Инго Молнар (Ingo Molnar), мэйнтейнер архитектуры x86, механизма блокировок и планировщика задач в ядре Linux, выставил на обсуждение набор патчей, удаляющих из ядра поддержку процессоров 486 (M486, M486SX, AMD ELAN) и начальных серий процессоров 586. В ядре предлагается оставить только возможность работы с процессорами x86, поддерживающими инструкцию CX8 (CMPXCHG8B) и регистр TSC (Time Stamp Counter), которые появились в CPU Pentium.
Отмечается, что для поддержки CPU 486 в ядре приходится держать код, эмулирующий операции CX8 (сравнить и обменять 8 байт) и TSC (счётчик циклов CPU, используемый в планировщике задач). Подобный код усложняет ядро, затрудняет сопровождение и временами становится источником проблем, разбор которых отнимает время у разработчиков. Прекращение поддержки 486 позволит удалить из ядра 14104 строки кода, что значительно упростит некоторые функции в ядре за счёт исключения прослоек, эмулирующих CX8 и TSC, и позволит избавиться от библиотеки math-emu, эмулирующей FPU.
За день до публикации патчей вопрос целесообразности удаления поддержки 486 поднял Линус Торвальдс при обсуждении очередной проблемы, проявляющейся при эмуляции CX8. Линус считает, что настало время отказаться от поддержки CPU 486 и не видит причин, чтобы продолжать тратить время разработчиков на решение возникающих из-за них проблем. Поддержка процессоров 386 была удалена из ядра в 2012 году. По мнению участников дискуссии, сейчас настало время для удаления поддержки CPU 486. В октябре 2022 года Линус уже публиковал подобное предложение, но оно не получило развития.
Разработчики ядра Linux на пути к удалению поддержки процессоров i486
https://www.opennet.ru/opennews/art.shtml?num=63184
Оригинал
https://lore.kernel.org/lkml/20250425084216.3913608-1-mingo@kernel.org/
👍38🔥5🌚2👎1
Технологический Болт Генона
Я недавно писал про то как сайты и прочие ресурсы страдают из-за AI-краулеров https://xn--r1a.website/tech_b0lt_Genona/5122 https://xn--r1a.website/tech_b0lt_Genona/5249 Автор пишет, что защищается от подобного с помощью zip-бомб. Правда из статьи не понятно, какова эффективность…
Недавно скидывал пост, как защищаются от AI-краулеров
https://xn--r1a.website/tech_b0lt_Genona/5281
И вот ещё один
The Day Anubis Saved Our Websites From a DDoS Attack
https://fabulous.systems/posts/2025/05/anubis-saved-our-websites-from-a-ddos-attack/
Weighs the soul of incoming HTTP requests to stop AI crawlers
https://github.com/TecharoHQ/anubis
Спасибо подписчику за ссылку
https://xn--r1a.website/tech_b0lt_Genona/5281
И вот ещё один
The main problem is time. The URLs accessed in the attack are the most expensive ones the wiki offers since they heavily depend on the database and are highly dynamic, requiring some processing time in PHP. This is the worst-case scenario since it throws the server into a death spiral.
First, the database starts to lag or even refuse new connections. This, combined with the steadily increasing server load, leads to slower PHP execution. Eventually, all resources in the PHP-FPM pools are used up, and since Apache2 doesn’t get a reply from PHP-FPM in time, it waits until it runs out of free connections. At this point, the website dies. Restarting the stack immediately solves the problem for a couple of minutes at best until the server starves again.
. . .
As a regular user, all you’ll notice is a loading screen when accessing the website. As an attacker with stupid bots, you’ll never get through. As an attacker with clever bots, you’ll end up exhausting your own resources. As an AI company trying to scrape the website, you’ll quickly notice that CPU time can be expensive if used on a large scale.
Long story short, deploying Anubis immediately solved our issues. In fact, you can see the exact time in our monitoring.
The Day Anubis Saved Our Websites From a DDoS Attack
https://fabulous.systems/posts/2025/05/anubis-saved-our-websites-from-a-ddos-attack/
Weighs the soul of incoming HTTP requests to stop AI crawlers
https://github.com/TecharoHQ/anubis
Спасибо подписчику за ссылку
👌11🤣3👍2👎2
Forwarded from Поросёнок Пётр
Неудобненько вышло.
