4:19

Гражданам не стоит беспокоиться за судьбу мессенджера Telegram в России – полная блокировка платформы не ожидается. Об этом сообщил зампред комитета Госдумы по информационной политике, информационным технологиям и связи Андрей Свинцов.

"Считаю, что Telegram достаточно эффективно взаимодействует с правительствами большинства стран мира, в том числе и с Россией. Поэтому за судьбу Telegram, я думаю, что можно не беспокоиться", – приводит ТАСС слова парламентария.

https://www.m24.ru/news/politika/16012026/864202

4:20

Роскомнадзор частично блокирует Telegram, об этом «Москва 24» сообщил источник на телеком-рынке. В новом году пользователи жалуются на медленную загрузку видео в мессенджер.

Да, это новые ограничения со стороны РКН, — уточнил источник

https://xn--r1a.website/infomoscow24/104004

Спасибо

Антон (@itpgchannel) в конце прошлого года героически решил пересобирать Java с целью бутстрапа. И в целом ему это удалось

https://xn--r1a.website/itpgchannel/3692
https://xn--r1a.website/itpgchannel/3704

но на одном из этапов поймал вот такую ошибку

Error: time is more than 10 years from present: 1420063200000
java.lang.RuntimeException: time is more than 10 years from present: 1420063200000

https://xn--r1a.website/itpgchannel/3666

Я хотел про неё написать сразу, но из-за проблем с Телегой (https://xn--r1a.website/tech_b0lt_Genona/5942) пост этот отложился на сейчас.

Я такую ошибку ловил сам, когда собирал Java под ReactOS, но тогда я забил и просто выкинул эту проверку из кода.

А тут Антон задался вопросом
> Сука, почему вообще кого-то ебет, насколько старый файл участвует в сборке?!?

Для начала разберёмся вообще зачем это ограничение существует.

Есть стандарт ISO 4217, который отвечает за коды валют (в том числе и устаревшие). Сам он платный, но вот тут можно бесплатно получить "выжимку"
https://www.six-group.com/en/products-services/financial-information/market-reference-data/data-standards.html#scrollTo=currency-codes

И вот разработчики Java решили, что было бы неплохо не связываться с валютами вышедшими из обращения и не грузить в "рантайм" устаревшее, поэтому эта проверка и есть.

Исходя из информации выше логично и понятно теперь почему эта проверка лежит в файле GenerateCurrencyData.java

hg clone http://hg.openjdk.java.net/jdk6/jdk6 openjdk6 && cd openjdk6 && sh ./get_source.sh

$ hg log ./make/tools/src/build/tools/generatecurrencydata/GenerateCurrencyData.java
changeset:   974:4fa5032c91be
user:        yhuang
date:        Fri Jan 02 16:35:52 2015 +0000
summary:     7066203: Update currency data to the latest ISO 4217 standard

А сам код такой

    long time = format.parse(timeString).getTime();
    if (Math.abs(time - System.currentTimeMillis()) > ((long) 10) * 365 * 24 * 60 * 60 * 1000) {
        throw new RuntimeException("time is more than 10 years from present: " + time);
    }

По результатам работы этой "механики" создаются properties-файлы, выглядят они приблизительно так

diff -r 95999a031f69 -r 4fa5032c91be src/share/classes/sun/util/resources/CurrencyNames.properties
--- a/src/share/classes/sun/util/resources/CurrencyNames.properties     Fri Jan 02 15:40:43 2015 +0000
+++ b/src/share/classes/sun/util/resources/CurrencyNames.properties     Fri Jan 02 16:35:52 2015 +0000
@@ -106,6 +106,7 @@
 COP=COP
 CRC=CRC
 CSD=CSD
+CUC=CUC
 CUP=CUP
 CVE=CVE
 CYP=CYP
@@ -232,6 +233,7 @@
 THB=THB
 TJS=TJS
 TMM=TMM
+TMT=TMT
 TND=TND

В Jira OpenJDK есть issue (в мае 2024 выпилили из JDK8)
Remove 10 year old transition check in GenerateCurrencyData tool
https://bugs.openjdk.org/browse/JDK-8332085
https://github.com/openjdk/jdk8u-ri/pull/17

Ну и старое обсуждение в OpenJDK
https://mail.openjdk.org/pipermail/jdk7u-dev/2016-June/010559.html

