Корпорация TrendMicro после поглощения компании TippingPoint (https://en.wikipedia.org/wiki/TippingPoint), основателя инициативы Zero Day Initiative (http://zerodayinitiative.com/) (ZDI), взяла на себя (http://blog.trendmicro.com/pwn2own-returns-for-2017-to-celeb... организацию ежегодного мероприятия Pwn2Own, участники которого демонстрируют рабочие техники эксплуатации ранее неизвестных уязвимостей и получают за это вознаграждение. В 2017 году соревнованиям Pwn2Own исполняется 10 лет, в честь чего добавлено (http://zerodayinitiative.com/Pwn2Own2017Rules.html) несколько новых номинаций, касающихся Linux (ранее соревнования обходили Linux стороной). Мероприятие состоится с 15 по 17 марта, размер призового фонда составит более миллиона долларов.
Наиболее интересным нововведением является появление номинации за демонстрацию успешного взлома HTTP-сервера на базе Apache httpd. Участнику, который успешно продемонстрирует удалённую эксплуатацию Apache httpd в окружении Ubuntu Server 16.10, в котором установлены все доступные обновления, будет вручена премия в 200 тысяч долларов. Кроме того, появилась номинация за демонстрацию локального эксплоита для ядра Linux, приводящего к повышению привилегий в окружении Ubuntu Desktop 16.10. Размер вознаграждения для данной номинации составляет 15 тысяч долларов.
Из других целевых систем, которые представлены на соревновании, можно отметить web-браузеры Firefox, Chrome, Safari и Edge, гипервизоры (vMware Workstation, Hyper-V), ядра macOS и Windows, плагин Adobe Flash, приложения Adobe Reader, MS Office Word, Excel и PowerPoint. Приз за взлом гипервизора составляет 100 тысяч долларов, Microsoft Edge или Google Chrome - 80 тысяч долларов, Apple Safari, Adobe Reader, Microsoft Word, Excel или PowerPoint - 50 тысяч долларов, Firefox - 30 тысяч долларов, локальное повышение привилегий через ядра Windows и macOS - 30 и 20 тысяч долларов.URL: http://blog.trendmicro.com/pwn2own-returns-for-2017-to-celeb.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=45896
Т.е. локальный взлом убунты, в несколько раз дешевле тех самых нами нпорицаемых за дырявость и корявость, систем?Непонятно...
По мне как раз логично. Кому интересен локальный взлом убунты, которая стоит у полутора гиков образно говоря? Что с ним делать кроме как передать разрабат на закрытие? То ли дело венда - раздолье для (анти)вирусопейсателей , где каждый сможет заработать себе на хлеб с икрой.
Может и так, я просто думал что платят за сложность так сказать взлома продукта. А тут всё ж как никак линукс кернел. Но если исключительно оплата прикладной важности, то вполне согласуемо.
Я все же думаю, что сложность тут играет бОльшую роль. Одно дело взломать сервер удаленно и совсем другое локальный взлом.
о тож.. в последнее время достаточно много локальных взломов в ядре, которые многие годы на находились..
>> взломать сервер удаленно и совсем другое локальный взломVPS?
Андроид тоже линукс, а там много вкусного
Adobe Reader, Хм. Не знаю как в целом по СНГ, а у нас в городе он уже непопулярный. В нашем городке ребята, переустанавливающие Windows, устанавливают Foxit Reader, а на новых ноутах похоже нет ридера вообще.
Я лет десять назад тоже пытался сделать эту замену.
Не знаю, как сейчас, а тогда быстро выяснилось, что, например, заполнить PDF-форму заявления на загран в Foxit невозможно.
Ну, невозможно это сделать и в некоторых версиях Acrobat-а. Говорят, "ищите другие версии, а то в вашей анекете вместо букв квадратики и макросы не срабатывают".
Признаться, последний раз я это делал буквально полгода назад, причем в Okular.