Тут пишут что "форк Signal", которую для политиков США делала конторка telemessage.com - внезапно оказалась просто дырой с hardcoded secrets ( “The source code contains hardcoded credentials and other vulnerabilities.” )
Хотя сам telemessage говорит на своем сайте, что у них "Secure Mobile Messaging for Business" ☝️
Теперь я бы поспорил на сколько там secure. Ссылка на рисёрч тут
Не исключено конечно, что ломанули просто another legal entity 😂
PS: Исходник с андроид версии с сайта убрали, хотя ios еще лежит. Но форкнутое нутро уже унесли в публичный гитхаб. Может кому-то интересно потыкать в поисках гостайны, и информации о том "откуда готовилось нападение".
Тут пишут что "форк Signal", которую для политиков США делала конторка telemessage.com - внезапно оказалась просто дырой с hardcoded secrets ( “The source code contains hardcoded credentials and other vulnerabilities.” )
Хотя сам telemessage говорит на своем сайте, что у них "Secure Mobile Messaging for Business" ☝️
Теперь я бы поспорил на сколько там secure. Ссылка на рисёрч тут
Не исключено конечно, что ломанули просто another legal entity 😂
PS: Исходник с андроид версии с сайта убрали, хотя ios еще лежит. Но форкнутое нутро уже унесли в публичный гитхаб. Может кому-то интересно потыкать в поисках гостайны, и информации о том "откуда готовилось нападение".
micahflee
Here's the source code for the unofficial Signal app used by Trump officials
💡Update May 4, 2025: I have published quite the follow-up story, if I may say so myself: The Signal Clone the Trump Admin Uses Was Hacked
Update May 6, 2025: I've written a new detailed analysis. The findings are based on the TM SGNL source code and are…
Update May 6, 2025: I've written a new detailed analysis. The findings are based on the TM SGNL source code and are…
👻14😁8🌚7👍3🤣1🦄1
Forwarded from IT Friday (Sabbath)
Ранее в двух моих любимых каналах Технологический Болт Генона и k8s (in)security были посты про отличные доклады про обфускацию контенеров. И вот наконец выложили свеженький доклад Enhancing Software Composition Analysis Resilience Against Container Image с KubeCon EU 2025. Последнее время тема обфускации и доверия инструментам сканирования всплывает все чаще и проблемы все еще актуальны:
- нет единого станадрата зависимостей SBOM (тут рекомендую еще глянуть книжку Software Transparency - Supply Chain Security in an Era of Software-Driven Society, недавно вышла в переводе: Прозрачное ПО. Безопасность цепочек поставок)
- сканеры видят не все и не справляются с обфускацией
Вот серия докладов на эту тему:
🟢 2023 - Malicious Compliance: Reflections on Trusting Container...
Веселый и очень интересный доклад про то, как обмануть сканеры контейнеров. Срочная проверка, в образе куча уязвимостей, а комплаенс по инфобезу пройти надо. Править уязвимости долго и больно, да еще так чтоб не поломать. Решение очевидно - нужно обмануть сканеры уязвимостей))) Очень круто затронута проблема обфускации контейнеров и что с этим делать.
🟢 2024 - Malicious Compliance Automated: When You Have 4000 Vulnerabilities and only 24 Hours Before Release
Не менее позитивный докладе, в продолжение темы, но уже используя Docker Slim, Mint, кстати с самим создатем этих инструментов
🟢 2025 - Enhancing Software Composition Analysis Resilience Against Container Image
А тут рисеч инженеры подошли тотально, подготовили дата-сет с обфусцированными контейнерами, потестили как текущие популярные сканеры справляются с обфускацией и даже написали свой инструмент
🟢 Кстати, я чуть упоминал про обфускацию на PHDays 2023 в докладе Руководство БДСМ (Бравого Докер Секурити Мастера), показывал, что в собранном в бинарь джава-сервисе "пропадают уязвимости") В этом году кстати буду на PHDays c докладом Руководство БДСМ:latest - там поглубже закопаемся в безопасность контейнеров, заскакивайте 😊
- нет единого станадрата зависимостей SBOM (тут рекомендую еще глянуть книжку Software Transparency - Supply Chain Security in an Era of Software-Driven Society, недавно вышла в переводе: Прозрачное ПО. Безопасность цепочек поставок)
- сканеры видят не все и не справляются с обфускацией
Вот серия докладов на эту тему:
Веселый и очень интересный доклад про то, как обмануть сканеры контейнеров. Срочная проверка, в образе куча уязвимостей, а комплаенс по инфобезу пройти надо. Править уязвимости долго и больно, да еще так чтоб не поломать. Решение очевидно - нужно обмануть сканеры уязвимостей))) Очень круто затронута проблема обфускации контейнеров и что с этим делать.
