Launched six years ago, Hello World magazine is the education magazine about computing and digital making. It’s made for educators by educators, and a community of teachers around the world reads and contributes to every issue. We’re now starting a monthly Hello World newsletter to bring you more great content for computing educators while you await each new magazine issue.
A monthly newsletter for Hello World readers
The Hello World community is an amazing group of people, and we love hearing your ideas about what could make Hello World even better at supporting your classroom practice. That’s why we host a fun and informative Hello World podcast to chat with educators around the globe about all things computing and digital making, and why we regularly share some of our favourite past magazine articles online to keep the conversation on important topics going.
Now we’re starting a monthly newsletter to offer you another way to get regular computing education ideas and insights you can use in your teaching. Every month, we’ll be curating a couple of interesting Hello World articles, plus news about the free education resources, research, community stories, and events from the Foundation. You can expect bite-size summaries of all items, plus links for you to explore more in your own time.
Sign up today
Keep up with all of the education news from the Raspberry Pi Foundation and Hello World by signing up for the Hello World newsletter today.
If you’re already signed up to the Raspberry Pi LEARN newsletter, then you don’t need to do anything: this newsletter replaces LEARN and you will be automatically subscribed.
We hope you’ll enjoy the first Hello World newsletter, which we will send out this Wednesday. As always, let us know what you think of it on Twitter or Facebook, or here in the comments.
PS Remember that if you work or volunteer as an educator in the UK, you can subscribe to receive free Hello World print copies to your home or workplace.
I don’t think we’ve had anything hugely interesting happen the last
week, and the whole 6.4 release really does feel like it’s going
fairly smoothly. Knock wood, famous last words, you know the drill.
Общинските власти в гр. Царево умишлено унищожават с багери уникалните дюни и местообитания на плажа Корал, алармираха “Биволъ” от неправителствената екоорганизация Сдружение “Да запазим Корал”. Екозащитниците предоставиха и съответните снимки,…
“After 1 year, 9 months, and 28 days of development“, Debian 12, codenamed “bookworm”, has been released. The announcement has lots of details about package versions for desktop environments (6 are supported), kernel version (Linux 6.1 series), other package versions (compilers, graphics tools, office suites, languages, and more), architectures supported (8 for real hardware and 5 for cloud services), blends, and lots more.
This release contains over 11,089 new packages for a total count of 64,419 packages, while over 6,296 packages have been removed as “obsolete”. 43,254 packages were updated in this release. The overall disk usage for “bookworm” is 365,016,420 kB (365 GB), and is made up of 1,341,564,204 lines of code.
“bookworm” has more translated man pages than ever thanks to our translators who have made man-pages available in multiple languages such as: Czech, Danish, Greek, Finnish, Indonesian, Macedonian, Norwegian (Bokmål), Russian, Serbian, Swedish, Ukrainian, and Vietnamese. All of the systemd man pages are now completely available in German.
See the Debian 12 release notes for additional information.
В България сме свикнали да не гледаме по-далече от носа си. Международните новини обикновено са забутани в края на новинарските емисии, освен ако не става дума за британското кралско семейство например. В последно време нашият „нос“ е станал толкова интересен, че съвсем не можем да откъснем поглед от него. Ново правителство, сериозни трусове в досегашните властови центрове, трусове и в подземния свят – понякога с летален изход…
Едно международно събитие от изминалата седмица обаче ще има огромни последствия, които ще засегнат и страната ни. Става дума за унищожаването на язовира „Нова Каховка“ край украинския град Херсон. Досега няма категорични доказателства дали съоръжението, което се намира под контрола на руските окупационни сили, е умишлено взривено от окупаторите, или стената му се е саморазрушила точно в началото на украинската контраофанзива. Язовирната стена обаче нямаше да се срути, ако я нямаше войната на Русия срещу Украйна.
Все още е трудно да си представим мащабите на бедствието, предизвикано от унищожаването на „Нова Каховка“. Украинският президент Володимир Зеленски го нарича „екоцид“. Не е лесно да се сетим за други катастрофични събития, причинени от човешка дейност, които водят до промяна на физическата карта на една държава. Южна Украйна вече няма да изглежда както преди. Не само десетки населени места са унищожени, а региони с плодородна земя ще се превърнат в пустини и в част от водни басейни. Вливането на Днепър в Черно море вече ще има различна форма.
Като стана дума за Черно море, последствията от тази катастрофа ще стигнат и до България. Защото в морето ще се излеят всички отрови и зарази, които Днепър отнесе по пътя си. Заедно с множество противопехотни мини, които ще се превърнат в опасност за плавателните съдове, за местното население и за туристите.
