最近的 nginx + php-fpm 安全性漏洞

這次的漏洞是在打 CTF (capture the flag) 的時候發現的,這個安全漏洞已經被給 CVE 編號並且修正了:「CVE-2019-11043」,回報者與官方的討論可以在「Sec Bug #78599 env_path_info underflow in fpm_main.c can lead to RCE」這邊看到。從回報的標題可以知道這次頗熱鬧的原因,是因為這次有機會 RCE (remote code execution)...

在「PHuiP-FPizdaM」這邊可以看到比較系統性的整理 (以及 exploit),看起來雖然有不少條件,但都不算太特別的指令,如果以全世界的機器來看,應該會有不少機器中獎...

UC Berkeley Course 的影片將從 YouTube 上下架

看到「Ask HN: Which Berkeley Courses Should I Archive?」這篇才知道下架的計畫,但也有人很努力在掃:「UC Berkeley Course Captures」。

官方的公告在月初的時候發出來的:「Campus message on Course Capture video, podcast changes」,提供的理由還是很怪...

有點可惜啊... :o

廉價的 HDMI 擷取卡方案

在「Ludicrously cheap HDMI capture for Linux」這邊看到 hacker 精神 XDDD

作者想要找一個 HDMI 錄影裝置,但發現在 Linux 下很難找,就算有也很貴:

Lately I have had the need to do real time video capture from HDMI devices as of late for a project, and while looking around the internet found that all of the capture cards that are aimed at gamers (windows / OSX support only) or full blown production capture (Very expensive, more inputs than I need). The other downside is that all of these options either have no Linux drivers at all, or if they do, they have a Linux driver that is behind an NDA, and those cards are in the $800+ range.

但他在網路上找到「Reverse engineering Lenkeng HDMI over IP extender」這篇文章,裡面提到有 HDMI 轉 IP 的設備可以用,並且成功寫了一些 Python script 解出裡面的 packet... 而這樣的設備便宜非常多。

查了一下型號,看起來是「Digital Family LKV373 HDMI Network Extender over Cat5 Cable - Unlimited Extension」這顆,變貴了?不過相較於前面提到的 $800+ 還是便宜不少就是了... XD

Google Chrome 上面的畫面截圖套件

記得之前有提到最多人裝的那幾個 extension 都有嵌入各種 malware 或 spyware,所以試著找有哪個是正常的... 後來想到用 GoogleGitHub 上的 open source 專案,找到這個:「One-click full page screen captures in Google Chrome」,官方說明頁面在「Full Page Screen Capture Chrome Extension」:

It’s open source (on github) and malware free.

看起來這個應該是可以用的... 看起來很久沒更新了,不過實際測試還是會動的 :p

測試 wkhtmltoimage 的效果

在「FreeBSD 上使用 wkhtmltopdf 做網頁擷取」看到有人在 FreeBSD 上用 Linux emulator 跑 wkhtmltopdf 成功,那麼 Linux 上當然更沒問題啦...

同一個計畫裡有 wkhtmltoimage,可以直接輸出成 PNG 格式,不過輸出的 PNG 沒有壓縮過 (應該吧,下面這張測試的原始輸出是 ~10MB,處理後是 ~500KB),要用 pngcrush 處理後才會比較小。

不過 PIXNET 的網頁都會 segmentation fault 是怎樣 XD

Update:在「Segmentation fault while generating http://www.pixnet.net/」這邊回報後,trunk 版修正了。

wkhtmltoimage 輸出結果在這,點下去會出現原圖:

之前透過 Firefox 的方法的輸出結果,點下去會出現原圖:

可以看出來字體的部份有差... 不過處理的速度與方便度比 Firefox 好太多了。