Wednesday, October 17th, 2018

Time	Event
10:53a	В libssh исправлена уязвимость, позволяющая обойти аутентификацию Разработчики библиотеки libssh, предназначенной для интеграции поддержки SSH в программы на языке C, сообщили об устранении недоработки в механизме аутентификации. Сервер успешно авторизовал злоумышленника, если тот вместо ожидаемого сервером сообщения SSH2_MSG_USERAUTH_REQUEST отправлял SSH2_MSG_USERAUTH_SUCCESS. Таким образом, злоумышленник мог полностью обойти этап аутентификации. Уязвимости (CVE-2018-10933) подвержены все выпуски libssh, начиная с версии 0.6, выпущенной в январе 2014 года. Проблема исправлена в выпусках 0.8.4 и 0.7.6.  libssh, уязвимость (Comment on this)
6:26p	MongoDB сменила лицензию. MongoDB объявила, что все новые версии будут выходить под их собственной лицензией - SSPL. Лицензия основана на GPL3. Главное отличие в том, что теперь надо выпускать свой код (либо приобрести коммерческую лицензию) всем, кто предоставляет MongoDB как сервис. То есть предоставляет третьим лицам возможность пользоваться своей установкой MongoDB. Интересно, что в списке компаний, поведение которых толкнуло MongoDB пойти на этот шаг, указан Яндекс (Alibaba и Tencent другие компании в списке). Список упомянут в интервью The Register. Open Source Initiative объявила, что MongoDB теперь не может считаться Open Source, по крайней мере до окончания процесса рассмотрения новой лицензии.  gpl3, mongodb, yandex (Comment on this)

<< Previous Day

2018/10/17 [Calendar]

Next Day >>