В посте показан пример эксплуатации, он достаточно прост.

There’s a new Kubernetes security vulnerability that’s just been disclosed and I thought it was worth taking a look at it, as there’s a couple of interesting aspects to it. CVE-2025-1767 exists in the gitRepo volume type and can allow users who can create pods with gitRepo volumes to get access to any other git repository on the node where the pod is deployed.
. . .
Patching & Mitigation

The patching situation for this vulnerability is interesting. The CVE description says that a patch will not be provided as gitRepo volumes are deprecated, which is true. However, this volume type is enabled by Kubernetes by default and there is no flag or switch that would allow a cluster operator to disable it.

In practice, if you don’t use gitRepo volumes, you can mitigate this in a couple of ways. If you don’t need git on your nodes you can just remove it there (assuming un-managed Kubernetes of course), and you can also block the use of these volumes using Validating Admission Policy or similar admission controllers.

CVE-2025-1767 - Another gitrepo issue
https://raesene.github.io/blog/2025/03/14/cve-2025-1767-another-gitrepo-issue/

Предыдущий пост из этой серии
Fun With GitRepo Volumes
https://raesene.github.io/blog/2024/07/10/Fun-With-GitRepo-Volumes/

Спасибо подписчику за ссылку

Кто юзает Nextcloud и 2FA, не обновляйтесь до 31 версии, иначе получите невозможность залогиниться. Мне пришлось откатываться из бэкапа.
2FA пилится отдельной командой, и не успевает за развитием Nextcloud: https://github.com/nextcloud/twofactor_gateway/issues/624

Инновации, которые мы заслужили

В KDE реализован график для оценки скорости копирования файлов
https://www.opennet.ru/opennews/art.shtml?num=62890

Опубликованы результаты оценки влияния на производительность пересборки пакетов для Ubuntu с различными опциями и реализациями функций выделения памяти. Экспериментатору удалось на 90% (в 1.9 раза) повысить производительность пакета jq с инструментарием для обработки данных в формате JSON, путём обычной пересборки из того же пакета с исходным кодом, без внесения изменений в сам код. Производительность оценивалась через измерение времени выполнения типового фильтрующего запроса над данными GeoJSON, размером 500МБ.

Итоги эксперимента:

- Вариант, собранный в GCC из тех же исходных текстов с флагами по умолчанию оказался быстрее бинарного пакета Ubuntu на 2-4%.

- Пересборка в Clang 18 с уровнем оптимизации"-O3", включением оптимизации на этапе связывания ("-flto") и отключением отладочной информации ("-DNDEBUG") привела к ускорению на 20%.

- Пересборка с системой распределения памяти TCMalloc (добавление "-L/usr/lib/x86_64-linux-gnu -ltcmalloc_minimal" в LDFLAGS) привела к ускорению на 40%.

- Замена функций malloc на системы распределения памяти tcmalloc, jemalloc и mimalloc через "LD_PRELOAD=/usr/lib/x86_64-linux-gnu/lib....so" привела к увеличению производительности на 27%, 29% и 44%. При запуске с mimalloc, показавшем ускорение на 44%, выставлялась переменная окружения "MIMALLOC_LARGE_OS_PAGES=1".

- Пересборка пакета с mimalloc в LDFLAGS вместо связывания через LD_PRELOAD привела к ускорению прохождения теста на 90%. Другой тест по обработке 2.2GB JSON-данных в 13000 файлах также показал прирост производительности примерно в два раза.

Производительность Ubuntu-пакета jq удалось увеличить в 1.9 раза путём пересборки
https://www.opennet.ru/opennews/art.shtml?num=62912

Оригинальный пост
Make Ubuntu packages 90% faster by rebuilding them
https://gist.github.com/jwbee/7e8b27e298de8bbbf8abfa4c232db097

Открытка @itpgchannel и его приключениям с malloc 🌝

История, уходящая больше чем на полгода назад, заиграла новыми красками.

Тогда я сдал несколько багов через Bug Bounty платформу в одном российском средстве виртуализации. Хотелось получить CVE (или хотя бы BDU), т.к баги были найдены в вендорском продукте, но любые попытки сделать это не привели к успеху.

И тут я увидел новость – эти ребята прошли сертификацию по ФСТЭКу, а значит у меня появился легальный способ получить BDU, зарепортив баги с багбаунти напрямую во ФСТЭК. Что я и сделал.

Как итог - мой первый(ая?) BDU – BDU:2025-02510 🤟💪

Кстати весь процесс общения с регулятором занял неделю, что на мой взгляд круто. Триаж даже побыстрее некоторых баг баунти програм.

P.S. – Я всё ещё жду назначения CVE в нескольких западных вендорских продуктах 🥲

P.P.S – Я заслал во ФСТЭК ещё три бага в этом же продукте

Четверг, а значит время проектов от подписчиков! 🌝

Тем, кто пропустил, что такое четверговые проекты от подписчиков, можно прочитать тут - https://xn--r1a.website/tech_b0lt_Genona/4983


Слово автору @mehalom

---

Уже второй год[^1] я с друзьями делаю некоммерческую летнюю школу для подростков.

