A saját üzemeltetésű Git-szerverek felét kritikus sebezhetőség miatt törték fel
Több mint 700 önállóan üzemeltetett Git szervert támadtak meg egy frissen felfedezett, javítatlan sérülékenység miatt. A Gogs nevű népszerű, saját gépen vagy felhőben futtatható Git szolgáltatásban rejlő hibát júliusban fedezték fel, amikor rosszindulatú programok után nyomozó kutatók egy gép vizsgálata során bukkantak rá. Érdekesség, hogy a sebezhetőségre véletlenül derült fény.
Egy korábbi javítás kevésnek bizonyult
A CVE-2025-8110 néven ismert sebezhetőséggel lényegében meg lehet kerülni egy korábban javított hibát (CVE-2024-55947). Ez lehetővé teszi, hogy a támadó hitelesített felhasználóként tetszőleges, a tárhelyen kívüli fájlokat írjon felül, így távoli kódvégrehajtást érhet el. A Gogs főként Go nyelven készült, és lehetővé teszi, hogy bárki saját szerveren kezeljen Git-tárhelyeket harmadik fél (például a GitHub) nélkül.
Az előző javítás nem védte ki a szimbolikus linkekkel (symlinkekkel) való visszaélést, ami különösen veszélyes: ezek révén a támadó négy egyszerű lépésben elérheti a rendszer feletti irányítást. Előbb létrehoz egy tárhelyet, beállít egy szimbolikus linket egy érzékeny célfájlra, majd az API-n keresztül ír erre a linkre, így felülírja például a .git/config fájlt, és ezzel tetszőleges parancsokat futtathat.
Fertőzött példányok, ázsiai támadók nyomai
Körülbelül 1 400, interneten elérhető Gogs példányból több mint 700-at sikeresen fertőztek meg. Mindegyiken ugyanaz a séma látható: egy véletlenszerű, 8 karakteres névvel létrehozott fiók és egy, a Supershell távoli vezérlőkeretrendszert használó káros program. A részletek ismeretében más fényt kap a történet, ugyanis ez a megoldás korábban is felbukkant már Ázsiából érkező kritikus támadásoknál. Ezáltal arra lehet következtetni, hogy a jelenlegi támadások hátterében is valószínűleg ázsiai elkövetők állnak.
Az is igaz ugyanakkor, hogy a legtöbb fertőzött környezetben gyorsan eltávolították a rosszindulatú programot, így utólagos károkozást, adatszivárgást nem tudtak kimutatni – azonban az, hogy pontosan mit tettek a támadók, többnyire nem ismert.
Mivel a Gogs fejlesztői még dolgoznak a hibajavításon, azonnali intézkedésként javasolt az új felhasználói regisztráció letiltása (amennyiben ez lehetséges), valamint az internetes elérhetőség korlátozása: a szervereket érdemes VPN mögé rejteni. Szintén érdemes figyelni a hirtelen létrejött, véletlenszerű karakterekből álló nevű tárhelyeket, illetve a PutContents API gyanús használatát. A kutatók közzétették a kompromittálódás jeleit is, érdemes azok alapján ellenőrizni a saját rendszereket.
A nemrég nyilvánosságra hozott bírósági dokumentumok felfedték, hogy az Anthropic cég egy „Panama Projekt” nevű művelet keretében több százezer, akár millió könyvet vásárolt fel, hogy azok gerincét levágva, a lapokat beszkennelve tanítsák be MI-chatbotjukat, a Claude-ot...
A tengeri halászat fenntarthatósága világszerte kiemelt jelentőségű, hiszen ez a szektor alapvető élelmiszerforrást, munkahelyeket és megélhetést nyújt emberek millióinak, miközben kulcsszerepet játszik a tengeri ökoszisztémák megőrzésében is...
🤔 Az asztma kialakulásának okait évtizedeken át a leukotriének nevű molekulák számlájára írták, melyeket az immunrendszer fehérvérsejtjei szabadítanak fel, ha a légutak irritációnak vagy allergéneknek vannak kitéve...