В тазседмичните си статии двете с Емилия Милчева се фокусираме върху „носа“ си, тоест България. Емилия разказва как Иван Гешев е сам на бала на чудовищата. Главният прокурор е изоставен от доскорошните си най-верни съюзници, които го поставиха на поста, за да могат да го използват като щит, бухалка и чадър. Съюзниците, както и парите, не миришат, нали? Злоупотребявайки с безконтролната си власт, Гешев се превърна в бреме и за онзи, който „си го избра“. Той отчаяно се бори да запази властта си, демонстрирайки по този начин още повече нейната безконтролност и избирателната ѝ употреба. Развръзката, смята Емилия, ще зависи от политическото благоразумие в името на целостта на новия кабинет.
Новият кабинет пък е тема на статията ми „Не пълно щастие, а редовно правителство“. От новото правителство като че ли никой не е щастлив, включително и личностите и политическите сили, които участват в него. Но политиката не е филм с щастлив край, а изкуство на възможното. Както казва Ицо Хазарта, ако в ресторанта има само боб и леща, колкото и да искаме пържола, няма да ни дадат. Добрата новина от изтичането на записа от закритото заседание на „Продължаваме промяната“ обаче е, че ръководството на партията действително си представя политиката като опит за промяна на света. От ПП си дават сметка, че участието в правителство с ГЕРБ може да означава политическата им смърт, но вярват, че има и други, които да продължат започнатото.
Александър Нуцов поставя българската политика в глобален контекст, разсъждавайки за протеста като любов към демокрацията. Според него протестите като форма на гражданска съпротива са лекарство срещу зловредни влияния в обществото. Той ни припомня личности, вдъхновили големи ненасилствени протестни движения. Първоначално се сещаме за Махатма Ганди и Мартин Лутър Кинг. Но преди да ни върне към България, Александър ни обръща внимание върху личности като камбоджанския будистки лидер Маха Госананда, Дезмънд Туту, който се бори срещу апартейда в ЮАР, Ригоберта Менчу, посветила се на човешките права в Гватемала, и Лейма Гбоуи, която отстоява правата на жените в Либерия.
Продължаваме на международна тема с втората част от статията на Атанас Шиников „Кориандър, лой, шамфъстък: как се хранят средновековните араби“. Ако не сте си похапнали добре, преди да я прочетете, отговорността си е ваша. Но ви предупреждавам, че ако не сте вегани или вегетарианци (понеже в Средновековието имотната част от населението доста набляга на животинските протеини), е силна вероятността да огладнеете. Въпреки че описаните рецепти не приличат на съвременна готварска книга, а са много по-фриволни и емоционални.
Вглеждайки се и в тукашните проблеми обаче, можем да виждаме по-далече от носа си. Връщаме се към България със статията на новата ни авторка Мирела Петкова „Невежеството не е блаженство, или различните лица на липсващото здравно и сексуално образование в България“. В България ранната бременност е нещо обичайно, но темата е маргинализирана, а дебатът – поляризиращ. Също така сме на първо място по аборти в Европа. Според авторката решението и на двата проблема се състои в адекватното сексуално образование, каквото обаче липсва в учебните планове. Тя разговаря с различни специалисти, които знаят как могат да се подобрят нещата. Ала за съжаление, учениците се оказват заложници на мащабни кампании, табуизиращи сексуалното образование.
Накрая – обичайните препоръки мен.
„София прайд“ е точно след една седмица – на 17 юни. Ако ще ходите, моля ви да не пренебрегвате правилата за безопасност. Защото, независимо какви са сексуалната ви ориентация, половата ви идентичност или външният ви вид, лица, които все питат реторично кой им пречи на ЛГБТИ хората, може да решат отново да „прочистват“ София от хора, приличащи им на различни.
Този път не ви поздравявам с някое весело пънкарско парче, защото разрушаването на язовира „Нова Каховка“ не ми излиза от главата. Припомням си любими песни на тема потоп. В тази връзка реших да споделя с вас едно концертно изпълнение на песента на Питър Гейбриъл от 1977 г. Here Comes the Flood. То е съкратена версия на оригинала, но изразява тази емоция, която ми се искаше да предам.
It has been a busy few weeks in the security space; the MOVEit vulnerability filling our news feeds with dancing lemurs and a Barracuda vulnerability that has us all wondering how many shredders out there can handle a 1U appliance. Despite those very worthwhile distractions, Metasploit has made another strong release, with 3 new exploits, 1 new auxiliary module, and 2 new payloads!
New module content (6)
GitLab Authenticated File Read
Authors: Vitellozzo, h00die, and pwnie
Type: Auxiliary
Pull request: #18039 contributed by h00die
AttackerKB reference: CVE-2023-2825
Description: This adds an exploit that leverages an authenticated arbitrary file read on Github 16.0.0. This vulnerability is identified as CVE-2023-2825.
