Hoppa till huvudinnehåll

2024-03-30

Kritisk bakdörr upptäckt i xz/liblzma som hotar SSH-servrar

  • Openwall-projektet tillhandahåller gratis produkter med öppen källkod för serversäkerhet, t.ex. ett Linux-operativsystem, lösenordsknäckare och verktyg för hashning av lösenord.
  • En bakdörr upptäcktes i paketet xz/liblzma, vilket påverkade SSH-servrar på glibc-baserade x86-64 Linux-system och skapade en risk för obehörig åtkomst eller fjärrkörning av kod.
  • Exploitationskoden är inriktad på specifika bibliotek, vilket har fått distributioner som Debian och Red Hat att ta itu med problemet; sårbara system behöver omedelbara uppgraderingar.

Reaktioner

  • En bakdörr i uppströms xz/liblzma ledde till kompromettering av SSH-servrar, vilket resulterade i avstängning av konton och borttagning av författarens nyckel från repositorier, vilket utlöste diskussioner om kodkomplexitet och potentiell statlig inblandning i projekt med öppen källkod.
  • Oro för säkerheten för XZ-filformat i Linux-distributioner för företag som saknar omedelbara uppdateringar, vilket understryker vikten av multifaktorautentisering med metoder som YubiKeys och lagring av TOTP-återställningslösenord för nödsituationer.
  • Debatter om hur effektiv tvåfaktorsautentisering är, begränsningar med MFA, risker med att lagra lösenord och tokens på samma enhet, diskussioner om implementering av Passkeys, hårdvarunycklar för autentisering och öppenhet i kodningspraxis, tillsammans med gemenskapens uppmaning till vaksamhet och snabb hantering av säkerhetssårbarheter.

Filantrop skapar "europeiskt Yellowstone" i Rumänien

  • Hansjörg Wyss filantropiska grupp förvärvar omfattande mark i Rumänien för att etablera ett "europeiskt Yellowstone" i Karpaterna, med målet att bevara naturen, främja ekoturism och stärka regionens ekonomi.
  • Stiftelsen har köpt 27.027 hektar och siktar på ett 200.000 hektar stort skyddat område, men har stött på motstånd från boende, jaktgrupper och kämpar för att inrätta en nationalpark.
  • Insatserna omfattar återplantering av skog, bevarande av vilda djur och växter samt samhällsengagemang för att undanröja hinder och skapa en livskraftig ram för bevarande.

Reaktioner

  • Samtalen fokuserar på att inrätta en europeisk Yellowstone-nationalpark i Rumänien för att återinföra bisonoxar, belysa vilda djurs beteende, mänsklig närvaro i naturliga livsmiljöer, turism, bevarande, ekonomisk kamp i Rumänien och kapitalismens effekter på naturresurser.
  • Betonar vikten av att samexistera med vilda djur, agera ansvarsfullt och bevara naturen som centrala teman i diskursen.

Högpresterande medarbetare kan säga upp sig om nyanställda får högre lön

  • Lönetransparensen ökar i olika branscher, vilket leder till att befintliga medarbetare upptäcker löneskillnader mellan nyanställda och nyanställda.
  • Forskning visar att om man inte justerar lönerna för befintlig personal efter nyanställningar kan det leda till att de som presterar bäst säger upp sig.
  • Arbetsgivarna uppmanas att göra konsekventa bedömningar av löneskillnader och omedelbart ändra lönerna för att förhindra potentiell kompetensförlust.

Reaktioner

  • Diskussionen belyser utmaningar med löneskillnader, särskilt när nyanställda tjänar mer än erfarna medarbetare, vilket leder till att toppresterande medarbetare slutar och befintliga medarbetare känner sig undervärderade.
  • Vikten av transparens i löner, förhandling om högre lön och marknadsvillkorens påverkan på ersättningen betonas.
  • Debatten omfattar även strategier för att behålla personal, karriärutveckling, förändringar i arbetskraftens demografi, familjeplanering, kunskapsöverföring, ekonomiska problem för föräldrar i USA och effekterna av generationsklyftor på arbetsplatsen.