В 2014 в NixOS и поставили 20 лет 🌝
https://github.com/NixOS/nixpkgs/commit/9b81769950b6d0221643c7b0758d894f7742a62a

Вот обсуждение в Guix из 2024 (там просто закомментили эту проверку)
Time bomb in icedtea/openjdk
https://issues.guix.gnu.org/68333

Gentoo
dev-java/icedtea-7.2.5.3: does not compile
https://bugs.gentoo.org/534118

NetBSD
Compiling OpenJDK compile error
https://mail-index.netbsd.org/pkgsrc-users/2014/12/30/msg020843.html

Debian
https://lists.debian.org/debian-lts/2015/01/msg00018.html

FreeBSD
Error: time is more than 10 years from present: 1104530400000 when building java/openjdk*
https://lists.freebsd.org/pipermail/freebsd-java/2014-December/011035.html

Короче, проблем это принесло и вопрос "Нахуя, а главное зачем это было сделано таким образом?" остался.

Уязвимость в Android-прошивке, позволяющая выполнить код через отправку сообщения
https://www.opennet.ru/opennews/art.shtml?num=64632

Исследователи из команды Google Project Zero подробно разобрали технику создания рабочего эксплоита, позволяющего удалённо выполнить свой код с правами ядра Linux, через отправку SMS- или RCS-сообщения со специально оформленным звуковым вложением. Атака осуществляется без выполнения каких-либо действий пользователем, в том числе не требует просмотра или прослушивания полученного сообщения.

В эксплоите задействованы две уязвимости: в библиотеке Dolby Unified Decoder (CVE-2025-54957) и драйвере bigwave для ядра Linux (CVE-2025-36934). Ранее для эксплуатации уязвимостей в кодеках было необходимо, чтобы пользователь прослушал или просмотрел полученный вредоносный контент. После интеграции AI-помощников в последних выпусках Android-прошивок полученный мультимедийный контент автоматически декодируется после получения, что существенно увеличивает поверхность атак, не требующих действий от пользователя (0-click). В контексте звуковых SMS- и RCS-сообщений, приложение Google Messages при помощи сервиса com.google.android.tts автоматически формирует транскрипцию для применения к звуковым сообщениям текстового поиска, что позволяет без участия пользователя эксплуатаировать уязвимости в имеющихся звуковых кодеках.

Проблема в Dolby Unified Decoder вызвана целочисленным переполнением при расчёте размера буфера под обрабатываемые структуры данных syncframe, что может использоваться для записи за пределы выделенного буфера. В результате переполнения может быть перезаписан указатель, используемый при обработке следующего синхронизирующего кадра, изменение которого, в свою очередь, позволяет перезаписать контролируемыми атакующим данными указатель на функцию и организовать выполнение своего кода с правами "mediacodec", ограниченными через SELinux.

Оригинал
A 0-click exploit chain for the Pixel 9 Part 1: Decoding Dolby
https://projectzero.google/2026/01/pixel-0-click-part-1.html

> После интеграции AI-помощников в последних выпусках Android-прошивок

Я просто напомню, что надо пользоваться правильными устройствами 🌝

https://xn--r1a.website/tech_b0lt_Genona/5442
https://xn--r1a.website/tech_b0lt_Genona/5815

Обнаружил тут вот такое, от Января 1997 года.

В доинтернетные времена печатать фигню, передавать по радио и тем более показывать на телевидении было ооочень затратно -- поэтому верили печатному слову, ну и была ответственность.

В FidoNet тоже никакой анонимности -- имена, телефоны известны, каналы оплачивали из своего кармана, многие друг друга знали лично, а в Конституции были штрафные санкции и экскоммуникация как крайняя мера. За базаром следили, правила соблюдали.

Когда связь стала совсем дешёвой и доступной АНОНИМНО каждому пида школоло гражданину -- началась вакханалия (а доверие печатному слову пока никуда не делось!)

Стоимость массовой публикации сначала текста, потом аудио и видеосообщений (отмирание повременной и помегабайтной оплаты Интернета, рост скоростей) плавно ушла в ноль. До кучи удешевлена возможность каждому вышеуказанному субъекту генерить фейки сначала аудио, а потом и видео чуть не в реальном времени (а вера в ТВ опять же инерционно не пропадает). И анонимность (фейк источника) только растёт.

