Forwarded from opennet.ru
В RustFS выявлен предопределённый в коде токен доступа https://opennet.ru/64551/
www.opennet.ru
В RustFS выявлен предопределённый в коде токен доступа
В проекте RustFS, развивающем совместимое с S3 распределённое объектное хранилище, написанное на языке Rust, выявлена уязвимость (CVE-2025-68926), напоминающая бэкдор. Проблема вызвана наличием жёстко прошитого в коде токена доступа, позволяющего подключиться…
Forwarded from Хайтек+
Nvidia представила новую архитектуру Vera Rubin для ИИ
Впервые за пять лет Nvidia не привезла на выставку CES нового графического процессора. Вместо него в центре внимания оказался искусственный интеллект. Гендиректор компании Дженсен Хуанг официально представил новую вычислительную архитектуру Rubin, которую он назвал передовой в области аппаратного обеспечения для искусственного интеллекта. Заявлено, что новая архитектура способна достигать производительности 50 петафлопс. В настоящее время она уже находится в производстве, а на рынке появится, как ожидается, во второй половине года.
https://hightech.plus/2026/01/06/nvidia-predstavila-novuyu-arhitekturu-vera-rubin-dlya-ii
Впервые за пять лет Nvidia не привезла на выставку CES нового графического процессора. Вместо него в центре внимания оказался искусственный интеллект. Гендиректор компании Дженсен Хуанг официально представил новую вычислительную архитектуру Rubin, которую он назвал передовой в области аппаратного обеспечения для искусственного интеллекта. Заявлено, что новая архитектура способна достигать производительности 50 петафлопс. В настоящее время она уже находится в производстве, а на рынке появится, как ожидается, во второй половине года.
https://hightech.plus/2026/01/06/nvidia-predstavila-novuyu-arhitekturu-vera-rubin-dlya-ii
Компания StorageReview вновь вернула себе мировую корону в гонке за числом π, вычислив его сразу до 314.000.000.000.000 знаков π за 4.3 МВт⋅ч
Рекорд был установлен не в облаке и не на распределённом кластере, а на одном коммерческом сервере
Запуск стартовал 31 июля 2025 года и завершился 18 ноября 2025 года, проработав 110 дней подряд без единой секунды простоя — что само по себе уже достижение уровня HPC
Для вычислений использовался сервер Dell PowerEdge R7725 форм-фактора 2U, оснащённый двумя процессорами AMD EPYC 9965 по 192 ядра каждый, то есть 384 ядра в сумме
В системе было установлено 1.5 ТБ DDR5 DRAM и 40 NVMe-накопителей Micron 6550 ION по 61.44 ТБ, что дало более 2.4 ПБ физического флеш-хранилища
Для работы y-cruncher было выделено 34 SSD, обеспечивших около 2.1 ПБ под временные данные, а ещё 6 SSD использовались в программном RAID10 для финальной записи результата
Само вычисление выполнялось с помощью y-cruncher v0.8.6.9545 на алгоритме Чудновского под Ubuntu 24.04 LTS Server
Чистое время расчёта числа π составило 8.793.223 секунды (примерно 101.8 дня), общее вычислительное время — 9.274.878 секунд, а полное «время по стене» от старта до финиша — 9.463.226 секунд
Самая крупная логическая контрольная точка достигала 850.538.385.064.992 цифр, а максимальное использование логического диска — 1.605 960.520.636.440 байт, то есть около 1.43 ПБ
Ключевым фактором рекорда стало хранилище
В конфигурации с 40 SSD платформа обеспечивала до 280 ГБ/с суммарной пропускной способности
По сравнению с предыдущим рекордом StorageReview на 202.000.000.000.000 цифр, последовательная запись выросла с 47 до 107 ГиБ/с, последовательное чтение — с 56.7 до 127 ГиБ/с, а чтение с «перешагиванием порога» увеличилось сразу на 383 % — с 20.9 до 101 ГиБ/с.
За время расчёта было прочитано около 148.4 ПиБ данных и записано 126.7 ПиБ, при этом износ SSD составил в среднем 7.3 ПБ на диск
Отдельного внимания заслуживает энергоэффективность
Средняя потребляемая мощность сервера составляла около 1.600 Вт, а общее энергопотребление за весь расчёт — всего 4304.7 кВт⋅ч.