Bevarande av Santa Barbaras digitala historia under konkurshot

  • Santa Barbara News-Press, en historisk tidning, har försatts i konkurs, vilket innebär att dess digitala arkiv riskerar att säljas till ett utländskt företag som tidigare har omvandlat välrenommerade webbplatser till "backlink farms" för SEO.
  • Denna oetiska SEO-metod inkluderar att lägga till betalt innehåll för att manipulera sökmotorrankningar, vilket potentiellt äventyrar den historiska noggrannheten i samhällets register.
  • Medborgarna uppmanas att delta i budgivningen om arkivet för att skydda dess innehåll och förhindra att det involveras i exploaterande onlineaktiviteter.

Reaktioner

  • Deadspin såldes till investerare i affiliate-branschen för onlinespel, vilket ledde till risker för samhällets historia.
  • Arbetstagarna skapade ett kooperativ som heter Defector på grund av utmaningar med facklig representation och lokala nyhetssajter i Santa Barbara.
  • Artikeln handlar om att skilja tillgångar från skulder i företag, insiderhandel, prisfixering och betydelsen av att bevara kulturarv genom arkiv.

Apache Guacamole: Få åtkomst till stationära datorer var som helst med Clientless Gateway

  • Apache Guacamole är en klientlös fjärrskrivbordsgateway med stöd för protokoll som VNC, RDP och SSH, tillgänglig via en webbläsare för fjärrskrivbordsåtkomst.
  • Programvaran är öppen källkod under Apache-licensen och vidareutvecklas kontinuerligt av en grupp utvecklare, med ett dokumenterat API för sömlös integration med olika applikationer.
  • För Apache Guacamole erbjuds både lokalt och kommersiellt stöd.

Reaktioner

  • Apache Guacamole är en klientlös fjärrskrivbordsgateway för åtkomst till fjärrskrivbord via en webbläsare, och har fått beröm för sin funktionalitet och anpassningsbarhet.
  • Användare har rapporterat problem som input lag och ljudkvalitet när de använder Guacamole men har delat positiva erfarenheter i utbildnings- och arbetsplatsmiljöer.
  • Alternativa projekt som BrowserBox, xpra och KasmWeb har diskuterats, med vissa användare som söker Java-oberoende lösningar, vilket visar Guacamoles värde för fjärrskrivbordsåtkomst.

Gödselutsläpp i Iowa förstör fisk i 60 mil lång flodsträcka

  • Ett utsläpp av gödselmedel i Iowa ledde till att nästan 800 000 fiskar dog i floderna Iowa och Missouri på grund av att flytande kvävegödselmedel läckte ut från en öppen ventil.
  • Denna incident, en av Iowas största fiskdöd, kan ta flera år innan ekosystemet återhämtar sig helt, vilket understryker de ihållande problemen med vattenföroreningar.
  • Utsläppet understryker svårigheterna med att genomdriva strängare regler i jordbruksstater och belyser pågående utmaningar med vattenföroreningar.

Reaktioner

  • Ett utsläpp av gödselmedel i Iowa utrotade de flesta fiskar längs en 60 mil lång flodsträcka, där ammoniak var den viktigaste skadliga komponenten som påverkade vattenlevande organismer.
  • Händelsen understryker de miljöskador som är kopplade till jordbruksmetoder och har utlöst debatter om att tillämpa strängare straff för dem som orsakar sådana katastrofer.
  • Vissa diskussioner övergår till att dra paralleller mellan miljöskador och problem med programvarusäkerhet, vilket visar att det är olika bråttom att ta itu med dessa frågor.

Avslöjande av XZ-bakdörren: Risker med enskilda bidragsgivare

  • En bakdörr i Xz-programvaran upptäcktes, och Jia Tan, en misstänkt bidragsgivare, spelade en central roll i att göra skadliga kodändringar och föra ut komprometterade versioner i repositorier.
  • Inlägget belyser riskerna med att förlita sig starkt på enskilda medarbetare som Jia Tan utan tillräckligt stöd, vilket väcker säkerhetsproblem i hela branschen.
  • Misstänkta LinkedIn-profiler och potentiella problem med identitetsstöld kopplade till Jia Tan tas också upp i blogginlägget.

