Блог*

Ждун папищеков на месте

Rust разработчики: жалуются на нехватку вакансий C++ разработчики: просто используют std::get_money

Гомосексуальность и экстремизм – самые важные вещи в жизни.

#php #quotes

#meme Ощущения от геймплея #game FTL примерно такие

#music youtube.com/watch?v=Lp5M2BAXwSo

Осторожно, картинка строго 18+

Короче В это воскресенье в Vol. 1 жду папищеков с 18:00. Приходите, если хочется.

#meme про Илона Маска

Подземная остановка запрещена

#prog #rust #rustlib miniserde — библиотека для (де)сериализации из/в JSON. В отличие от #serde, довольно ограничена, практически лишена опций для кастомизации и генерирует код, который использует трейт-объекты вместо дженериков. За счёт последнего компилируется значительно быстрее serde и при этом не сильно уступает в производительности.

😒🤚 miniserde 😏👉 сердечко

По мотивам увиденного и потерянного твита написал визуализатор бинарных данных. Читаем по два байта, используем их как координаты пикселя, которому увеличиваем счётчик. Скормлено визуализатору: mp3 файл, mp4 файл, pdf файл и бинарник самой программы

#prog #rust #article My Best and Worst Deadlock in Rust TL;DR: читайте документацию, в parking-lot есть фича для рантайм-детектирования дедлоков, вместе со стектрейсами. <...> Yes, the answer is "you should have read the docs," which I've now done. Consider this blog post an attempt to make sure that everyone else reads the docs too. <...> Rust makes it so much nicer than many other languages to avoid race conditions through things like RwLockReadGuard, the Send and Sync traits, mutable borrow checking, and other techniques. But it's still not a panacea.

Jenkins выкатил Advisory Jenkins Security Advisory 2024-01-24 https://www.jenkins.io/security/advisory/2024-01-24/ И там есть классное Arbitrary file read vulnerability through the CLI can lead to RCE CVE-2024-23897 Severity (CVSS): Critical

This allows attackers to read arbitrary files on the Jenkins controller file system using the default character encoding of the Jenkins controller process.

- Attackers with Overall/Read permission can read entire files.

- Attackers without Overall/Read permission can read the first few lines of files. The number of lines that can be read depends on available CLI commands. As of publication of this advisory, the Jenkins security team has found ways to read the first three lines of files in recent releases of Jenkins without having any plugins installed, and has not identified any plugins that would increase this line count.

И есть PoC уже тоже https://github.com/h4x0r-dz/CVE-2024-23897

Особенностью парсера команд, использующегося в Jenkins, является замена символа "@" на содержимое файла, если путь к файлу следует за этим символом в аргументе команды. Эта функция активирована по умолчанию в версиях Jenkins 2.441 и более ранних, а также в LTS 2.426.2 и более ранних, и до недавнего времени не была отключена.
. . .
Кроме того, недостаток может быть использован для чтения бинарных файлов, содержащих криптографические ключи, хотя и с определенными ограничениями. Извлечение секретов открывает путь к различным атакам:

- Удаленное выполнение кода через корневые URL-адреса ресурсов;
- Удаленное выполнение кода через cookie-файл «Запомнить меня»;
- Удаленное выполнение кода с помощью XSS-атак (Cross-Site Scripting, XSS) через журналы сборки;
- Удаленное выполнение кода через обход защиты CSRF (Cross-Site Request Forgery);
- Расшифровка секретов, хранящихся в Jenkins;
- Удаление любого элемента в Jenkins;
- Загрузка дампа кучи Java.

https://www.securitylab.ru/news/545554.php

#itsec А можете сказать, зачем этот функционал @ в принципе сделали?