Потому имеем -- что имеем. Самое простое -- блокировать всё нафиг, что и делают, ибо количество фейка всех видов завалило весь Интернет уже хуже, чем спам. Варианты с платным контентом для отправителя в случае спама ещё как-то могло сгладить проблему, но для информационной войны с её бюджетами и целями -- неэффективно.

Вижу только один пока рабочий вариант -- тотальная деанонимизация источников информации и ответственность за фейки. Как альтернатива блокировкам. Пишите что хотите, публикуйте -- но отвечайте за базар. Цифровая подпись под каждым существенным, затрагивающим чьи-то интересы вбросом, иначе блок. Можешь постить хню, но с оговоркой, что это лишь твоё личное мнение и догадки, без претензий. Наговор, фейк -- вероятен суд и личная/корпоративная ответственность. Полагаю, в перспективе это пока единственная возможность оставить текущий Интернет в рабочем состоянии.

И как отдельный метод обеспечения деанонимизации -- переход на IPv6 с возможностью выдачи персонального адреса каждому устройству с жёсткой привязкой к субъекту.

#prog #article

GSoC 2025: Usability Improvements for the Undefined Behavior Sanitizer

clang поддерживает несколько санитайзеров, в том числе UBSan для отловки неопределённого поведения (с оговорками). Запускать их при этом можно в двух разных режимах. Первый — с добавлением рантайма, который при детектировании UB перед завершением работы программы печатает, что конкретно пошло не так. Второй вариант — без рантайма, в котором при детектировании UB просто исполняется trap-инструкция процессора.

Второй вариант больше годится для случаев, когда важны оверхед на производительность и размер компилированного кода (в embedded, например). Проблема в том, что UX у такого решения ужасный: получай аварийное завершение программы, а что именно пошло не так — гадай сам. И даже дебаггер в этих случаях не особо помогает, потому что он максимум укажет на инструкцию рядом с trap и на соответствующую строку исходного кода, но не более.

Anthony Tran задался целью исправить этот недостаток. С этой целью он модифицировал кодогенерацию так, чтобы к trap-инструкции прицеплялась отладочная информация, в которую уже включалось человекочитаемое сообщение об ошибке. Этот подход хорош тем, что сразу же подхватывается существующими отладчиками. Разумеется, дополнительная отладочная информация требует места, но оверхед на размер кода на практике пренебрежимо мал.

Не обошлось без костылей из-за ограниченности DWARF:

To accomplish this, we needed to find a place to “stuff” the string in the DWARF DIE tree. Using a
DW_TAG_subprogram was deemed the most straightforward and space-efficient location. This means we create a synthetic DISubprogram which is not a real function in the compiled program; it exists only in the debug info as a container.
<...>
When a trap is hit in the debugger, the debugger retrieves this string from the debug info and shows it as the reason for trapping.

В мире *BSD что-то происходит 🌝

20 лет назад, когда был выпущен gcc4, компилятор g77 был заменён на gfortran. Однако из-за некоторых возникших с ним проблем он был исключён из базового образа NetBSD. Благодаря недавно внесённым изменениям в NetBSD-current, gfortran теперь снова поставляется в базовом образе операционной системы

В базовую систему NetBSD вернули компилятор языка Fortran
https://www.opennet.ru/opennews/art.shtml?num=64642
Оригинал
fortran support finally back in base - please test
https://mail-index.netbsd.org/current-users/2026/01/19/msg047295.html

Проект ChaosBSD развивает периодически синхронизируемый форк FreeBSD, нацеленный на тестирование драйверов перед их включением в основной состав FreeBSD. Проект предоставляет площадку для разработки и портирования новых драйверов, а также проверки, обкатки и стабилизации частично работоспособных, нестабилизированных и недоделанных драйверов, состояние развития которых не позволяет включить их в основной состав FreeBSD. После стабилизации подобные драйверы будут переноситься во FreeBSD.

Отмечаются четыре стадии продвижения драйвера: достижение возможности сборки; избавление от ошибок и стабилизация; проведение чистки и создание документации; передача в основной состав FreeBSD. ChaosBSD рассматривается как платформа для тестирования, не гарантирующая сохранение истории изменений и коммитов - периодически репозиторий сбрасывается, синхронизируется с кодовой базой FreeBSD и состояние восстанавливается.