Не менее позитивный докладе, в продолжение темы, но уже используя Docker Slim, Mint, кстати с самим создатем этих инструментов
А тут рисеч инженеры подошли тотально, подготовили дата-сет с обфусцированными контейнерами, потестили как текущие популярные сканеры справляются с обфускацией и даже написали свой инструмент
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13🔥11❤5❤🔥1💊1
Технологический Болт Генона
Помните я писал про Organic Maps и цирк, который там творится? https://xn--r1a.website/tech_b0lt_Genona/5115 И вот продолжение истории. Я всё так же считаю, как и в прошлый раз, что проект накрывается "медным тазом" Summary Community contributors to Organic Maps have…
Продолжение сериала про Organic Maps
Предыдущие серии
https://xn--r1a.website/tech_b0lt_Genona/5115
https://xn--r1a.website/tech_b0lt_Genona/5277
Проект CoMaps начал развитие форка приложения Organic Maps
https://www.opennet.ru/opennews/art.shtml?num=63188
+
https://codeberg.org/comaps
Чаты @CoMaps_EN, @CoMaps_RU
Предыдущие серии
https://xn--r1a.website/tech_b0lt_Genona/5115
https://xn--r1a.website/tech_b0lt_Genona/5277
Форк основан участниками сообщества, недовольными зависимостью проекта от интересов акционеров коммерческой компании Organic Maps OÜ, закрытостью процесса управления и непрозрачностью распределения пожертвований.
. . .
Структура проекта CoMaps подразумевает ведение только некоммерческой деятельности и подотчётность сообществу. Основной целью форка называется работа для удовлетворения интересов сообщества, а не с целью получения прибыли. Все ресурсы, кодовая база и интеллектуальная собственность будет принадлежать сообществу и будут распространяться только под открытой лицензией.
В плане функциональности приложения заявлены следующие принципы:
- Ориентация на работу в offline-режиме. Планирование маршрутов, навигация, поиск путевых точек и другие возможности функционируют без необходимости подключения к глобальной сети.
- Забота о конфиденциальности. Приложение не собирает и не отправляет данные об активности пользователя, не присваивает пользователям идентификаторы, не отслеживает перемещение и не показывает рекламу.
- Экономия аккумулятора. Эффективное потребление энергии для максимального продления работы в автономном режиме.
- Развитие функциональности сообществом и для сообщества.
Проект CoMaps начал развитие форка приложения Organic Maps
https://www.opennet.ru/opennews/art.shtml?num=63188
+
https://codeberg.org/comaps
Чаты @CoMaps_EN, @CoMaps_RU
👍28❤6
Я когда только открывал пост, то точно знал, что я там увижу 🌝
---
Ошибки — это не исключения
Один раз написал функцию и ждал, что она кинет ошибку, как в Python. Но ничего не произошло. Потом почитал — в Go ошибки возвращаются как второй аргумент. То есть надо делать вот так:
Честно — поначалу раздражало. Зачем я должен писать одну и ту же проверку в каждом вызове функции? Но, видимо, так принято.
---
Но пункт про
---
Первый шок — это main
Когда я писал на Python, всё было просто: написал функцию — она работает. Хочешь — запускаешь что-то напрямую. Хочешь — импортируешь. А в Go сразу надо делать package main, потом func main(), и только внутри уже можно что-то писать.
Сначала я подумал, что это какая-то обёртка, типа как if name == "main" в Python, но, похоже, нет. Тут без main вообще ничего не запускается. Это немного сбивает. Почему язык не может просто начать выполнять файл с первой строки?
---
Пост полностью
Переход с Python на Go: мысли человека, которому иногда сложно
https://habr.com/ru/articles/907360/
---
Ошибки — это не исключения
Один раз написал функцию и ждал, что она кинет ошибку, как в Python. Но ничего не произошло. Потом почитал — в Go ошибки возвращаются как второй аргумент. То есть надо делать вот так:
res, err := myFunc()
if err != nil {
// что-то делать
}
Честно — поначалу раздражало. Зачем я должен писать одну и ту же проверку в каждом вызове функции? Но, видимо, так принято.
---
Но пункт про
main реально удивил, такое ощущение что автор кроме Python ничего не видел---
Первый шок — это main
Когда я писал на Python, всё было просто: написал функцию — она работает. Хочешь — запускаешь что-то напрямую. Хочешь — импортируешь. А в Go сразу надо делать package main, потом func main(), и только внутри уже можно что-то писать.
Сначала я подумал, что это какая-то обёртка, типа как if name == "main" в Python, но, похоже, нет. Тут без main вообще ничего не запускается. Это немного сбивает. Почему язык не может просто начать выполнять файл с первой строки?