Это эквивалентно 13.7 кВт⋅ч на один триллион цифр π
Для сравнения, предыдущий рекорд на 300.000.000.000.000 цифр, выполненный на большом кластере с общим хранилищем, оценивался примерно в 33.600 кВт⋅ч, что в 7–8 раз больше
//С вами была рубрика спецолимпиад 😂😂😂
Рекорд был установлен не в облаке и не на распределённом кластере, а на одном коммерческом сервере
Запуск стартовал 31 июля 2025 года и завершился 18 ноября 2025 года, проработав 110 дней подряд без единой секунды простоя — что само по себе уже достижение уровня HPC
Для вычислений использовался сервер Dell PowerEdge R7725 форм-фактора 2U, оснащённый двумя процессорами AMD EPYC 9965 по 192 ядра каждый, то есть 384 ядра в сумме
В системе было установлено 1.5 ТБ DDR5 DRAM и 40 NVMe-накопителей Micron 6550 ION по 61.44 ТБ, что дало более 2.4 ПБ физического флеш-хранилища
Для работы y-cruncher было выделено 34 SSD, обеспечивших около 2.1 ПБ под временные данные, а ещё 6 SSD использовались в программном RAID10 для финальной записи результата
Само вычисление выполнялось с помощью y-cruncher v0.8.6.9545 на алгоритме Чудновского под Ubuntu 24.04 LTS Server
Чистое время расчёта числа π составило 8.793.223 секунды (примерно 101.8 дня), общее вычислительное время — 9.274.878 секунд, а полное «время по стене» от старта до финиша — 9.463.226 секунд
Самая крупная логическая контрольная точка достигала 850.538.385.064.992 цифр, а максимальное использование логического диска — 1.605 960.520.636.440 байт, то есть около 1.43 ПБ
Ключевым фактором рекорда стало хранилище
В конфигурации с 40 SSD платформа обеспечивала до 280 ГБ/с суммарной пропускной способности
По сравнению с предыдущим рекордом StorageReview на 202.000.000.000.000 цифр, последовательная запись выросла с 47 до 107 ГиБ/с, последовательное чтение — с 56.7 до 127 ГиБ/с, а чтение с «перешагиванием порога» увеличилось сразу на 383 % — с 20.9 до 101 ГиБ/с.
За время расчёта было прочитано около 148.4 ПиБ данных и записано 126.7 ПиБ, при этом износ SSD составил в среднем 7.3 ПБ на диск
Отдельного внимания заслуживает энергоэффективность
Средняя потребляемая мощность сервера составляла около 1.600 Вт, а общее энергопотребление за весь расчёт — всего 4304.7 кВт⋅ч.
Это эквивалентно 13.7 кВт⋅ч на один триллион цифр π
Для сравнения, предыдущий рекорд на 300.000.000.000.000 цифр, выполненный на большом кластере с общим хранилищем, оценивался примерно в 33.600 кВт⋅ч, что в 7–8 раз больше
//С вами была рубрика спецолимпиад 😂😂😂
3
CVE-2026-21858 в n8n не требует никаких учётных данных и строится на путанице вокруг заголовка Content-Type.
https://dbugs.ptsecurity.com/vulnerability/CVE-2026-21858
Оценка CVSS: 10.0, даже назвали Ni8mare – так её окрестили в Cyera Research Labs.
Подробнее: https://www.securitylab.ru/news/567805.php
В Cyera подчёркивают, что n8n часто становится центральным хранилищем всего самого ценного – API-ключей, OAuth-токенов, доступов к базам, облакам и внутренним сервисам. Поэтому компрометация одного инстанса может мгновенно превратиться в доступ к инфраструктуре.
CVE исправлена в версии 1.121.0 (релиз от 18 ноября 2025 года)
https://dbugs.ptsecurity.com/vulnerability/CVE-2026-21858
Оценка CVSS: 10.0, даже назвали Ni8mare – так её окрестили в Cyera Research Labs.
Подробнее: https://www.securitylab.ru/news/567805.php
В Cyera подчёркивают, что n8n часто становится центральным хранилищем всего самого ценного – API-ключей, OAuth-токенов, доступов к базам, облакам и внутренним сервисам. Поэтому компрометация одного инстанса может мгновенно превратиться в доступ к инфраструктуре.
