👋 Вы знали, что в семнадцатом веке компьютеры были живыми, пили чай по утрам и ходили на работу?

А о том, что первые флешки появились пару столетий спустя и использовались для ткацких станков? Или, например, что первым программистом в истории была Ада Лавлейс — дочь лорда и поэта Джорджа Байрона? О том, что идеальная универсальная вычислительная машина придумана Тьюрингом в середине прошлого века, но все еще не может быть построена?

🤩 Наука проделала огромный путь от деревянных счетов до макбуков последней модели. И по этому пути прошло множество замечательных людей, ученых и сподвижников, влюбленных в свое дело, не желающих останавливаться на достигнутом, не боящихся рушить старые теории и выдвигать новые.

В первом выпуске «Комнаты 1337» рассказываем об эволюции вычислительной техники и отце всех компьютеров — Алане Тьюринге.

Смотрите его на нашем YouTube-канале и делитесь с теми, кому тоже интересно.

@PositiveHackMedia

🔍 Наиболее интересные уязвимости

🐛 CVE-2024-35219, обнаруженная в openapi-generator в версиях до 7.5.0, приводит к Path Traversal. Проблема заключалась в возможности злоумышленника через настройку outputFolder читать и удалять файлы, которые находятся на сервере. В исправлении разработчики исключили использование опции outputFolder для построения пути к каталогу.

🐛 CVE-2024-35226, выявленная в шаблонизаторе Smarty в версиях 4.5.3, приводит к Code Injection. Уязвимость обусловлена возможностью злоумышленника внедрить в шаблон исполняемый PHP код через тег extends. В исправлении для тега extend было удалено использование функции compileInclude(), обеспечивающую вставку и исполнение PHP кода.

🐛 CVE-2024-36109, выявленная в Cocalc в версиях до коммита 419862a9c9879c, приводит к Cross-Site Scripting (XSS). Проблема заключалась в возможности злоумышленника внедрить JavaScript код с помощью тегов <script> при рендеринге формата Markdown. В исправлении тег <script> был исключен из "белового" списка и была удалена его обработка при рендеринге скриптов библиотеки mathjax.

🐛 CVE-2024-36039, выявленная в библиотеке PyMySql в версиях до 1.1.1, приводит к SQL-injection. Уязвимость обусловлена возможностью злоумышленника выполнить произвольные SQL запросы при обращении к базе, внедряя полезную нагрузку в наименования ключей словаря. В исправлении была убрана поддержка обработки данных типа Dict.

🐛 CVE-2024-27348, обнаруженная в Apache HugeGraph-Server в версиях с 1.0.0 до 1.3.0, приводит к Remote Code Execution (RCE). Проблема заключалась в возможности злоумышленника удаленно выполнять код на сервере, используя недостаток обработки пользовательского ввода в интерфейсе Gremlin. Информация об уязвимости, уязвимых версиях, рекомендациях по обновлению и возможных превентивных мерах находится в Security Advisory.