ChaosBSD - форк FreeBSD для тестирования драйверов
https://www.opennet.ru/opennews/art.shtml?num=64636

GitHub - https://github.com/seuros/ChaosBSD-src

Меры против Telegram вводятся в России последовательно в связи с отказом мессенджера выполнять требования по пресечению преступлений. Об этом заявил ТАСС заместитель председателя Совета по развитию цифровой экономики при Совете Федерации, сенатор Артем Шейкин, комментируя информацию о проблемах с загрузкой видео в Telegram, на которые в последние дни жалуются пользователи.

"Роскомнадзор последовательно применяет меры в отношении интернет-сервисов, нарушающих законодательство РФ. Иностранные мессенджеры используются для организации и проведения террористических актов на территории России, для мошеннических и иных преступлений против граждан нашей страны. Telegram не выполняет требования, направленные на предупреждение и пресечение совершения преступлений на территории РФ. В связи с этим с августа 2025 года поэтапно вводились ограничительные меры в отношении данного мессенджера: не "проходят" аудио- и видеозвонки, отчасти замедляется передача медиафайлов", - сказал он.

https://tass.ru/politika/26212127

Спасибо

Помните я писал, что Даниэль Стенберг (автор cURL) сгорел от нейропараши, которую сдают под видом уязвимостей в программу Bug Bounty?

https://xn--r1a.website/tech_b0lt_Genona/5314

Эта идиотия продолжилась и cURL прекратил делать выплаты с конца января

cURL removes bug bounties
https://etn.se/index.php/nyheter/72808-curl-removes-bug-bounties.html

cURL has been flooded with AI-generated error reports. Now one of the incentives to create them will go away.

The vast majority of AI-generated error reports submitted to cURL are pure nonsense. Other open source projects are caught in the same pandemic.

”AI slop and bad reports in general have been increasing even more lately, so we have to try to brake the flood in order not to drown”, says cURL maintainer Daniel Stenberg to Swedish electronics industry news site etn.se.

“We hope this removes some of the incentives for people to send us garbage. We spend far too much time handling slop due to findings that are not real, exaggerated, or misunderstood.”

При всё при этом Bug Bounty до AI-спама реально приносила пользу

In total, 87 bug reports to cURL have over the years amounted to USD 101,020 in bounties.

В этой же статье обратились за комментарием к багхантеру Джошуа Роджерсу (Joshua Rogers) и он поддержал идею отказа от выплат не смотря на то что сам использует ИИ в своей работе

Interestingly, his reports were generated with the help of AI tools. But he doesn’t just vibe along in the dark — he reviews and adds to AI's analysis before submitting anything.

Despite being an active code vulnerabilities hunter himself, he thinks removing the bounty money is a stellar idea ; something that should have been done a long time ago.

“I think it's a good move and worth a bigger consideration by others. It's ridiculous that it went on for so long to be honest, and I personally would have pulled the plug long ago,”

И он не считает, что в случае с cURL отмена выплат сильно повлияет на результат, потому что cURL ковырять и найти там реальную багу это статусно само по себе

“Not much. The real incentive for finding a vulnerability in cURL is the fame ('brand is priceless'), not the hundred or few thousand dollars. $10,000 (maximum cURL bounty) is not a lot of money in the grand scheme of things, for somebody capable of finding a critical vulnerability in curl.”

Вообще, у Джошуа интересный блог и я иногда его почитываю (слава RSS-фиду у него на сайте 🌝)
https://joshua.hu/

Касательно выплат и вообще программ BB он высказался в итоговом посте 2025 года
My 2025 Bug Bounty Stories
https://joshua.hu/2025-bug-bounty-stories-fail

Главный его посыл "Нахера это всё надо в таком виде?". Выплаты не пойми какие, критерии такие же.

When cryptocurrency firms award a maximum of $10,000 for critical findings which could be used to steal $1,000,000, perhaps one can correctly guess why there is an impression that the divide between actual risk versus reward is imbalanced, such that one could also actually rationally conclude, “crime does pay”.

When companies set arbitrary rules which only hamper the efforts of whitehat hackers, while enabling blackhat hackers to thrive, then arbitrarily use those rules to discourage reporting of extremely serious issues, it begs the question, “why should I even bother? I can just play the lottery.”

Спасибо

Мессенджер MAX понадобится россиянам на работе
https://ura.news/news/1053061586

Минтруд РФ разработал законопроект, который может сделать отечественный мессенджер MAX обязательным инструментом для взаимодействия между работниками и работодателями. Согласно проекту, с 1 сентября 2026 года через этот сервис можно будет обмениваться кадровыми документами, запрашивать справки и даже заключать трудовые договоры.