Reaktioner

  • En potentiell bakdörr i komprimeringsprogrammet xz väcker farhågor om att en underrättelsetjänst riktar in sig på OpenSSH.
  • Misstankarna tyder på en samordnad insats för att kompromettera programvaran, eventuellt av en statlig myndighet, vilket understryker behovet av robusta säkerhetsåtgärder.
  • Inlägget understryker vikten av att ha flera underhållare för kritiska open source-projekt för att effektivt minska säkerhetsriskerna.

Motstå en DDoS-storm med enkel design och högpresterande ramverk

  • Bloggen tar upp en DDoS-attack mot företagets server och belyser deras val att inte ingripa på grund av systemets förmåga att stå emot attacken.
  • Deras motståndskraft under attacken tillskrivs deras okomplicerade, monolitiska tjänstestruktur och användning av effektiva ramverk som Golang och Rust.
  • De betonar vikten av sunda distributionsstrategier och förespråkar att binärer används framför containers och att prestanda förbättras genom att kringgå mellanliggande lager.

Reaktioner

  • Tableplus.com diskuterar DDoS-attacker, sårbarheter på webbplatser, trafikspikar, applikationsdistribution i containrar och säkerhetsåtgärder som "Under Attack"-läget.
  • Ämnena inkluderar att bygga monolitiska tjänster med Golang, hantera höga förfrågningsvolymer och debatten om monolitisk kontra mikrotjänstarkitektur.
  • Åsikter delas om att förbättra säkerheten, förenkla driftsättningen och ta itu med organisatoriska utmaningar när man väljer arkitekturstrategier.

Maximera Raspberry Pis livslängd: Körning med skrivskyddat rotfilsystem

  • Att köra en Raspberry Pi med ett skrivskyddat rotfilsystem kan förlänga SD-kortets livslängd genom att minska antalet skrivoperationer.
  • Guiden innehåller detaljerade instruktioner om olika steg, inklusive borttagning av onödig programvara, konfiguration av skrivskyddade filsystem, hantering av program som installerats via snap, användning av tmpfs för RAM-datalagring och begränsning av utrymme som används av journald.
  • Den täcker även hantering av fel från processer som kanske inte fungerar korrekt på ett skrivskyddat filsystem, vilket ger en heltäckande metod för att optimera Raspberry Pis prestanda och effektivitet.

Reaktioner

  • Artikeln utforskar hur man kör en Raspberry Pi med ett skrivskyddat rotfilsystem och föreslår SquashFS och EROFS för filsystem.
  • Användare delar med sig av sina erfarenheter av olika operativsystem och inställningar för skrivskyddad Pi-drift, och rekommenderar verktyg som Alpine Linux.
  • Rekommendationerna omfattar industriella SD-kort, tillförlitlig strömförsörjning och strategier för SD-kortets livslängd för att undvika datakorruption, tillsammans med användning av overlay-filsystem som overlayfs med tmpfs för bildproduktion.

Utforska Werons WebRTC Overlay-nätverk

  • Weron är ett WebRTC-baserat overlay-nätverk som möjliggör åtkomst till noder bakom NAT, säkra hemmanätverk och kringgående av censur, och erbjuder ett enkelt API för peer-to-peer-protokoll.
  • Användare kan installera Weron via containeriserade OCI-avbildningar eller statiska binära filer, och beskriva hur signalservern används för att ansluta peers, hantera communities och genomföra latens- och genomströmningsmätningar i nätverket.
  • Texten täcker skapandet av Layer 3 och Layer 2 overlay-nätverk med Werons VPN, upprättandet av ett Layer 2 Ethernet overlay-nätverk och skapandet av anpassade protokoll med wrtcconn, tillsammans med vägledning för användning av weron, inklusive kommandoradsargument, miljövariabler och licensinformation.

