
MySQL 9.6 removed MD5(), SHA1(), and SHA() as native built-in SQL functions, moving them to an optional Legacy Hashing Component. The recommended migration path is to replace these with SHA2(), choosing an appropriate digest size (224, 256, 384, or 512) based on data sensitivity. Generated columns using legacy hash functions require schema changes before upgrading since the component-provided functions are loadable functions and cannot be used in generated column expressions. The post provides SQL queries to audit views, stored procedures, triggers, and events for legacy hash usage, along with a step-by-step upgrade plan and decision matrix. Installing the legacy component should be treated as a temporary compatibility measure with documented justification, especially in regulated environments where MD5/SHA-1 usage may trigger compliance findings.
Nguồn: https://blogs.oracle.com/mysql/mysql-9-x-moving-away-from-sha1-and-md5. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Matteo Collina, maintainer của HTTP stack và thư viện undici trong Node.js, cho rằng …
Nhóm phát triển PHP vừa tung ra phiên bản 8.4.23, một bản cập nhật bảo mật quan trọng cho …
Phiên bản pnpm 11.10 bổ sung tính năng _auth ràng buộc credential vào host URL, ngăn chặn việc chuyển hướng token tới registry độc hại. Bản cập nhật cũng khắc phục lỗi hồi quy từ tháng 6 liên quan đến biến môi trường trong registry private, đồng thời tăng cường bảo mật cho pnpm deploy và pnpm pack-app cùng nhiều cải tiến khác. Ngoài ra, người dùng có thể trải nghiệm pnpm v12 (viết bằng Rust) thông qua lệnh pnpm self-update next-12.
Lập trình viên nên đọc vì pnpm 11.10 nâng cấp bảo mật và hiệu suất bằng cách khóa xác thực đăng nhập registry theo URL, khắc phục lỗi bảo mật và hiệu suất trong các dự án sử dụng registry riêng, đồng thời giới thiệu tính năng chuẩn bị cho phiên bản Rust (v12) với tốc độ cao hơn.
Các nhà nghiên cứu phát hiện lỗ hổng tấn công "HalluSquatting" dựa trên kỹ thuật prompt injection, lợi dụng khả năng "ảo giác" (hallucination) của các mô hình ngôn ngữ lớn (LLMs) trong trợ lý lập trình AI để lây nhiễm hàng loạt máy thông qua các gói giả mạo. Chín công cụ lập trình AI phổ biến, bao gồm Cursor, Gemini CLI, GitHub Copilot, đang bị khai thác để xây dựng botnet quy mô lớn.
Lập trình viên nên đọc bài này để hiểu cách bảo mật mã nguồn của mình chống lại những cuộc tấn công mới như HalluSquatting, có thể lây lan rộng rãi qua các công cụ AI hỗ trợ lập trình mà họ đang sử dụng hàng ngày.
Doltgres, cơ sở dữ liệu tương thích PostgreSQL với tính năng kiểm soát phiên bản kiểu Git, sẽ ra mắt phiên bản 1.0 vào ngày 6 tháng 8. Phiên bản này tập trung vào tính chính xác (99% tuân thủ SQL Logic Test), ổn định định dạng lưu trữ, hiệu năng (trong phạm vi 3x PostgreSQL), và tương thích rộng rãi với các ORM, thư viện và công cụ phổ biến. Các tính năng bổ sung như workflow remote push/pull, giao thức nhân bản riêng cho thiết lập HA, cùng garbage collection tự động cũng đang được hoàn thiện. Nhóm phát triển kêu gọi người dùng thử nghiệm Doltgres trên workload thực tế và báo cáo lỗi trước khi ra mắt.
Lập trình viên nên đọc bài này để khám phá cách Doltgres kết hợp cơ sở dữ liệu PostgreSQL với hệ thống quản lý phiên bản Git, giúp phát triển ứng dụng trở nên hiệu quả hơn với tính ổn định, tương thích ORM và khả năng mở rộng cho các dự án lớn.
GitHub triển khai tính năng public monitoring cho Secret Scanning, giám sát toàn bộ bề mặt công khai của github.com (bao gồm nội dung git, pull request, issues) để phát hiện các bí mật doanh nghiệp bị rò rỉ theo thời gian thực, nhưng vẫn tồn tại những hạn chế như không phát hiện được bí mật bị đánh cắp tới hạ tầng kiểm soát của kẻ tấn công, không quét logs workflow, và chỉ phát hiện sau khi xảy ra sự cố. Doanh nghiệp nên kết hợp tính năng này với các biện pháp kiểm soát egress runtime (như Harden-Runner) để ngăn chặn rò rỉ bí mật ngay từ lớp mạng.
Lập trình viên nên đọc bài này để hiểu cách bảo mật các mã nguồn công khai trên GitHub bị lộ thông qua các công cụ mới và hạn chế của chúng, giúp họ xây dựng chiến lược phòng thủ đa lớp (layered defense) hiệu quả hơn.
Lỗ hổng bảo mật chưa được vá trong Argo CD cho phép kẻ tấn công thực thi mã từ xa không cần xác thực và chiếm quyền kiểm soát toàn bộ cụm Kubernetes. Lỗ hổng nằm ở giao diện gRPC không có cơ chế xác thực của thành phần repo-server, cho phép kẻ tấn công tiêm mã độc KustomizeOptions nếu đã xâm nhập vào cụm.
Lập trình viên cần đọc bài này để hiểu cách bảo mật Kubernetes bị lỗ hổng nghiêm trọng trong Argo CD, từ đó cập nhật kiến thức về các rủi ro mới và cách phòng ngừa, đặc biệt khi sử dụng công cụ GitOps trong môi trường sản xuất.
Lỗ hổng ghi vượt giới hạn heap (CVE-2026-8461) có tên PixelSmash được phát hiện trong bộ giải mã MagicYUV của FFmpeg, ảnh hưởng đến nhiều ứng dụng sử dụng libavcodec như Kodi, OBS Studio, Nextcloud, PhotoPrism, Emby và Jellyfin. FFmpeg 8.1.2 đã vá lỗ hổng này, có thể gây RCE hoặc từ chối dịch vụ tùy thuộc vào điều kiện hệ thống.
Lập trình viên nên đọc bài này vì PixelSmash là lỗ hổng nghiêm trọng trong FFmpeg, có thể dẫn đến tấn công xâm nhập từ xa (RCE) hoặc cản trở hoạt động của ứng dụng sử dụng libavcodec, từ các nền tảng như Kodi đến hệ thống quản lý media như Jellyfin, ảnh hưởng đến cả hệ thống của bạn nếu không được cập nhật.