貴重体験

> また、データセンターの構築、運用を体験いただいた上で

> Currently, Motion Sense isn’t available in Japan, but is coming in spring 2020.

ハードウェア的, ソフトウェア的, 法的のどの方法で解決するのか分からないけど、とりあえず来年春まで待つか

support.google.com/pixelphone/

unigiri boosted

「通報は生臭いとよく言われますが、そうじゃないんです」と語るのは店主のあひる氏(年齢不詳)。「届いてから時間のたった通報は鮮度が落ちて臭みが出てしまう。これは1分前に届いたばかりの深センな通報ですが、ほら」そういってあひる氏は慣れた包丁さばきで通報理由を手早く切り分け、自身の体の炎で炙った。「甘みがあるでしょう。これが通報本来の味なんです」確かに濃厚ながらもさっぱりとしている。筆者がうなずくとあひる氏は満足そうに親指を建てて溶鉱炉へ沈んでいった。

雑に解説しておくと、再現には以下の条件が求められます:

1. ユーザbobがsudo権限を持つ
2. sudoersの設定 `bob HOST=(USER:GROUP) COMMAND` のUSERにALLが指定されている
3. 2のUSERに、rootとしての実行を許可しない設定 `!root` が指定されている

このとき本来であればbobはrootとしてCOMMANDを実行できない、つまりsudo COMMANDは実行失敗するはずですが、sudoのオプションとして-u#-1もしくは-u#4294967295を渡すことにより実行に成功します。

一応CentOS 8で再現成功したけど、やっぱりこの脆弱性はsudoersの設定が相当特殊じゃないと意味ない...

一瞬ざわっとしたけど、なんかあんまり実用性がない脆弱性に見えるな... seclists.org/oss-sec/2019/q4/1

こんな設定めったに書かないから、めちゃくちゃ急いで1.8.28に上げる必要はなさそう

> Fixed a security issue where a sudo user may be able to run a command as root when the Runas specification explicitly disallows root access as long as the ALL keyword is listed first. This vulnerability has been assigned CVE-2019-14287

sudo.ws/stable.html#1.8.28

uidを-1か4294967295にするだけでsudo権限もらえちゃうなんて便利だなー

えいごができないばかりにHacker Newsのkarmaが全然貯まらない (Redditと違って雑な投稿ができないため)

KeybaseのStellar配布イベント、全然2回目が来ないなーと思ったら偽アカウント大量に作られてその対応に追われてたんだ keybase.io/a/i/r/d/r/o/p/space

調べたら世界中に三猿を意味する言葉があるらしく、またひとつ新しいトリビアが生まれた

見ざる聞かざる言わざる 🙈🙉🙊 が結構高ランク位置にいるのが面白いんだけど、彼らはちゃんと本来の意味通りに使われているんだろうか

と言いつつ全然neuroscienceの勉強進んでないし、業界から抜け出せてないんだよね (悲しい)

I hate almost all the tech companies to be honest.
They use technology for making money and satisfying people's silly hobby although technology has the potential for making the world wiser and more rational.
Especially startup companies tend to have this characteristic.
That's the reason I'm going to shift my major to neuroscience.

Show more
UnigiriDon

unigiri用の個人インスタンス