Алиев из GridGain и бывший тимлид okko.tv Михаил Валейко опубликовали на GitHub репозиторий новой неофициальной веб-версии Clubhouse. Этот клиент работает на Windows, macOS и Linux.
Исследователь показал, что Twitter не меняет картинки, что допускает возможность скрывать внутри файлы
2 мин
Для примера разработчик опубликовал png-картинку, внутри которой размещен исходный код его проекта tweetable-polyglot-png на GitHub.
Исследователь Давид Бучанан (Dаvіd Bucһаnаn) обнаружил, что в одной прикрепленной картинке в Twitter можно разместить около 3 МБ заархивированных данных. Сервис частично удаляет ненужные данные из загружаемых пользовательских PNG, но не проверяет добавленные данные в конце потока DEFLATE (части файла, в котором хранятся сжатые данные пикселей) внутри блока IDAT, при условии, что общий файл изображения соответствует всем необходимым требованиям и его не нужно повторно пережимать. Поэтому туда можно добавлять дополнительные данные.
Эксперты обнаружили критическую уязвимость в подсистеме iSCSI ядра Linux, баг в коде был с 2006 года
3 мин
12 марта 2021 года специалист по кибербезопасности из компании GRIMM Адам Николс (Adam Nichols) рассказал об обнаруженной недавно критической уязвимости CVE-2021-27365 (переполнение буфера кучи, повышение локальных привилегий) в подсистеме iSCSI ядра Linux. Баг в коде был с 2006 года. В настоящее время затронутыми оказались все дистрибутивы Linux, но, к счастью, уязвимый модуль ядра scsi_transport_iscsi не загружается по умолчанию.
Также в коде подсистемы iSCSI ядра Linux были обнаружены еще две менее серьезные уязвимости — CVE-2021-27363 (утечка указателя ядра) и CVE-2021-27364 (чтение за пределами допустимого диапазона).
GitHub заблокировал репозиторий с демонстрацией уязвимости ProxyLogon в Microsoft Exchange
4 мин
Согласно информации Record, 10 марта 2021 года GitHub заблокировал репозиторий вьетнамского исследователя Нгуен Джанг (Nguyen Jang) с рабочей демонстрацией использования цепочки уязвимостей ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065) в Microsoft Exchange. Блокировка была сделана почти сразу после публикации контента в сервисе.
Эксперт команды кибербезопасности MalwareTech подтвердил факт появления доступного Hafnium Exchange RCE Exploit и даже запустил эксплойт после некоторых доработок на своем стенде.
Ближайшие события
GitHub разлогинил всех пользователей из-за опасений о безопасности
2 мин
8 марта 2021 года веб-сервис для хостинга IT-проектов и их совместной разработки GitHub сообщил об устранении потенциально серьезной уязвимости безопасности, связанной с обработкой аутентифицированных сессий. Из-за этой ошибки малая часть аутентифицированных пользователей (0.001%) могла получить доступ к чужому сеансу. Для полного закрытия проблемы и в качестве предосторожности сервису понадобилось провести сброс всех пользовательских сеансов к GitHub.com, которые были созданы до 12:03 UTC 8 марта. Разработчикам необходимо заново переподключиться к GitHub.
Microsoft опубликовала скрипт для проверки серверов Exchange на уязвимость ProxyLogon
3 мин
6 марта 2021 года Microsoft выложила на GitHub скрипт для проверки факта взлома серверов Exchange и просит системных администраторов проверить свои корпоративные почтовые сервера на взлом после недавно обнаруженной цепочки уязвимостей ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065).
В настоящее время только 10 % от работающих систем пропатчено от этих четырех багов, позволяющих злоумышленникам удаленно выполнять произвольный код на серверах Microsoft Exchange, где используется Outlook on the web (OWA).
Microsoft настоятельно рекомендует проверить вручную и установить последние обновления безопасности для серверов Microsoft Exchange. Версии серверов, которые попадали в группу повышенного риска:
- Exchange Server 2019 < 15.02.0792.010;
- Exchange Server 2019 < 15.02.0721.013;
- Exchange Server 2016 < 15.01.2106.013;
- Exchange Server 2013 < 15.00.1497.012.
Microsoft представила язык программирования Power Fx
3 мин
2 марта 2021 года Microsoft официально представила low-code язык программирования Power Fx, который основан на синтаксисе функций Excel.
Программист добавил в утилиту ethminer поддержку Mac c чипом M1
1 мин
Сравнение хэшрейта на Mac c M1 и специальных майниноговых карт Nvidia CMP.
26 февраля 2021 года программист Ифань Гу (Yifan Gu) в своем блоге рассказал, что добавил в утилиту ethminer поддержку Apple M1. Ее модифицированная версия доступна в репозитории разработчика на GitHub.
GitHub опубликовал отчёт о блокировках и удалении контента пользователей за 2020 год
3 мин
За 2020 год госслужба только одной страны прислала в GitHub требования на удаление контента. Они были связаны с 44 проектами. Инициатором всех требований к GitHub за прошлый год был Роскомнадзор.
В конце февраля 2021 года веб-сервис для хостинга IT-проектов GitHub опубликовал ежегодный отчет (Transparency Report), в котором отражены поступившие за 2020 год уведомления от государственных служб, законодательных органов и правообладателей разных стран о нарушении интеллектуальной собственности и публикации пользователями незаконного содержимого, а также запросы на удаление определенного контента и предоставления полного доступа к данным некоторых пользователей сервиса.
Фанатский проект по реверс-инжинирингу GTA 3 и Vice City попал под запрет DMCA
2 мин
Репозитории re3 фанатского проекта по реверс-инжинирингу Grand Theft Auto 3 и Vice City заблокировали на GitHub из-за Закона о защите авторских прав в цифровую эпоху (DMCA).
Российский разработчик написал клиент Clubhouse для Android после реверс-инжиниринга API
2 мин
20 февраля 2021 года российский разработчик Григорий Клюшников (бывший программист VK и Telegram) опубликовал в открытом доступе клиент Clubhouse для Android. Он сделал приложение менее чем за два дня.
Проект доступен GitHub по названием Houseclub. В настоящее время программист оперативно дорабатывает приложение по отзывам пользователей. Через несколько часов после релиза он выпустил исправленную версию 1.0.1, которая работает на Android 11, версию 1.0.2, где исправлены были проблемы с PubNub и 1.0.3, где можно загружать картинку в профайл.