CISA 对主动利用的 GitLab 严重缺陷发出警报
美国网络安全和基础设施安全局 (CISA) 贴上标签 影响流行的基于 Git 的存储库管理器的严重漏洞 GitLab 作为已知被利用的漏洞 (KEV)。 此举是为了应对在野外检测到的主动利用尝试,强调了组织迅速应用安全更新的紧迫性。 该严重缺陷(CVSS 评分:10.0)被追踪为 CVE-2023-7028,攻击者可以通过向未经验证的电子邮件地址发送密码重置电子邮件来接管用户帐户。 CISA 的 KEV 目录列出了众所周知的网络安全漏洞,这些漏洞给联邦机构带来重大风险,并被威胁行为者积极利用。 GitLab 最初于 2023 年 1 月披露了该缺陷。该漏洞是在 2023 年 5 月 1 日发布的 16.1.0 版本中作为代码更改的一部分引入的,影响受影响版本中的“所有身份验证机制”。 “此外,启用了双因素身份验证的用户很容易被密码重置,但不会被帐户接管,因为他们需要第二个身份验证因素才能登录,”GitLab 指出 在其咨询中。 安全研究人员表示,成功利用该漏洞的后果可能会很严重。 云安全公司 Mitiga 警告 攻击者控制 GitLab 用户帐户可能会窃取敏感信息、凭据,甚至将恶意代码注入源代码存储库,为供应链攻击铺平道路。 “对于攻击者和内部不良行为者来说,GitLab 代表着其他东西:充满知识产权的组织价值的丰富来源。 因此,了解潜在攻击和滥用的风险对于 GitLab 用户来说非常重要。”Mitiga 解释道。 “获得 CI/CD 管道配置访问权限的攻击者可能会嵌入旨在窃取敏感数据(例如个人身份信息 (PII) 或身份验证令牌)的恶意代码,并将其重定向到对手控制的服务器。 “同样,篡改存储库代码可能涉及插入损害系统完整性的恶意软件或引入后门以进行未经授权的访问。 恶意代码或滥用管道可能会导致数据盗窃、代码中断、未经授权的访问和供应链攻击。” 此后,GitLab […]
soutade/libgourou – libgourou – Forge soutade
介绍 libgourou 是 Adobe ADEPT 协议的免费实现,用于在 ePub/PDF 文件上添加 DRM。 它克服了 Adobe 对 Linux 平台支持的不足。 建筑学 与 RMSDK 一样,libgourou 也有客户端/服务器方案。 所有平台特定功能(加密、网络…)都必须在客户端类(派生自 DRMProcessorClient)中实现,而服务器则实现 ADEPT 协议。 提供了使用 cURL、OpenSSL 和 libzip 的参考实现(在 实用程序 目录)。 gorouu::DRMProcessor 使用的主要功能是: 从 ACSM 文件获取 ePub: 实现() 和 下载() 创建一个新设备: 创建DRMProcessor() 注册一个新设备: 登入() 和 激活设备() 删除 DRM: 删除DRM() 归还借出的书籍: 返回贷款() 您可以从(至少)导入配置: Kobo 设备:.adept/device.xml、.adept/devicesalt 和 .adept/activation.xml […]
Visual Studio 17.10 预览版 2:GitHub Copilot 支持的 Pull 请求,ARM64 中对 VS 的 SSDT 支持
微软发布了 Visual Studio 17.10 预览版 2。 此版本包含有关 GitHub Copilot 支持的拉取请求的功能、对 ARM64 上 VS 中的 SQL Server 开发人员工具的支持以及对托管内存窗口中的垃圾收集见解的支持。 Visual Studio 17.10 Preview 2 支持 GitHub Copilot 支持的拉取请求描述。 通过 Copilot 对拉取请求中包含的所有更改的分析,可以生成拉取请求描述的初稿。 要试用它,需要拥有有效的 GitHub Copilot 订阅并安装 GitHub Copilot 聊天扩展。 此外,微软开发人员在“提交详细信息”窗口中添加了由 GitHub Copilot 支持的解释功能。 这使得更容易理解每次提交的范围。 双击任何提交将在 Git 存储库窗口中打开“提交详细信息”面板。 然后需要单击“解释批准”图标以与代码并排显示更改摘要。 下一个功能是直接在 Visual Studio 的工作文件中访问 GitHub 和 Azure DevOps 拉取请求注释。 Visual […]
HEAD 在 git 中如何工作
你好! 有一天,我进行了 Mastodon 民意调查,询问人们对理解 HEAD 在 Git 中如何工作的信心有多大。 结果(共 1700 票)让我有点惊讶: 10%“100%” 36%“非常有信心” 39%“有点信心?” 15%“完全不知道” 我很惊讶人们对自己的理解如此不自信——我一直在想 HEAD 作为一个非常简单的话题。 通常,当人们说某个主题令人困惑而我认为并非如此时,原因是实际上存在一些我没有考虑到的隐藏的复杂性。 经过一些后续对话后发现 HEAD 实际上 曾是 比我想象的要复杂一点! 这是一个快速目录: HEAD 实际上是几个不同的东西 在与一群不同的人交谈之后 HEAD, 我意识到 HEAD 实际上有几个不同的密切相关的含义: 文件 .git/HEAD HEAD 如 git show HEAD (git 称之为“修订参数”) git 使用的所有方式 HEAD 在各种命令的输出中(