Сегодня в подборке новостей:
В популярной Java-библиотеке Log4j обнаружили критическую уязвимость
Специалисты по кибербезопасности обнаружили критическую уязвимость Log4Shell в широко используемой Java-библиотеке логирования Apache Log4j. Баг, получивший кодовое обозначение CVE-2021-44228, поставил под угрозу работу многочисленных интернет-сервисов и приложений.
Суть уязвимости состоит в том, что если с помощью Log4J записать в журнал событий приложения строку с определенной командой, то это позволит хакеру удаленно запускать любой необходимый ему код, в том числе вредоносный. Log4Shell можно использовать для несанкционированного доступа к серверам многих крупных корпораций.
Из-за ошибки опасность нависла над веб-сервером Apache Tomcat, который используется в Wikimedia и GitHub, в системах для управления разработкой Jira и Confluence, а также в десятках других компаний.
Источник:
Ars Technica
Линус Торвальдс объявил о доступности ядра Linux 5.16-rc5
Глава Linux Foundation Линус Торвальдс
объявил о доступности ядра Linux 5.16-rc5. Ожидается, что релиз-кандидат станет последней версией ядра в текущем году. Как утверждает сам Линус, выход стабильного релиза задержится до окончания рождественских праздников, во время которых многие разработчики уходят в отпуск.
“Проведите хорошее тестирование — с приближением праздников дела, вероятно, замедлятся как на фронте разработки, так и на фронте тестирования, и в результате я ожидаю, что я также продлю серию rc еще на неделю не потому, что это обязательно необходимо (слишком рано об этом говорить, но мне кажется, что это не так), но просто потому, что никто не захочет сразу открывать следующее окно слияния в новом году”, — сообщил Торвальдс.
Помимо обычного обновления файловой системы, общих дополнений ядра и улучшений в сети Linux 5.16-rc5 получил сразу несколько обновлений драйверов, два из которых нацелены на линейку устройств Microsoft Surface.
Источник:
Neowin
В Украине насчитали 250 тысяч IT-специалистов
По данным DOU.ua, по состоянию на декабрь 2021 года количество IT-специалистов в Украине впервые превысило 250 тысяч человек. За год число айтишников увеличилось на 50 тысяч. Чуть более 10% украинских айтишников зарабатывают более 5 тысяч долларов в месяц.
Только на DOU в 2021 году работодатели опубликовали 112,9 тысяч вакансий в сфере IT. Это почти вдвое больше, чем годом ранее, когда украинские и зарубежные компании разместили 61,3 тысячи вакансий. Хотя бы одну вакансию за последний год опубликовали более 5 тысяч IT-компаний. Три компании (Intellias, Ciklum, Genesis) разместили более 2 тысячй объявлений о приеме на работу.
По количеству вакансий в Украине лидируют Frontend-специалисты (11673 в 2021 году и 6787 в 2020 году). На втором месте тестировщики (11201 вакансии в 2021 году и 6340 в 2020 году). Замыкают тройку лидеров Java-разработчики. В нынешнем году специалисты по Java могли откликнуться на 6346 вакансий, тогда как год назад объявлений было более чем вдвое меньше — 3078.
Источник:
DOU.ua
Meta (Facebook) расширяет программу наград за обнаружение уязвимостей
Компания Meta объявила о расширении программы выплаты вознаграждений за обнаружение уязвимостей. Теперь участникам программы предложено искать баги также и в аппаратных продуктах дополненной реальности Reality Labs, включая виртуальные очки Ray-Ban Stories.
Обновленные правила выплаты вознаграждений распространяются на устройства Quest 2, Quest, Portal TV, Portal +, Portal Go, Portal Mini, Portal и Ray-Ban Stories. В зависимости от типа эксплойта максимальная награда за найденный баг достигает 30 тысяч долларов. Например, такую сумму можно заработать за полный обход безопасной загрузки без возможности устранения.
Минимальную награду в размере от 500 до 5 тысяч долларов можно получить, если найти проблемы, связанные с локальным хранилищем данных. Полный список условий участия в программе bug bounty можно найти
в специальном разделе на сайте Facebook.
Источник:
Facebook
В GraphQL API обнаружили уязвимость авторизации
Salt Labs, исследовательское подразделение Salt Security, обнаружило уязвимость авторизации в библиотеке запроса данных GraphQL API. Баг может возникать во вложенных запросах API, что позволяет запускать атаки, при которых любой пользователь сможет совершить несанкционированную транзакцию или собрать конфиденциальные данные клиентов.
Уязвимости GraphQL особенно проблематичны, поскольку количество разработчиков, использующих GraphQL, постоянно увеличивается. Кроме того, GraphQL API по своей сути сложно защитить из-за их уникальной гибкости и структуры.
За последний год внедрение GraphQL удвоилось и продолжает ускоряться. По данным Salt Security, GraphQL API по масштабам использования пока уступает REST, но показывает очень быструю динамику роста.
Источник:
ZDNet
ПЕРЕЙДИТЕ В ПОЛНУЮ ВЕРСИЮ