…ktoś odnalazł pendrive, spojrzał na jego zawartość i mamy z tego duży incydent RODO. Jak informuje UODO: „w sumie na nośniku można było znaleźć między innymi takie dane jak: imiona, nazwiska, imiona rodziców, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail, dane dotyczące zarobków i/lub…
Czytaj dalej »
ESI (Edge Side Includes) to prosty język pomocny przy dynamicznym składaniu treści strony internetowej, który został stworzony, aby rozwiązywać na urządzeniach brzegowych problemy związane ze skalowaniem infrastruktury. Tagi ESI są umieszczone w kodzie HTML i instruują procesor ESI, co powinien umieścić w finalnym kodzie strony. Przykładowo:<esi:include src=”http://example.com/1.html” alt=”http://bak.example.com/2.html” onerror=”continue”/> spowoduje pobranie pierwszego URLa, a…
Czytaj dalej »
Na początek zobacz samą reklamę: Google pokazuje w tej reklamie link do fly4free[.]pl Jednak po kliku jesteś kierowany do zupełnie fejkowego serwisu ze scamem inwestycyjnym: (jak podasz tam swoje dane kontaktowe, to kontaktuje się z Tobą „konsultant”, który w szczególności namawia do nadania zdalnego dostępu do komputera / zainstalowania złośliwego…
Czytaj dalej »
Drukarki to niechlubne bohaterki niejednej z biurowych opowieści. Nie wszyscy administratorzy jednak zauważają, że ich znaczenie bywa krytyczne dla bezpieczeństwa organizacji. Zwłaszcza gdy wykorzystywane są do drukowania poufnych dokumentów. Brak należytej troski o bezpieczne wydzielenie drukarek w sieci może doprowadzić do poważnego incydentu. Wiąże się to z faktem, że są…
Czytaj dalej »
Fortinet w końcu wydał oficjalne zalecenia dotyczące podatności, o której słychać było od pewnego czasu. Z informacji opublikowanej przez firmę wynika, że podatność wynikała z braku uwierzytelniania w krytycznej funkcji w demonie fgfmd FortiManagera i mogła prowadzić do zdalnego wykonania kodu. TLDR: Podatność otrzymała identyfikator CVE-2024-47575, a jej poziom krytyczności oceniono na 9,8…
Czytaj dalej »
Poprzedni incydent Internet Archive dotyczył poważnego wycieku 31 milionów rekordów bazy danych, która przechowywała dane użytkowników portalu, o czym informowaliśmy w stosownym wpisie. Okazuje się, że to nie koniec problemów znanego internetowego archiwum przechowującego nie tylko migawki stron internetowych ale także np. książki. TLDR: Jak donosi BleepingComputer, pojawiają się informacje…
Czytaj dalej »
Kubernetes to bardzo rozbudowane oprogramowanie do zarządzania i skalowania skonteneryzowanego środowiska. Szeroka funkcjonalność oferowana jest przez wiele modułów, a jednym z nich jest Image Builder, który pozwala na tworzenie obrazów maszyn wirtualnych, które następnie uruchamiane są np. za pomocą Proxmox czy QEMU. Na etapie tworzenia obrazu maszyny wirtualnej wykorzystywane są…
Czytaj dalej »
Konflikty kinetyczne często mają swoje odbicie w cyberprzestrzeni (o czym świetny rozdział ma Łukasz Olejnik w naszej nowej książce). Konfliktowi pomiędzy Izraelem a Hezbollahem, również towarzyszą działania prowadzone w sieci (niekoniecznie prowadzone tylko przez tych dwóch aktorów). Słowacka firma ESET, poinformowała o tym, że jej izraelski partner został zhackowany, a…
Czytaj dalej »
Autorzy narzędzia Grafana opublikowali na blogu artykuł dotyczący błędu oznaczonego symbolem CVE-2024-9264 oraz zaktualizowane wersje. Błąd został odkryty przez inżyniera Grafana Labs i dotyczy Grafany serii 11.x (wersje z serii 10.x nie są podatne). Podatność dotyczy jedynie instalacji, które zawierają – nieobecny domyślnie – plik wykonywalny DuckDB w zmiennej środowiskowej PATH…
Czytaj dalej »
Niecały miesiąc po naprawieniu problemów, o których pisaliśmy, GitLab ponownie wydał poprawione wersje. Podobnie jak poprzednio, aktualizacja dotyczy zarówno Community Edition, jak i Enterprise Edition. Tym razem poprawione wersje oznaczone są numerami 17.2.9, 17.3.5 oraz 17.4.2. TL;DR Najpoważniejszy załatany błąd to CVE-2024-9164 umożliwiający nieautoryzowanym użytkownikom uruchamianie tzw. pipelines. Został znaleziony w…
Czytaj dalej »
Czarna seria podatności w popularnej wtyczce WordPressa o nazwie LiteSpeed Cache trwa. Nie minął nawet miesiąc od ostatniej podatności, a znaleziono kolejną. Tym razem chodzi o stored XSS zgłoszony przez użytkownika TaiYou w ramach programu bug bounty Patchstack. TL;DR CVE-2024-47374, bo taki identyfikator otrzymała podatność, dotyka wszystkich wersji wtyczki LiteSpeed…
Czytaj dalej »
Jesień Linuksowa 2024 to cykliczna konferencja poświęcona Linuksowi i Wolnemu Oprogramowaniu, organizowana przez Polską Grupę Użytkowników Linuxa (PLUG). Wydarzenie gromadzi zarówno entuzjastów, jak i profesjonalistów związanych z technologią oraz światem open-source, oferując możliwość wymiany doświadczeń i nawiązywania cennych kontaktów. W tym roku świętujemy jubileuszową, 20. edycję Jesieni Linuksowej, która odbędzie…
Czytaj dalej »
Na razie nie wiadomo jak doszło do wycieku, w każdym razie ktoś udostępnił ~6GB plik zawierający dane logowania (w szczególności hasła bcrypt, e-maile). Najwyraźniej atakującym udało się też uzyskać dostęp do modyfikacji treści samego serwisu web.archive.org – wg relacji odwiedzający widzieli taki popup w JavaScript: I rzeczywiście, dane te już…
Czytaj dalej »
BMC (Baseboard Management Controller) to mikrokontroler obecny często przy płytach głównych serwerów. Wykorzystując IPMI (Intelligent Platform Management Interface), pozwala na monitorowanie ich parametrów czy sterowanie nimi, zapewnia też zdalny dostęp. Jest zupełnie niezależny – posiada swój procesor, firmware oraz RAM. Można o nim myśleć po prostu jako o niezależnym, dedykowanym komputerze o…
Czytaj dalej »
Aktualizacja 2.10.2024. Hasło zostało już złamane, szczegóły niebawem :-) W ramach ostatniego konkursu nikt się nie zgłosił z prawidłową odpowiedzią. Do złamania było: 535be00fc31ff6612ee8fcc3d80aaf35ffb2c1e6487fac88bb81ab04a8ead089 No więc teraz finalnie osłabiona wersja konkursu (nagroda to 1000zł dla pierwszej osoby, która złamie hasło poniżej, w maksymalnym terminie do końca 14.10.2024). Nowe hasło konkursowe…
Czytaj dalej »