Мы живём в палаточном лагере в Армении, ботаем и наслаждается природой.

Формально, у нас есть физики, математики, биологи и гуманитарии, но, на самом деле, тем курсов существенно больше.

Например, я по работе занимаюсь компиляторами, поэтому рассказываю детям про архитектуру компьютера и языки программирования, а пару лет назад мои ученики даже написали простенький проц на кастрированном VHDL и ассемблер к нему.

Нам бы очень помогло, если бы ты о нас рассказал.

Кто мы такие?

Мы — просветительский проект для подростков, интересующихся наукой. Мы не готовим к олимпиадам и экзаменам, не натаскиваем на конкретные задачи. Наша цель — научиться получать удовольствие от учёбы и достигать поставленных перед собой целей.

Набор уже открыт
https://xn--r1a.website/forest_school_am/270

Узнать больше о школе и подать заявку можно на нашем сайте и в соцсетях: 
https://forest-school.am/
https://xn--r1a.website/forest_school_am
https://vk.com/forest_school_am

---

Проблемы возникают из-за того, что подобные ИИ-индексаторы действуют агрессивно, собирают информацию в несколько потоков и не учитывают правила доступа к контенту, заданные на сайтах через файл robots.txt. Проблему усугубляет то, что разработками в области машинного обучения занимаются большое число разных компаний по всему миру, которые пытаются собирать как можно больше данных в меру своих возможностей. Каждая компания запускает свой индексатор и все вместе они создают огромную паразитную нагрузку на элементы инфраструктуры.

После начала блокировки подобного трафика, некоторые индексаторы начали притворяться типовыми браузерами для обхода фильтрации по идентификатору User Agent и использовать распределённые сети, охватывающие большое число хостов, для преодоления ограничений интенсивности обращений с одного IP. Наиболее сильно из-за активности ИИ-индексаторов страдают инфраструктуры открытых проектов, использующих собственные хостинги Git-репозиториев, форумы и Wiki, которые изначально не были рассчитаны на обработку высокой нагрузки.

Проблемы возникли у платформы совместной разработки SourceHut, развиваемой Дрю ДеВолтом (Drew DeVault), автором пользовательского окружения Sway. Дрю сетует на то, что в очередной раз вместо того, чтобы заниматься развитием платформы ему приходится тратить большую часть своего времени на разгребание неожиданно возникших проблем.
. . .
Другие проекты, обратившие внимание на проблему:

- Из-за высокой нагрузки на инфраструктуру для противостояния ИИ-индексаторам разработчики GNOME внедрили систему защиты от ботов Anubis, допускающую вход только после вычисления хэша sha256 (proof-of-work). При открытии страниц в GitLab GNOME теперь появляется характерная аниме-заставка, которая у некоторых пользователей приводит к минутной задержке загрузки страниц. За два с половиной часа тестирования только 3% запросов прошили проверку в Anubis, а 97% обращений были совершены ботами.

- В проекте Fedora из-за запросов ИИ-индексаторов наблюдаются сбои с работой платформы совместной разработки Pagure. В процессе противостояния с ИИ-ботами пришлось заблокировать множество подсетей, включая весь диапазон IP-адресов Бразилии, что привело к блокировке и некоторых пользователей.

- Сообщается о проблемах с сервисом совместной разработки Codeberg и инфраструктурой платформы Forgejo (code.forgejo.org), которые пытаются отразить поток запросов ИИ-индексаторов. 

- GitLab-сервер проекта KDE на некоторое время оказался недоступен из-за перегрузки в результате активности ИИ-индексаторов, отравлявших запросы из подсети, принадлежащей компании Alibaba.

- Из-за высокой нагрузки на сайт разработчики Inkscape начали блокировку по спискам Prodigious и планируют установить систему Anubis для защиты от ИИ-индексаторов.

- Из-за наплыва ИИ-индексаторов отмечаются сбои в работе форума проекта FreeCAD и проблемы с Wiki проекта Arch Linux.

- Разработчики открытой социальной сети Diaspora сообщили о возрастании нагрузки на форумы Discourse, Wiki и web-сайт проекта. По статистике за ноябрь и декабрь, собранной до нашествия обезличенных ботов, около 70% всего трафика пришлось на запросы от ИИ-индексаторов: 24.6% трафика сгенерировано ботом GPTBot, 17.1% - Amazonbot, 4.3% - ClaudeBot, 2.2% - meta-externalagent (для сравнения на ботов Google и Bing приходится по 0.14% трафика).

