NetSpider – персональный блог

Компьютерная группа реагирования на чрезвычайные ситуации (CERT) опубликовала уведомление об утечке информации о критической уязвимости в PHP, которая позволяет запустить произвольный код на сервере или просмотреть исходный код любого PHP-скрипта, выполняемого в CGI-режиме (используется некоторыми хостинг-провайдерами). Cкрипты, выполняемые с использованием mod_php и FastCGI (например, связки nginx с php-fpm), не подвержены проблеме.

Опасность уязвимости усугубляет тот факт, что несмотря на то, что разработчики PHP были уведомлены о проблеме ещё 17 января, а 23 февраля был отправлен дополнительный запрос от имени CERT, уязвимость остаётся неисправленной. Проблема вызвана ошибкой, допущенной в 2004 году. Интересно также то, что утечка информации возникла из-за оплошности разработчиков PHP, поместивших информацию о проблеме в публичный трекер ошибок, до момента выхода исправления с устранением уязвимости.

via Opennet.ru

Подробности уязвимости опубликованы, так что уже можно обсуждать возможности эксплуатации этой дырки.

Уязвимость позволяет проводить сразу несколько видов атак:

Теги: arbitrary, CGI, code, execution, exploit, PHP, vulnerability

Не так давно я писал, как можно вручную установить расширения для Google Chrome, если при установке из магазина у вас возникает ошибка. После недавних обновлений Chrome, решил снова попробовать что-то установить, вдруг починили

К сожалению, нет, теперь вываливается такая ошибка:

Could not install package: 'COULD_NOT_GET_TEMP_DIRECTORY'

Причина все та же, – профиль находится на динамическом диске.

How to fix

Для обхода этого глюка можно сделать финт ушами: вынести данные профиля на раздел, который находится на обычном диске. Я создал отдельный каталог, скопировал в него все данные из User Data, при помощи Link Shell Extension (LSE) закинул junction в папку
C:\Documents and Settings\USERNAME\Local Settings\Application Data\Google\Chrome
и переименовал ее в User Data. Ярлык для этого не подходит(!).

Теперь без проблем устанавливаются любые расширения.

Теги: Chrome, directory, Extension, Google, Junction, point, temp, расширения, Хром

ЖЖ снова в Ж. Отлично, так держать, СУП! Роисся вперде!

404 Not Found

nginx

Теги: 404, livejournal, nginx

Хотите радугу в консоли? Нет ничего проще:

~> gem install lolcat
~> cd /usr/ports/*/cowsay && make install clean
~> rehash
~> fortune | cowsay -f turtle | lolcat

Конечно, если у вас вдруг не установлен Ruby и gem, то придется чуть дольше повозиться.

Цитата о шоколаде как раз в тему. Розетка отменила мои заказы, сделал заказы в Соколе, сэкономил гривен 40, купил себе шоколадку Classic Wheels =) Мелочь, а приятно))

Теги: bricks, cowsay, csh, fortune, gem, lolcat, rainbow, Ruby, shell, tcsh, unicorn

А вы знаете, как выключить, перезагрузить, усыпить или заблокировать экран Windows 8? В связи с новым интерфейсом Метро это целое приключение, т.к. кнопки “Пуск” (“Start”) в Windows 8 попросту нет.

Есть два ректальных способа выключить Виндовс 8:

• загнать курсор в правую часть экрана, чтобы появилось вертикальное меню, и нажать шестеренку “Настройки” (“Settings”), потом “Power” и выбрать “Sleep”, “Shut down” или “Restart”. Вы хотели заблокировать экран? Ну извините, не судьба, вам сойдет второй способ.
• нажать классическое CTRL+ALT+DEL. Здесь, на удивление, возможностей по управлению компьютером и его питанием куда больше:
  - Lock
  - Switch user
  - Sign out
  - Task Manager
  И кнопка питания с теми же:
  - Power
  - Shut down
  - Restart

А теперь нежданчик: когда компьютер заблокирован, выключить его может кто угодно не зная пароля. Просто нажимаете иконку кнопки Power и выбираете действие. Виндовс, конечно, честно предупредит: “If you shut down now, you and any other people using this PC could lose unsaved work.”. При этом она не знает, если ли у вас не сохраненная работа, она просто предупреждает. Логично, что со временем люди привыкнут к этому предупреждению и не будут обращать на него внимания. И будут “lose unsaved work”.

Теги: Fail, Metro, Microsoft, Windows

Я много раз лечил здоровые и зараженные компы путем выпиливания антивируса Касперского и установкой Dr.Web или NOD32. Всем давно известно, что Касперский скорее калечит систему, чем лечит. И вот снова, пиарясь на волне нового вируса под Java на OS X, Kaspersky жидко обосрались:

Компания «Лаборатория Касперского» была вынуждена из-за критической ошибки отозвать первую версию своей бесплатной разработки Kaspersky Flashfake Removal Tool для борьбы с ботнетом Flashback, состоящим из компьютеров под управлением OS X. В ночь на 13 апреля была выпущена обновленная версия программы.

«Лаборатория Касперского» сообщила, что недавно выпущенный антивирусной компанией инструмент для удаления трояна, известного под названиями Flashback и Flashfake, поражающего компьютеры Apple под управлением OS X, оказался недоработанным и включал в себя ошибку.

Бесплатная программа от «Лаборатории Касперского» для удаления Flashback/Flashfake была выпущена на этой неделе. Она предназначена для удаления с компьютеров трояна, который, по информации экспертов в области компьютерной безопасности, уже заразил более 670 тыс. компьютеров по всему миру, став крупнейшим вирусом для OS X в истории.

via CNews

Чем ставить говно от Касперского, лучше удалить вирус вручную, как советуют в F-Secure, и установить Little Snitch. Проверить, есть ли вирус на компьютере можно самостоятельно. Запустите команду:

Теги: Apple, Dr.Web, FlashBack, Java, Kaspersky, Mac, malware, OS X, trojan

Как и ожидалось, Нокия успешно обосралась со своим релизом Nokia Lumia 900. В своей антирекламе iPhone на сайте http://www.smartphonebetatest.com/ они протроллили старую тему с “мертвой хваткой” и затуханием сигнала в iPhone:

После начала продаж выяснилось, что при определенных условиях или внезапно© у говНокии перестает работать передача данных. В качестве временного “лекарства” при возникновении подобной ситуации предлагается следующий алгоритм: загрузить смартфон без SIM-карты, выключить его и затем вновь вставить “симку”. Эффективность этого метода подвергается сомнению и в конечном итоге проблема возвращается. В качестве компенсации, Нокийа предлагает своим клиентам 100$ и ожидание выхода программно заплатки в ближайшее время© или обмен на устройство с устраненным багом.

Так что, бетатест продолжается?

Теги: facepalm, Fail, Lumia, Microsoft, Nokia, Windows, бетатест, Нокия, смартфон