CVE исправлена в версии 1.121.0 (релиз от 18 ноября 2025 года)
Ptsecurity
CVE-2026-21858 — N8N | dbugs
Details on CVE-2026-21858: N8N. Exploited in the wild. Includes CVSS score, affected versions, and references.
Forwarded from alex0x08
Рубрика "что за хню я только что прочитал"😳:
Очумелые ручки скрестили RS232 и.. Wifi-адаптер😳
Получилось вот такое:
Вот тут гайд по настройке входящего подключения на современном Mac.
Девайс на грани гениальности, тут небольшой обзор с видео.
Гениально:
WiFi232 – An Internet Hayes Modem for your Retro Computer
Очумелые ручки скрестили RS232 и.. Wifi-адаптер😳
Получилось вот такое:
..and a standard terminal program to “dial in” (via telnet) to your Mac using its IP and port number, à la:
ATDT192.168.1.150:6666
Вот тут гайд по настройке входящего подключения на современном Mac.
Девайс на грани гениальности, тут небольшой обзор с видео.
Гениально:
For example,
AT$SSID=MyWifiHotspotName
points the device to your WiFi hotspot
Forwarded from Echelon Eyes
Новая уязвимость ChatGPT обходит запрет на динамическое изменение ссылок
Исследователь из компании по кибербезопасности Radware обнаружил в ChatGPT уязвимость, получившую название ZombieAgent. Она позволяла злоумышленникам незаметно получать доступ к личным данным пользователей без их участия, в том числе к информации из Gmail, Outlook, Google Drive и GitHub. О находке OpenAI сообщили осенью 2025 года, и уже в декабре компания устранила уязвимость.
Атака начиналась с письма, которое злоумышленник отправлял пользователю. В нем были заранее подготовленные ссылки. Когда пользователь позже обращался к ChatGPT с обычным запросом, система по этим ссылкам передавала данные небольшими фрагментами, шаг за шагом. При этом ChatGPT не создавал новые адреса и не изменял существующие, поэтому встроенные механизмы защиты не срабатывали.
Для запуска атаки не требовалось никаких дополнительных действий со стороны пользователя, кроме обычного общения с ChatGPT. По оценке исследователей, уязвимость позволяла не только разово получить данные, но и сохранять доступ к переписке пользователя, а также распространять атаку на других пользователей.
#кибербезопасность #ChatGPT #уязвимость #ИИ
Источник: https://eyes.etecs.ru/r/5d533e
Исследователь из компании по кибербезопасности Radware обнаружил в ChatGPT уязвимость, получившую название ZombieAgent. Она позволяла злоумышленникам незаметно получать доступ к личным данным пользователей без их участия, в том числе к информации из Gmail, Outlook, Google Drive и GitHub. О находке OpenAI сообщили осенью 2025 года, и уже в декабре компания устранила уязвимость.
Атака начиналась с письма, которое злоумышленник отправлял пользователю. В нем были заранее подготовленные ссылки. Когда пользователь позже обращался к ChatGPT с обычным запросом, система по этим ссылкам передавала данные небольшими фрагментами, шаг за шагом. При этом ChatGPT не создавал новые адреса и не изменял существующие, поэтому встроенные механизмы защиты не срабатывали.
Для запуска атаки не требовалось никаких дополнительных действий со стороны пользователя, кроме обычного общения с ChatGPT. По оценке исследователей, уязвимость позволяла не только разово получить данные, но и сохранять доступ к переписке пользователя, а также распространять атаку на других пользователей.
