> На поддоменах .mos.ру яростно пренебрегали ограничениями к каталогам .git.

Писал уже как-то об этом https://xn--r1a.website/tech_b0lt_Genona/2558 и повторю дежурное напоминание

Дежурное напоминание: не делайте доставку сайтов через clone/pull кода на конечном хосте (ну или хотя бы вычищайте лишнее после этого) и не кладите репы исходников в контейнер.

Взлом Госуслуг: утечка исходного кода
https://habr.com/ru/news/t/598121/

Спасибо всем, кто был и остался, спасибо всем кто подписался, спасибо всем кто делился с другими и репостил.

Ссылка на самый популярный пост
https://xn--r1a.website/tech_b0lt_Genona/2767

Как переехать с GKE на Deckhouse, чтобы разработчики этого даже не заметили. Кейс robota.ua

https://habr.com/ru/company/flant/blog/598399/

С наступающим новым годом, дорогие подписчики и подписчицы!

Встреча с CVE-2021-44228 имени Log4j2 в неожиданном месте

> After the initial fix in Log4j v2.15 was released, a new issue CVE-2021-45046 was found and addressed in log4j v2.16. We have since released Arduino IDE 1.8.18, available here, which includes log4j v2.16 with the latest fix.

Arduino's response to Log4j2 vulnerability CVE-2021-44228
https://support.arduino.cc/hc/en-us/articles/4412377144338-Arduino-s-response-to-Log4j2-vulnerability-CVE-2021-44228

Пошло добро. Уже пакуем транспортные коробки по 50 штук для паллет.

💾 The State of Enterprise Linux in 2022. Что год грядущий нам готовит, или как теперь выглядит жизнь rhel-based ынтерпрайза после прихода CentOS Stream.

#redhat #напочитать #centos

Cache Poisoning at Scale
Identifying and Exploiting over 70 Cache Poisoning vulnerabilities
https://youst.in/posts/cache-poisoning-at-scale/

Всем привет мы запустили свой блог и написали о 2021 в разрезе компании, фич и комьюнити
- https://victoriametrics.com/blog/momentum-2021/
- https://victoriametrics.com/blog/features-roundup-2021/
- https://victoriametrics.com/blog/user-community-2021/ (@patsevanton ты там есть :) )

Суббота

https://github.com/telegramdesktop/tdesktop/issues

Волшебники из 1995 года, тут? 😎

Why Threads Are A Bad Idea (for most purposes),
https://web.stanford.edu/~ouster/cgi-bin/papers/threads.pdf

Новости из помойки NPM

Во всей этой истории это самый интересный момент

> В ответ на совершённые действия GitHub заблокировал доступ Марака к своим репозиториям (90 публичных + несколько приватных), а NPM откатил вредоносную версию пакета. При этом законность действий GitHub вызывает вопросы, так как удаление разработчиком кода из одного из своих репозиториев не может рассматриваться как нарушение правил сервиса. Более того, в тексте лицензии на пакеты colors и faker явно обозначено отсутствие любых гарантий и обязательств в отношении работоспособности кода.

Напомню, что NPM'ом владеет GitHub с 2020 года.

Сама драма

Марак Сквайрс (Marak Squires), автор популярных пакетов colors (расцветка консоли node.js) и faker (генератор фиктивных данных для полей ввода), насчитывающих 2.8 и 25 млн еженедельных загрузок, разместил в репозитории NPM и на GitHub новые версии своих продуктов, включающие деструктивные изменения, целенаправленно приводящие к сбоям на стадии сборки и выполнения зависимых проектов. В результате действий Марака была нарушена работа многих проектов, включая AWS CDK, использующих указанные библиотеки - библиотека colors используется в качестве зависимости у 18953 проектов, а faker - у 2571.

Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектах
https://www.opennet.ru/opennews/art.shtml?num=56479

https://twitter.com/reactos/status/1480796618911846401

Всего на три года отстали
> go1.10.8 (released 2019-01-23)

https://go.dev/doc/devel/release#go1.10.minor

#анонсы #жиза

Всех с прошедшими праздниками!

Те, кто читает меня с самого начала, помнят мои древние посты про ранние этапы моей карьеры, релокацию в Нидерланды и прочие приключения.

Я дал интервью изданию Highload, где рассказываю о том чем занимался до того, как завел канал, и как изменилась моя жизни после. Кому интересно, милости прошу: часть первая, вторая и третья.

От себя добавлю небольшую деталь, которая часто упускается из виду. По интервью может показаться, что практически вся моя карьера это путь сольного игрока, что конечно же неправда.

Многим моим достижениям, от регистрации на Monster.com до дачи самого интервью изданию я обязан своей супруге. Практически с самого нашего знакомства Н. выступает моим ближайшим союзником и самым главным и единственным, прости Господи, консультантом.

Если бы не она, меня бы тут с вами не было, а мой успех в том числе результат ее, иногда прямых, действий.

Надо бы ещё ffmpeg запретить, а то мало ли чего

> Звукозаписывающие компании Sony Entertainment, Warner Music Group и Universal Music подали в Германии судебный иск против провайдера Uberspace, который предоставляет хостинг для официального сайта проекта youtube-dl. В ответ на ранее отправленный внесудебный запрос о блокировке youtube-dl компания Uberspace не согласилась отключить сайт и выразила несогласие с предъявляемыми претензиями. Истцы настаивают на том, что youtube-dl является инструментом для нарушения авторских прав и пытаются преподнести действия Uberspace как соучастие распространению незаконного ПО.

Звукозаписывающие компании подали иск за предоставление хостинга проекту Youtube-dl
https://www.opennet.ru/opennews/art.shtml?num=56518

A Kubernetes operator for declarative database schema management (gitops for database schemas)
https://github.com/schemahero/schemahero
+
SchemaHero - Database Schema Migrations Inside Kubernetes
https://www.youtube.com/watch?v=SofQxb4CDQQ

В конце декабря прошлого года, после почти 4 годичного перерыва обновился один из самых популярных сетевых снифферов - Intercepter NG… И в честь этого, знаменательного события, мы пригласили одного из самых видных экспертов в области MITM атак и по совместительству, автора этого легендарного инструмента - Ares -а

В четверг, 20 января, в 20.00 по МСК на канале t.me/ForensicTools

Свой вопрос вы можете задать лично во время эфира или по традиции - в комментариях к этому посту!

В белой-белой компании Luntry
Белый-белый хакер Дмитрий Евдокимов (@Qu3b3c)
Пишет прозрачно-белый observability для k8s
В таких условиях легко найти черный код... или не все так чисто?

Детективная история будет разворачиваться прямо у вас в ушах уже в эту cleaning-пятницу в 20:00 на подкасте в DevOps-курилке.
Шерлок Фиделина, Хомяк-Холмс и what's up?

Рекомендации: Чтобы следить за ходом расследования желательно подключаться с desktop машинки, так будет виднее)

При поддержке @k8security <—- Дмитрий Белый Евдокимов именно здесь обитает) @devops_ru @devops_jobs
——-

Произошёл вброс

Kubernetees and Microservices, how did we get from 'Simple' to 'Spaghetti'??

https://www.reddit.com/r/csharp/comments/s7d7qb/kubernetees_and_microservices_how_did_we_get_from/