Názory k článku
Hledač zranitelností Trivy šířil malware

Ono tech afektovanych verzi je daleko vice >

https://socket.dev/blog/trivy-under-attack-again-github-actions-compromise
https://www.wiz.io/blog/trivy-compromised-teampcp-supply-chain-attack
https://mrcloudbook.com/trivy-docker-images-compromised/

+ Docker images 0.69.4, 0.69.5, 0.69.6

+ NPM balicky CanisterWorm

Momentalne je cista verze 0.69.3 a action 0.35

Hlavne aby nebyl ten clovek afektovany. WTF proc nekdo pouziva v ceskem spojeni "afektovany" v souvislosti se softwarem? Tak bud to napisu anglicky nebo cesky. A ne timhle patvarem kde to ma kontextove v kazdem jazyku jiny vyznam.

Úplně nevím, co máš za mindrák, ale afektovaný = nepřirozeně se chovající ... normální české slovo, pane češtin.

Vy mate evidentne velky mindrak. A to s panem "cestin" i panem "anglictin". Zejmena ty dva nedokazete nejak dostat k jednomu stolu aby se dohodli.
Afektovany se pouziva v cestine u jinych spojeni v souvislosti s jinymi vecmi nez v anglictine. Jestli sem vam tim nenapovedel v prvnim prispevku, tak to je mi lito. A ted prominte. Mam afektovane auto a jsem kvuli tomu natolik afektovany, ze az prijedu do servisu tak se urazim...

Jo, normální české slovo. Jenomže je to české slovo, ne anglické, v podobné konotaci se nepoužívá a právě proto, že je to normální české slovo jste ho použil úplně blbě vy.

To je úplně šílený a komický zároveň. Útočník po tom co se provalilo, že 0.69.4 má malware a po tom co Aqua, vyřizovala credentials, vydal nové verze 0.69.5 a 0.69.6. To mi přijde jako celkem chytrý tah. Co mě ale zaráží úplně nejvíc je, že security firma nevydala ihned CVE a ani GHSA, ale začala to řešit i v Github discussion a udělali to, až na když jim to tam někdo napsal. Tohle mi u firmy co se zaměřuje na security přijde jako dost otřesný a podle mě to ta firma může po tomhle zabalit.

Quis custodiet ipsos custodes?

Bezpečí je jenom jedna velká iluze... A lidská blbost nejvýdělečnější...

Vždyť je to OSS, náprava v řádu hodin, netřeba čekat na Patch Tuesday :-p

No toto se pěkně rozšířilo. Třeba to chytlo LiteLLM a asi i mnoho dalších repositářů: https://github.com/HKUDS/nanobot/issues/2439
https://futuresearch.ai/blog/litellm-pypi-supply-chain-attack/

Tak to bude ještě sranda. V podstatě všichni kdo používali trivy v té verzi musí vyměnit všechny credentials. Tohle je naprosto časovaná bomba pro ty, kteří to přehlédnou, to může klidně vyplavat za rok, nebo i déle. My naštěstí používali starší verzi, aspoň k něčemu je neschopnost udržovat aktuální verze užitečná.

jj Trivy , Checkmarks, LiteLLM uz to jede ... btw https://ramimac.me/teampcp/#playlist
:-D na Show must go on se rozjizdi attck flow, jako pohrali si to se musi nechat