to post messages and comments.

«Когда машина подъехала к 78-му отделу полиции, меня завели на третий (или второй, тот, где находится угрозыск) этаж здания. <..> Они начали меня бить, требовали сказать код телефона. Я отказывался. Олег начал меня шантажировать: он сказал, что если я не сообщу код телефона, они будут бить меня три часа, до тех пор, пока я не сообщу код. Я сказал ему, что это смешно, он ударил меня ногой по ноге в области колена. Зашел водитель, Олег перед ему мой телефон и вышел. Водитель кулаками бил меня по лицу и в область грудной клетки, и требовал сказать код телефона. В конце концов я не выдержал и сказал код. Водитель ввел код, разблокировал телефон, и обнаружил, что в моем мессенджере также имеется код безопасности. В кабинет зашел Олег, взял в руки кувалду, сказав, что моим ногам будет очень больно. Я испугался, что он ударит меня кувалдой и сказал им код от мессенджера».

opennet.ru
Первая уязвимость (CVE-2017-12635 <security-tracker.debian.org>) проявляется из-за различий в работе используемых в CouchDB двух парсеров JSON, написанных на Erlang и JavaScript. Парсер на Erlang допускает добавление записи в БД "_users" с повторяющимися ключами, используемыми при определении прав доступа .... При наличии дубликатов ключей парсер на Erlang выдаёт первое совпадение, а JavaScript последнее. .... Подобное поведение приводит к тому, что при наличии в JSON двух повторяющихся ключей "roles", второй ключ будет использован при авторизации операций записи документа, а первый при авторизации только что созданного нового пользователя

Бывший щифровальщик Минобороны, о выдаче которого из Турции накануне сообщило МВД Таджикистана, мог уехать в расположение боевиков террористической организации «Исламское государство» на Ближнем Востоке после проблем с коллекторами
zona.media

"Мы вдруг обнаружили, что в своих военных госпиталях в Восточной Германии русские используют в качестве туалетной бумаги листочки с устаревшими разовыми таблицами для шифрования", — рассказывает Энтони Глис, руководитель Центра изучения проблем безопасности и разведки при Букингемском университете. С того дня солдатские уборные в ГДР попали в число приоритетных объектов для британских агентов.
При коммунизме туалетной бумаги, известно, нет
Но, как мы видим, в определённой ситуации туалетная бумага оказывается стратегическим материалом, и его отсутствие ставит безопасность под угрозу.
Незримая рука рынка способна решить эту задачу, плановая экономика — нет.

Например, если в сервисе указан "User=0day" и пользователь 0day присутствует в системе, то сервис будет запущен с идентификатором 0, т.е. с правами root. Леннарт Поттеринг отказался исправлять ошибку и закрыл уведомление с меткой "not-a-bug".
opennet.ru
Очень хорошо.

opennet.ru
В случае, если заголовок Content-Type содержит некорректное значение, срабатывает исключение для отображения сообщения об ошибке, которое, если в тексте присутствует маска "multipart/form-data", также приводит к вызову обработчика Multipart parser и выполнению произвольного кода, передаваемого через выражение OGNL <commons.apache.org>.

Ошибка в генераторе псевдослучайных чисел, приводящая к критической уязвимости, была допущена на раннем этапе разработки ещё в 1998 году, поэтому проблема присутствует во всех версиях GnuPG и Libgcrypt, выпущенных до 17 августа 2016 года.

opennet.ru

opennet.ru
А ведь это совсем не сложно, просто взять и прогрепать код на предмет вызова функций, которые вызывают шел, и автоматически/полуавтоматически определить места, где в шел передается непроверенное говно. Ведь так? Алсо, есть где нибудь список подобных вызовов для ньюфагов?