🔥 ATTENTION — Someone hacked #PHP's Git server and pushed 2 new updates to insert a secret RCE backdoor into its source code.

Read about this latest supply-chain #cyberattack on the widely used #programming language: https://t.co/vqbUQqM1dc#developer #programmer #coding

— The Hacker News (@TheHackersNews) March 29, 2021

A változtatások valószínűleg tegnap (március 28-án) követték el. Részletek a bejelentésben és itt.

Teljesen értelmetlen és vicces dolog Nintendo Game Boy-on Bitcoin-t bányászni. Ugyanakkor rendkívül érdekes és ismeretterjesztő a fenti videó, ami arról szól, hogy technikailag hogyan lehetett ezt megvalósítani egy olyan gépen, amit eredendően pl. pokemonozásra találtak ki.

Elérhető a Manjaro Linux 21.0-s, "Ornara" kódnevű kiadása. Letölthető GNOME, KDE és Xfce változatokban:

A Debian projekt bejelentette a Debian 10 (kódnevén "buster") kilencedik karbantartási kiadását a Debian 10.9 képében. Vele leginkább biztonsági javítások érkeztek, illetve néhány komolyabb hibát javítottak. Aki rendszeresen frissít a security.debian.org-ról, annak e frissítésben levő csomagok nagy része már települt a rendszerén. Fontos megjegyezni, hogy ez a point release nem eredményez egy új verziójú Debian 10-et, mindössze néhány benne levő csomag frissült. Részletek a bejelentésben.

Apple has credited Clement Lecigne and Billy Leonard of Google's Threat Analysis Group for discovering and reporting the issue. While details of the flaw have not been disclosed, the company said it's aware of reports that CVE-2021-1879 may have been actively exploited.

Érintett eszközök:

Főbb újdonságok:

Amikor Musk a Teslan keresztül bevásárolt Bitcoinból, belebegtette, hogy a jövőben akár Bitcoinnal is lehet majd Tesla-t venni. A hírek szerint a jövő megérkezett a Tesla-hoz, a weboldalukon élesedett a Bitcoin gomb a rendelésnél.

Az OpenSSL projekt a levelezőlistáján HIGH súlyossági besorolású biztonsági frissítést jelentett be az 1.1.1k verzióval, amely március 25-én jelenik meg. Az OpenSSL security policynak megfelelően a részleteket egyelőre homály fedi.

RMS 2019-ben mondott le az FSF elnöki és az igazgatótanácsban betöltött tisztségéről. Akkor nem jelölt meg okokat. A Twitteren található reakciók és kommentek azt sejtették, hogy az Epstein-botránnyal kapcsolatos nézetei nyomán kialakult nyomás miatt döntött a távozás mellett.

Most a fenti videóban jelentette be, hogy visszatér a FSF igazgatótanácsába.

Az OMG!Ubuntu! szerint a Canonical a jövőben elsősorban a Flutter-rel szándékozik az asztali alkalmazásait elkészíteni. A cikk írója erősen szkeptikus az elhatározást illetően: egyrészt, egy Flutter alkalmazás mindig lassabb lesz a natívnál, másrészt a kinézete sem fog illeszkedni a telepített grafikus környezetbe. Azt is megemlíti, hogy a Google hagyott már fel projektekkel, és a mobilos környezet gyors fejlődése miatt, ami tempósabb a desktopokénál, még a Flutter is erre a sorsra juthat.

Adatszivárgási biztonsági incidensbe keveredett a Backblaze felhő alapú adattárolással foglalkozó cég, amely leginkább az évenként publikált merevlemez megbízhatósági statisztikákról lehet ismerős a HUP olvasói számára. Egy Twitter-felhasználó lett figyelmes arra, hogy miközben megpróbált letölteni egy backupot a Backblaze B2 webes felületét használva, a böngésző állapotsorában megjelent a "Várakozás a facebook.com-ra" üzenet. Az oldal forrását megvizsgálva észrevette, hogy a beépített FB tracking-pixel elküldi a B2 bucket-ben szereplő fájlok neveit és méreteit a facebook.com-nak betöltődés közben. A FB tracking-pixel akkor is jelen volt, ha a felhasználó korábban nem engedélyezett semmilyen követő-szkriptet az adatvédelmi beállításokban.

A cég elismerte a biztonsági incidenst és kijavította a hibát. Részletesebb tájékoztatást a vizsgálatok lefolytatása után ígérnek.

Azok, akik követik a linux-next (az a kernelfa, amelyik a következő kernel beolvasztási időablakába szánt patcheket tartalmazza) változásait, észrevehettek egy jelentős változást: megjelent a kezdeti támogatás ahhoz, hogy a fejlesztők Rust-ban írhassanak eszközmeghajtó-programokat. Ehhez némi dokumentáció is rendelkezésre áll már, míg maga a kód a kernelforrás legfelsőbb szintjén található rust könyvtárban kapott helyet.

Bejelentés itt.

A brazil Procon-SP nevű fogyasztóvédelmi hatóság 10 millió reál (mintegy 1,9 millió amerikai dollár) büntetést rótt ki az Apple-re, egyebek mellett, mert az töltő nélkül árusítja Brazíliában az iPhone 12-t. Decemberben az Apple azzal érvelt az hatóságnak, hogy környezetvédelmi okokból nincs töltő a dobozban és hogy ezzel a lépéssel csökkenthető a széndioxid-kibocsátás. A hivatal nem fogadta el ezt a magyarázatot. A töltő hiánya mellett hivatal sérelmezte, hogy az iPhone nem elég vízálló, illetve, hogy beázás esetén az Apple megtagadja a javítást.

Részletek itt.

A Debian projekt kiadta legfrissebb hírlevelét. Benne:

Legalábbis a OnePlus Inc. legújabb promója szerint.

Bedobta a követ a Manjaro projekt ma az állóvízbe és kisebb hullámokat generált a fenti tweetjével. A részletekről egyelőre semmit sem árult el ...

Esztári Péter (CodingSans)

A szerveroldalon futó kód következő generációja már "szervermentes"? Azt látjuk, hogy a serverless technológiák egyre nagyobb teret nyernek. A DevOps egy részét áthidalva milyen új problémák jelentkeznek? Az előadás során egy kis bevezetőt, áttekintést követően bővebben esik szó a Serverless frameworkről, ehhez kapcsolt példával. Fontos probléma még, hogy a különböző szolgáltatók felhőjében található serverless függvényeket milyen módon kombinálhatjuk, illetve, hogyan kezelhetjük ezeket egy interface alatt. Ennek a problémának az egyik kialakulófélben lévő megoldása a Serverless Event Gateway, mely szintén bemutatásra kerül az előadás során.

Elérhető a Vivaldi webböngésző 3.7-es kiadása desktopra és Androidra.

Linkek:

A ProxyLogon sebezhetőségeket kihasználó támadások száma meredeken emelkedik, ezért a Microsoft úgy döntött, hogy egy egyszerűen használható megoldással segíti a védekezést. Az Exchange On-premises Mitigation Tool (EOMT) névre keresztelt szkript (EOMT.ps1) futtatáskor több dolgot is tesz. Először is ellenőrzi, hogy a telepített Exchange kiszolgáló sérülékeny-e. Amennyiben igen, hatástalanítja a CVE-2021-26855 számú sérülékenység lehetséges kihasználását, azáltal, hogy telepíti az IIS URL Rewrite modult, valamint egy reguláris kifejezés-alapú szabályt, amely egészen egyszerűen megszakít minden olyan kapcsolatot, amiben X-AnonResource-Backend vagy X-BEResource süti (cookie) fejlécek szerepelnek.