Reaktioner

  • Diskussionen fokuserar på WebRTC för peer-to-peer-kommunikation på internet och nämner tekniker som SimplePeer, GCM, MLS och WebTorrent, tillsammans med utmaningar när det gäller server- och webbläsarstöd.
  • Det spekuleras i Apples ovilja att stödja webbteknik som WebTransport och WebRTC, eventuellt för att marknadsföra sin appbutik, vilket har lett till diskussioner om att förenkla peer-förhandling och förbättra säkerheten genom WebRTC-videokonferenslösningar med öppen källkod.
  • Utvecklare bedömer hur effektiva STUN och WebRTC är när det gäller NAT-traversal, vilket väcker frågor om säkerhet och användbarhet.

Demis Hassabis: Leder Googles satsning på AI

  • Demis Hassabis, DeepMinds grundare, leder Googles AI-forskning för att behålla konkurrenskraften på området.
  • DeepMinds genombrott som AlphaGo och AlphaFold har etablerat deras AI-expertis, men ett kommunikationsglapp med OpenAI skapade utmaningar i generativa modeller.
  • Hassabis arbetar med Gemini, en språkmodell som ska konkurrera med OpenAI:s GPT-modeller, samtidigt som han utvecklar autonoma agentsystem, vilket visar att han satsar mer på forskning än på att bli Googles VD.

Reaktioner

  • Artikeln diskuterar utmaningar med att implementera trädsökningsalgoritmer i stora språkmodeller hos Google och betonar vikten av att träna för nyhet.
  • Den utforskar Googles ledarskap, strävan efter artificiell allmän intelligens (AGI) och oron för företagens inflytande, tillsammans med den potentiella AI-påverkan på olika branscher.
  • Texten belyser också AI-teknikens begränsningar och genomförbarhet, upplevda misslyckanden av Googles VD och DeepMinds roll inom företaget.

Avslöjande av xz-utils bakdörr: Brådskande säkerhetsrådgivning

  • En bakdörr hittades i xz-utils den 29 mars 2024, som påverkade system med versionerna 5.6.0 eller 5.6.1 av xz eller liblzma, och utlöstes av fjärrsystem utan privilegier som anslöt till offentliga SSH-portar.
  • Utnyttjandet använder glibc, systemd och specifika konfigurationer för att rikta in sig på OpenSSH:s autentiseringsprocedurer, vilket kan göra det möjligt att kringgå autentiseringsprocesser.
  • Upprätthållarna av xz-utils arbetar aktivt med korrigeringar, vilket understryker vikten av att användare med allmänt tillgänglig SSH uppdaterar sina system omgående.

Reaktioner

  • En bakdörr, xz-utils, hittades i xz/liblzma-biblioteket, vilket riskerar att kompromettera SSH-servrar när processnamnet matchar /usr/bin/sshd.
  • Angriparen planterade exploiten i komprimeringsbibliotekets testmapp, vilket utlöste debatter om säkerhetspraxis för programvara i öppna och slutna källkodsmiljöer.
  • Pågående samtal fokuserar på konsekvenserna av tidigare commits och betonar det ständiga behovet av vaksamma metoder för utveckling och distribution av programvara för att förhindra sådana kompromisser.

Att bekämpa bannerblindhet: Förståelse för användarbeteende och annonseffektivitet

  • Banner blindness, som var det första begreppet 1998, innebär att besökare ignorerar bannerliknande information på webbplatser på grund av faktorer som att de ogillar rörighet och att de är bekanta med webbplatsen.
  • Användarnas interaktion med bannerannonser påverkas i hög grad av hur väl de känner till webbplatsen, vilket i sin tur påverkar antalet visningar och klick.
  • Faktorer som kongruens, uppmaningar till handling, animering och personalisering påverkar onlineannonsernas effektivitet, där personaliserade annonser får mer uppmärksamhet medan irrelevanta annonser orsakar frustration.

Reaktioner

  • Forumet diskuterar Banner Blindness, där människor ignorerar varningssignaler, särskilt i nödsituationer, på grund av autopilotbeteende eller avsiktligt regelbrott.
  • Förslagen omfattar att göra skyltarna mer synliga genom att använda fysiska hinder eller att anpassa dörrdesignen för att fånga uppmärksamheten.
  • Användarna tar också upp könsskillnader, tillrättavisningar för säkerhetsöverträdelser, annonsers inflytande på onlineinnehåll och användningen av annonsblockerare för att skydda sig själv.