Никаких "квадратиков", пропадания надписей и прочих плюх не встретилось.Правда, уже в УФМС оказалось, что я зря полагался на форму с сайта то ли Гаранта, то ли Консультанта. Потому что все в очередной раз поменялось, а информационный век в государственных службах все еще встречает могучее бюрократическое сопротивление. Даже часы работы УФМС невозможно узнать в интернете... то есть узнать-то можно, но полагаться на эту информацию не стоит.
Миллион лет назад заполнял заявление на загран через госуслуги. Еяннп, pdf не использовался вообще. А время посещения офиса назначили с точностью до часа, и удивительно, без очереди принимали тех, кто с "госуслуг", а ретрограды с бумагами сидели в очереди на стульчиках и тряслись, "а не закроется ли раньше сегодня офис".
Дефолт-сити - город упертых максималистов. Мы уже привыкли.Так, для плавного спуска с радуги:
"Внимание!
Уважаемые Пользователи! Сообщаем, что на текущий момент по информации от МВД России оплата государственной пошлины для данной услуги недоступна."
(с) ГосуслугиПредлагаю эксперимент: попробуйте быстренько нагуглить, как получить загран в соседнем областном центре - Владимире. Официальный сайт УФМС, для начала...
Точно так же, на госуслугах оформляете заявление. Его рассмотрят и пришлют вам квитанция для оплаты.
Foxit пока ещё не полная замена акробату, постоянно падает на каких-то файлах, столкнулся с этим на е-билетах и посадочных нескольких авиакомпаний
Для Д,Б!(С) - ну для тебя короче, Foxit - _вообще_не_замена акробату ... прикинь?! :)
Из браузеров FF дешевле всех оценивают.
Спасибо
> Из браузеров FF дешевле всех оценивают.Я так понимаю, насколько проспонсировано - настолько и оценивается.
Берусь с уверенностью предположить, кто именно оплатил премии за взлом Linux и Apache...
Песочницы нет.
Апач не нужен уже почти.
Разработчики Апача напоследок заработают на взломе собственного кода, а потом выбросят его на помойку, когда он будет полностью неуязвимым
Subversion over HTTPS как поднимать без апача?Апач это сервер приложений, а какой-нибудь nginx это реверс-прокси для самостоятельных приложений на python/node.js/go. Это камень в огород SVN, конечно, но пока у меня апач похоронить не получается.
Если прям очень хочется выбросить apache, можно какой-нибудь trac использовать как веб-морду, у него внутреннее проксирование SVN в HTTP.
А зачем именно SVN?
Каждой мелочи своё приложение, в отдельном контейнере, не дадим экологом бороться с глобальным потеплением! ЗА пляжный отдых в Мурманске!
> не дадим экологом бороться с глобальным потеплением!Единственный, за долгое время, здравый лозунг на опеннете.
Что мне не нравится на opennet.ru.
Нет новостей про инновации, зато есть новости о релизах опенсорсных да к тому же ещё и не мейнстримных проектов, у которых среди сдешних читателей три пользователя от силы наберётся.Не дают комментировать новости про ReactOS от Анонима, какое же это открытое ощебщение, Максим? Если на то пошло, то можно об это проекте новости не пропускать, всё равно проект мёртв, они и Win XP даже через 10 лет не напишут, а как далеко вперёд за это время уйдёт MicroSoft? А если им дадут денег, чтобы они наняли разработчиков и сделали качественный продукт, их Microsoft прихлопнет по суду. Этот проект сплошная потеря времени. MS умудряются наезжать даже на Линукс, хотя сами большинство идей первоначально попросту украли у других, а ReactOS - копия Windows, точнее хочет ей стать. Им конец в любом случае. И новости про их проект здесь не нужны. Они выглядят как глупая провокация.
Мне нравится читать про вышедшее по. Даже если я не планирую им пользоваться. Можно неплохо отвлечься от насущных рабочих проблем и просто пообсуждать что-нибудь несуществкнное. Всякие там де или языки,пульсу и ядра. Тут так уже много лет.
Ну и пусть реактось не выйдет. Главное что парни стараются. А еще здорово что тут почти не обсуждают хохлов и трампа.
А за удаленный эксплоит lsass.exe сколько платят? Выездом на место ФБР и АНБ?
"удалённую эксплуатацию Apache httpd".
тьху.