Перегрузка инфраструктуры KDE, GNOME, Fedora, Codeberg и SourceHut из-за ИИ-индексаторов
https://www.opennet.ru/opennews/art.shtml?num=62925

Cloudflare выпустила AI Labyrinth, что бы бороться с подобной активностью
https://blog.cloudflare.com/ai-labyrinth/

A list of AI agents and robots to block.
http://github.com/ai-robots-txt/ai.robots.txt

~460 тысяч адресов с которых зафиксирована активность ИИ-ботов
https://www.partagerfichier.fr/download.php?f=2025-03-17-09-22-30_botnet-set.zip

Linux kernel Rust module for rootkit detection

Article by Antoine Doglioli about implementing an in-kernel detector for many existing rootkits. The detector is written in Rust.

Топ-108 телеграм-каналов в ИБ

Сделали с каналом «Пакет Безопасности» второй рейтинг лучших Telegram-каналов в ИБ-отрасли, расширив выборку и добавив новые категории.

Выбирать лучшие каналы нам помогали ИБ-специалисты, PR-специалисты, маркетологи и журналисты ведущих деловых СМИ. Состав экспертного совета, который голосовал за каналы, опубликуем отдельно. Главный критерий по традиции — контент.

Каналы ранжируются по количеству голосов в своих категориях.

Авторские:

1. Пакет Безопасности
2. Пост Лукацкого
3. Сицебрекс! и Sachok
4. Ever Secure и Технологический болт Генона
5. Солдатов в телеграм, BESSEС, Евгений Касперский
6. ZLONOV, Управление уязвимостями и прочее и Топ кибербезопасности Батранкова

Offensive:

1. Похек
2. Red team brazzers
3. Багхантер
4. Кавычка
5. Егор Богомолов
6. Заметки Слонсера и PRO:PENTEST
7. s0i37_chanel
Поросенок Петр
GigaHackers

Defensive:

1. ESCalator
2. README.hta
3. Blue (h/c)at Café и Security wine (бывший - DevSecOps Wine) и Makrushin
4. Disasm.me channel
5. Четыре луча, AppSec Journey и PurpleBear

Mixed:

1. k8s (in)security
2. Кибервойна и Mobile AppSec World
3. Репорты простым языком
4. Сертификат безопасности
5. Кибербез образование, Райтапы по CTF {2025}, ГОСТ VPN | aveselov.ru, PWN AI, Monkey see, monkey do

Микроблоги:

1. Ильдар Пишет
2. Омский Багхантер
3. Банка пывна и Про ИБ с высоты каблуков и Кибербез Андрея Дугина
4. Двое из Кибермаркетинга
5. CyberBox и NA_SOC
6. Защита персональных данных и не только и SbX | Security by Xyurity

Новостные/агрегаторы:

1. SecАtor
2. НеЛукацкий
3. НеКасперский
4. Утечки информации и Порвали два трояна и Offensive Twitter
5. Об ЭП и УЦ
6. Максим Горшенин | imaxai и RUSCADASEC news: Кибербезопасность АСУ ТП

Корпоративные:

1. Kaspersky
2. Red Security
3. Positive Technologies
4. Борьба с киберпреступностью | F6 и BI.ZONE
5. Innostage
6. РТ-ИБ, ИнфоТеКС, Инфосистемы Джет, 3side кибербезопасности и Echelon Eyes
7. CURATOR, Angara Security, InfoWatchOut

Каналы IT-журналистов:

1. Грустный киберпанк
2. КиберBEZправил
3. Radio Tishina
4. Игнатий Цукергрохер
5. Doomtech
6. Убедился корр. ТАСС, Половников и Девочки/Перцева
7. Точксичная цифра, Первый канал, Электро⚡шок, это Жабин

OSINT:

1. Russian OSINT
2. КиберДед official
3. OSINT mindset ( https://xn--r1a.website/osint_mindset )
4. Интернет-Розыск I OSINT I Киберрасследования ( https://xn--r1a.website/irozysk )Schwarz_Osint ( https://xn--r1a.website/Schwarz_Osint )
5. DanaScully ( https://xn--r1a.website/xbshsuwiow83 ) STEIN: ИБ OSINT ( https://xn--r1a.website/secur_researcher )network worm notes( https://xn--r1a.website/nwnotes )BeholderIsHere Media HUB( https://xn--r1a.website/BeholderIsHereHub )
6. Pandora’s box ( https://xn--r1a.website/pandora_intelligence )

Юмор/мемы:

1. Cybersecurity memes off ( https://xn--r1a.website/cybersecurity_memes_off )
2. Bimbosecurity ( https://xn--r1a.website/bimbosec )и Я у мамы SecMemOps
3. #memekatz (https://xn--r1a.website/memekatz) и Information Security Memes (https://xn--r1a.website/infosecmemes)
4. Спасите Нарциссо (https://xn--r1a.website/savenarcisso) и Memes 365 (https://xn--r1a.website/bugbountymeme)
5. OTSOSINT (https://xn--r1a.website/ots0sint) и The After Times (https://xn--r1a.website/theaftertimes) и Вредные советы по ИБ (https://xn--r1a.website/badofis)

Специальная номинация: канал «Код ИБ»( https://xn--r1a.website/codeibnews )

PR Machine https://xn--r1a.website/PR_machine_Nika

@cybersachok