#кибербезопасность #ChatGPT #уязвимость #ИИ
Источник: https://eyes.etecs.ru/r/5d533e
Infosecurity Magazine
New Zero-Click Attack Lets ChatGPT User Steal Data
Researchers at Radware discovered new prompt injection attacks in ChatGPT agentic features
n8n Supply Chain Attack Abuses Community Nodes to Steal OAuth Tokens
https://thehackernews.com/2026/01/n8n-supply-chain-attack-abuses.html
https://thehackernews.com/2026/01/n8n-supply-chain-attack-abuses.html
CVE-2026-23745 / node-tar
Суть: не чистятся абсолютные пути в поле
POC
Суть: не чистятся абсолютные пути в поле
linkpath для Hardlinks и Symlinks. Значит, собранный особым образом архив tar может обойти корень извлечения и перезаписывать файлы на хосте.POC
Forwarded from opennet.ru
Захват контроля над snap-пакетами, связанными с просроченными доменами https://opennet.ru/64641/
www.opennet.ru
Захват контроля над snap-пакетами, связанными с просроченными доменами
Алан Поуп (Alan Pope), бывший менеджер по инжинирингу и взаимодействию с сообществом в компании Canonical, обратил внимание на новую волну атак на пользователей каталога приложений Snap Store. Вместо регистрации новых учётных записей злоумышленники начали…
Forwarded from opennet.ru
Уязвимость в GitLab, позволяющая обойти двухфакторную аутентификацию https://opennet.ru/64657/
www.opennet.ru
Уязвимость в GitLab, позволяющая обойти двухфакторную аутентификацию
Опубликованы корректирующие обновления платформы для организации совместной разработки GitLab - 18.8.2, 18.7.2, 18.6.4, в которых устранена уязвимость (CVE-2026-0723), позволяющая обойти проверку при двухфакторной аутентификации. Для совершения атаки злоумышленник…
Ну вот и всё. Наступил тот день, когда я написал плейбук Ansible развертывания новой геораспределенной информационной системы за вечер с помощью ИИ ассистента.
Ручных правок было две: опечатка в текстовых атрибутах, не несущих значения и упущенное скрытое техтребование занёс в блок техтребований как одно из основных, после того как оно всплыло в процессе разработки.
Да, профессию девопса официально можно считать мертвой. А этот паблик теперь использовать для ИТ мемов.
Ручных правок было две: опечатка в текстовых атрибутах, не несущих значения и упущенное скрытое техтребование занёс в блок техтребований как одно из основных, после того как оно всплыло в процессе разработки.
Да, профессию девопса официально можно считать мертвой. А этот паблик теперь использовать для ИТ мемов.
3
Как патчить ядро Linux: подробное руководство
#Linux
Всем привет, это Тимур. Сейчас в YADRO я разрабатываю сетевую операционную систему для коммутаторов KORNFELD. В ходе этого проекта летом я получил сложную задачу: реализовать установку опции PROTO_DOWN для Ethernet-интерфейсов в ядре Linux. «Из коробки» ядро поддерживает эту опцию только для vxlan и macvlan-интерфейсов, а для Ethernet поддержка определяется драйвером сетевого устройства.
В статье я подробно расскажу о той части задачи, что касается непосредственно ядра Linux. На реализацию требования я потратил много сил, времени и хочу, чтобы мой опыт остался в сообществе. Постараюсь максимально подробно объяснить каждый шаг, чтобы вы смогли построить собственный процесс разработки на этой основе, даже если никогда не занимались разработкой для ядра. Статья будет полезна не только программистам, но и любителям Linux, так как в большей степени она посвящена тонкостям работы с этой ОС, а не программированию.
Ссылка на статью
#Linux
Всем привет, это Тимур. Сейчас в YADRO я разрабатываю сетевую операционную систему для коммутаторов KORNFELD. В ходе этого проекта летом я получил сложную задачу: реализовать установку опции PROTO_DOWN для Ethernet-интерфейсов в ядре Linux. «Из коробки» ядро поддерживает эту опцию только для vxlan и macvlan-интерфейсов, а для Ethernet поддержка определяется драйвером сетевого устройства.
В статье я подробно расскажу о той части задачи, что касается непосредственно ядра Linux. На реализацию требования я потратил много сил, времени и хочу, чтобы мой опыт остался в сообществе. Постараюсь максимально подробно объяснить каждый шаг, чтобы вы смогли построить собственный процесс разработки на этой основе, даже если никогда не занимались разработкой для ядра. Статья будет полезна не только программистам, но и любителям Linux, так как в большей степени она посвящена тонкостям работы с этой ОС, а не программированию.
Ссылка на статью
Forwarded from opennet.ru
Проект Singularity развивает открытый руткит, обходящий SELinux, Netfilter, LKRG и eBPF https://opennet.ru/64663/
www.opennet.ru
Проект Singularity развивает открытый руткит, обходящий SELinux, Netfilter, LKRG и eBPF
Матеус Алвес (Matheus Alves), исследователь безопасности, специализирующийся на вредоносном ПО, опубликовал обновление проекта Singularity, развивающего открытый руткит для ядра Linux, распространяемый под лицензией MIT. Целью проекта является демонстрация…