«Минтруд РФ разработал законопроект о внесении изменений в Трудовой кодекс (ТК), предусматривающий использование с 1 сентября мессенджера MAX при взаимодействии работника и работодателя...» — пишет «Интерфакс». Издание ссылается на свой источник.

Согласно проекту, к MAX смогут подключаться внутренние системы работодателей, а также цифровая платформа «Работа в России». Это создаст единый канал для официальной коммуникации.

Помимо того, работодатели через MAX смогут предоставлять сотрудникам по их запросу документы или их заверенные копии, а также направлять документы, подписанные простой электронной подписью. Сейчас такая функция доступна преимущественно через личный кабинет на портале Госуслуг.

Для удаленных работников появится возможность заключить трудовой договор или дополнительное соглашение к нему через MAX. Для этого нужно будет использовать неквалифицированную электронную подпись.

Четверг, а значит время проектов от подписчиков! 🌝

Тем, кто пропустил, что такое четверговые проекты от подписчиков, можно прочитать тут - https://xn--r1a.website/tech_b0lt_Genona/4983

Автор этого проекта приходил уже и рассказывал интересное

https://xn--r1a.website/tech_b0lt_Genona/5231
https://xn--r1a.website/tech_b0lt_Genona/5674

Про этот проект я тоже знал ещё до публичного релиза и обсуждал в личке, так сказатб

Слово автору @Dobry_kot

---

Всем привет 🙃

Годы идут, многие по-прежнему живут на классических инструментах вроде Ansible, Puppet, SaltStack и их аналогах. Параллельно те, кто строит всё «внутри Kubernetes», уже давно создают собственные решения — как это сделали Gardener и OpenShift со своими реализациями MCO (Machine Config Operator).

Без длинного сравнения плюсов и минусов: по нашему опыту наиболее зрелой и продуманной оказалась реализация OpenShift. Она закрывает порядка 90% типовых проблем управления конфигурацией узлов. Однако у неё есть существенный практический недостаток — Red Hat MCO хоть и открыт, но его трудно просто взять и запустить вне OpenShift. Требуется масса сопутствующих CRD и связок, а сама система представляет собой большой монолит из переплетённых компонентов, а не набор атомарных модулей.

Поэтому мы решили переосмыслить этот подход и реализовать свой MCO — проще в установке, модульнее по архитектуре и готовый к дальнейшему расширению под наши сценарии.

Мы постарались дать максимум полезного «из коробки»:

- Декларативное управление конфигурацией узлов через Kubernetes API
- Базовые концепции: MachineConfig, MachinePool и рендеринг состояний
- Безопасное обновление файлов на старте (sysctl, systemd unit — в следующей версии)
- Предсказуемые перезагрузки узлов и контроль конфигурационного дрейфа


Полезная информация:
- Документация - https://github.com/PRO-Robotech/machine-config-operator/tree/main/docs
- Демо - https://demo.in-cloud.io/openapi-ui/default/api-table/mco.in-cloud.io/v1alpha1/machineconfigpools
- Исходный код - https://github.com/PRO-Robotech/machine-config-operator

---

Наша постоянная, но подзабытая рубрика

Обновляем гитлабчики 💅💅💅

Опубликованы корректирующие обновления платформы для организации совместной разработки GitLab - 18.8.2, 18.7.2, 18.6.4, в которых устранена уязвимость (CVE-2026-0723), позволяющая обойти проверку при двухфакторной аутентификации. Для совершения атаки злоумышленник должен знать идентификатор учётных данных жертвы. Уязвимость вызвана отсутствием должной проверки возвращаемого значения в сервисах аутентификации.

Кроме того, в новых версиях устранены ещё 4 уязвимости, две из которых помечены опасными. Данные проблемы приводят к отказу в обслуживании при отправке специально оформленных запросов к компоненту для интеграции с Jira Connect (CVE-2025-13927), API управления релизами (CVE-2025-13928) и SSH (CVE-2026-1102), а также к зацикливанию при созданию специально оформленного Wiki-документа (CVE-2025-13335).

Пост
GitLab Patch Release: 18.8.2, 18.7.2, 18.6.4
https://about.gitlab.com/releases/2026/01/21/patch-release-gitlab-18-8-2-released/