Description: This adds an exploit module that leverages an authentication bypass to get remote code execution on PaperCut NG version 8.0.0 to 19.2.7 (inclusive), version 20.0.0 to 20.1.6 (inclusive), version 21.0.0 to 21.2.10 (inclusive) and version 22.0.0 to 22.0.8 (inclusive). This vulnerability is identified as CVE-2023-27350. Due to an improper access control in the SetupCompleted class, it is possible to bypass authentication and abuse the built-in scripting functionality for printers to obtain code execution as the SYSTEM user on Windows and the less privileged papercut user on Linux.
ManageEngine ADManager Plus ChangePasswordAction Authenticated Command Injection
Authors: Dinh Hoang, Grant Willcox, and Simon Humbert
Type: Exploit
Pull request: #18018 contributed by gwillcox-r7
AttackerKB reference: CVE-2023-29084
Description: This adds an exploit module for CVE-2023-29084 which is an authenticated RCE in Zoho ManageEngine ADManager Plus. A remote attacker can leverage this vulnerability to execute OS commands by crafting a request to update the server’s configuration. The modified configuration’s value is restored by the exploit once it is completed. This exploit is incompatible with HTTP payloads due to the exploit modifying the HTTP proxy configuration of the server during exploitation.
Authors: Anonymous and Shelby Pace
Type: Exploit
Pull request: #18072 contributed by space-r7
AttackerKB reference: CVE-2023-1133
Description: A module has been added for CVE-2023-1133, an unauthenticated .NET deserialization vulnerability in Delta Electronics InfraSuite Device Master versions below v1.0.5 in the ParseUDPPacket() method of the ‘Device-Gateway-Status’ process. Successful exploitation leads to unauthenticated code execution as the user running the ‘Device-Gateway-Status’ process.
Author: rad10
Type: Payload
Pull request: #18002 contributed by rad10
Description: This adds a command payload module that creates a new privileged user on a *nix target system.
Enhancements and features (4)
#17868 from Ryuuuuu – The ms15_034_http_sys_memory_dump.rb module has been updated to improve its handling of the check_host function so that the information about target exploitability is more accurate.
#18062 from smashery – A new mixin has been added to support detecting the architecture of the host OS on Windows systems. Support for other OSes will be added at a later date.
#18064 from ErikWynter – The grafana_plugin_traversal module has been updated to support beta and pre-release versions of Grafana.
#18066 from jmartin-r7 – The archer_c7_traversal module has been converted to a gather module and updated to include a check method so that users can appropriately check if a target is an Archer router or not.
Bugs fixed (5)
#17917 from bcoles – Two bugs have been fixed in post/multi/manage/shell_to_meterpreter: one was caused by a lack of validation on the payload being used when using the PAYLOAD_OVERRIDE option to ensure the payload was valid, and one was caused by the module creating a handler but failing to pass the RHOST information along, causing the handler to run with an invalid configuration.
#18040 from manishkumarr1017 – This fixes a Python’s payload issue with Windows where it was failing due to bytes args is not allowed on Windows.
#18055 from adfoster-r7 – This updates the post/multi/gather/aws_keys module to mark the platforms it is compatible with.
#18056 from zgoldman-r7 – A bug has been fixed whereby command stager progress could go over 100%. This has now been fixed so that command stager progress should never go over 100%.
#18074 from cdelafuente-r7 – A typo has been fixed in the exploits/multi/http/gitlab_github_import_rce_cve_2022_2992 module that prevent proper exception handling from occurring, and additional YARD documentation has been added for some related functions that were missing appropriate documentation on the exceptions they might throw.
Documentation
You can find the latest Metasploit documentation on our docsite at docs.metasploit.com.
Get it
As always, you can update to the latest Metasploit Framework with msfupdate
and you can get more details on the changes since the last blog post from
GitHub:
If you are a git user, you can clone the Metasploit Framework repo (master branch) for the latest.
To install fresh without using git, you can use the open-source-only Nightly Installers or the binary installers (which also include the commercial edition).
Their arms are lined with two rows of sharp retractable hooks. And, like most deep-sea squid, they are adorned with light organs called photophores. They have some on the underside of their mantle. There are more facing upward, near one of their eyes. But it’s the photophores at the tip of two stubby arms that are truly unique. The size and shape of lemons—each nestled within a retractable lid like an eyeball in a socket—they are by far the largest photophores known to science.
As usual, you can also use this squid post to talk about the security stories in the news that I haven’t covered.
To provide the best experiences, we use technologies like cookies to store and/or access device information. Consenting to these technologies will allow us to process data such as browsing behavior or unique IDs on this site. Not consenting or withdrawing consent, may adversely affect certain features and functions.
Functional
Always active
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