🛠 Az Európai Bizottság lépéseket tett, hogy a Google betartsa a Digitális piacokról szóló törvényt (Digital Markets Act, DMA), és ne részesítse előnyben a saját szolgáltatásait...
🔒 A Nike nagyszabású adatlopási botrányba keveredett, miután a World Leaks nevű zsarolóvírus-csoport 1,4 TB-nyi adatot szivárogtatott ki: állításuk szerint a sportóriástól lopták el mintegy 190 000 fájlt...
A várva várt Samsung Galaxy Z TriFold végre megjelenik az Egyesült Államokban, méghozzá a pletykált februári bemutató előtt: január 30-tól már meg is vásárolható lesz...
Nehéz elhinni, de a vállalati világot ismét elárasztotta az optimizmus. Az igazgatótanácsok folyosóin egymást érik a forradalmi átalakulásokról szóló beszélgetések, a költségvetések pedig folyamatosan nőnek, hogy helyet adjanak a legújabb platformoknak és MI-asszisztenseknek...
Ma már mindennapos, hogy órákat töltünk a telefonunk előtt. Nem ritka a napi három óra feletti okostelefon-használat, és sok felnőttnél a képernyőidő a hat órát is eléri...
🚗 Érdemes megvizsgálni, hogy az Egyesült Államok Közlekedési Minisztériuma (DOT) merész lépésre szánta el magát: a különféle közlekedésbiztonsági szabályokat, amelyek repülőgépek, autók és csővezetékek biztonságát garantálják, most már MI-vel is készítik...
🔭 Hosszú ideje tartotta magát az a nézet, hogy a Stonehenge hatalmas kövei, különösen a híres „kék kövek” gleccserek segítségével kerültek jelenlegi helyükre...
Kezdetben a vállalatok tömegesen kezdték el tesztelni a generatív MI-t, de az érzékeny adatokkal dolgozó szektorokban – különösen a jogi területen – folyamatosan előtérbe került a magánszféra védelme, a biztonság és a megfelelőség kérdése...
A gonosznak nincs nyugta (No Rest for the Wicked), a Moon Studios legújabb, brutálisan véres és precíz akció-RPG-je villámgyorsan népszerűvé vált a Steamen, messze maga mögé utasítva más sikerjátékokat, például az Ív lovasai (Arc Riders) játékot...
A Google 24,4 milliárd forintot (68 millió dollárt) fizet kártérítésként, miután felhasználók azzal vádolták a vállalatot, hogy a hangalapú asszisztense titokban rögzítette és továbbította a beszélgetéseket, még akkor is, amikor a felhasználók nem adtak erre engedélyt vagy parancsot...
⚙ Kezdetben a kvantumtechnológia kizárólag laboratóriumi körülmények között létezett, ám mostanra elérkezett ahhoz a ponthoz, amit a szakértők a tranzisztor feltalálása előtti számítástechnika korszakához hasonlítanak...
Felmerül a kérdés, mikor válthatják ki végre a kellemetlen, naponta beadandó hormoninjekciókat egy egyszerűbb, fájdalommentes módszerrel a lombikbébi-programban részt vevő nők számára...
⚠ Többek között egy friss, nagyszabású francia tanulmány hívja fel a figyelmet arra, hogy a különböző tartósítószerekben gazdag, feldolgozott élelmiszerek fogyasztása növelheti bizonyos ráktípusok kockázatát...
A hősugárzók pillanatok alatt kellemes meleget varázsolnak a lakás hideg sarkaiba, és akár az egész ház fűtése helyett is jó alternatívát jelenthetnek a téli hónapokban...
👀 Az elmúlt pár évben a Google rendkívül népszerűvé tette a saját Android-felületét, a Material 3 Expressive-t: a dinamikus animációk, a nagy gombok és a karakteres formák és színek miatt ez sokak kedvence lett, és ennek köszönhetően sokan nap mint nap a Pixel telefonokat választják...
🥑 Érdemes megérteni, hogy nem minden testzsír egyforma – míg a fehér zsír számos egészségügyi kockázatot rejt, a barna zsír kimondottan kedvező hatású lehet a szív- és érrendszerre...