---
Пост полностью
Переход с Python на Go: мысли человека, которому иногда сложно
https://habr.com/ru/articles/907360/
🤣67😁16🙈11❤2🦄2🤬1🌭1🖕1💊1
Тут Даниэль Стенберг (автор cURL) сгорел от дурачков, которые посылают ему отчёты об "уязвимостях" полученные при помощи ИИ
https://www.linkedin.com/posts/danielstenberg_hackerone-curl-activity-7324820893862363136-glb1
И я его понимаю, потому что наблюдал за этими отчётами в реальном времени, так сказатб.
Просто оцените, какое говно ему шлют
- В этом "отчёте" указаны несуществующие функции для патча
Penetration Testing Report: HTTP/3 Stream Dependency Cycle Exploit
https://hackerone.com/reports/3125832
- Какой-то "исследователь" прислал отчёт что используется в libcurl симметричный DES, а это типа плохо. То что DES нужен для NTLM это автора не интересует. Даниэль там прямо не говорит про использование AI, но я лично уверен, что этот "отчёт" получен с помощью ИИ
Use of a Broken or Risky Cryptographic Algorithm (CWE-327) in libcurl
https://hackerone.com/reports/3116935
- Какая-то шляпа, которая неприменима в реальности. Автор записал видео, которое непонятно что демонстрирует
Double Free Vulnerability in
https://hackerone.com/reports/3117697
That's it. I've had it. I'm putting my foot down on this craziness.
1. Every reporter submitting security reports on #Hackerone for #curl now needs to answer this question:
"Did you use an AI to find the problem or generate this submission?"
(and if they do select it, they can expect a stream of proof of actual intelligence follow-up questions)
2. We now ban every reporter INSTANTLY who submits reports we deem AI slop. A threshold has been reached. We are effectively being DDoSed. If we could, we would charge them for this waste of our time.
We still have not seen a single valid security report done with AI help.
https://www.linkedin.com/posts/danielstenberg_hackerone-curl-activity-7324820893862363136-glb1
И я его понимаю, потому что наблюдал за этими отчётами в реальном времени, так сказатб.
Просто оцените, какое говно ему шлют
- В этом "отчёте" указаны несуществующие функции для патча
Penetration Testing Report: HTTP/3 Stream Dependency Cycle Exploit
https://hackerone.com/reports/3125832
- Какой-то "исследователь" прислал отчёт что используется в libcurl симметричный DES, а это типа плохо. То что DES нужен для NTLM это автора не интересует. Даниэль там прямо не говорит про использование AI, но я лично уверен, что этот "отчёт" получен с помощью ИИ
Use of a Broken or Risky Cryptographic Algorithm (CWE-327) in libcurl
https://hackerone.com/reports/3116935
- Какая-то шляпа, которая неприменима в реальности. Автор записал видео, которое непонятно что демонстрирует
Double Free Vulnerability in
libcurl Cookie Management (cookie.c)https://hackerone.com/reports/3117697
😁39👏5😱3😭3🖕2🔥1
В РФ сейчас достаточно популярна тема со SBOM и вообще контролем зависимостей, потому что много каких зависимостей из open source оказывали и могут оказать деструктивное влияние так сказатб 🌝
Но тут случилось ВНЕЗАПНОЕ1!11!. Hunted Labs озаботились зависимостями, которые тянутся в проекты и обнаружили российский след (полный PDF-отчёт скину в комменты). Более того, как они пишут, отказаться от этой зависимости сложно. Речь о easyjson (https://github.com/mailru/easyjson)
The Russian Open Source Project That We Can’t Live Without
https://huntedlabs.com/the-russian-open-source-project-that-we-cant-live-without/
По ссылке подробно расписано как и зачем они занимались исследованием зависимостей и к чему пришли
Мне понравилась заключительная фраза в статье
> Oh, and we haven’t even talked about China…yet.
Сколько же их ещё открытий ждёт 🌝
Но тут случилось ВНЕЗАПНОЕ1!11!. Hunted Labs озаботились зависимостями, которые тянутся в проекты и обнаружили российский след (полный PDF-отчёт скину в комменты). Более того, как они пишут, отказаться от этой зависимости сложно. Речь о easyjson (https://github.com/mailru/easyjson)
What is easyjson?
Easyjson is a Go package designed to optimize JSON serialization and deserialization processes by generating Go code for JSON encoding and decoding. Widely adopted across cloud-native ecosystems, it is a critical dependency for numerous open source and enterprise projects. This includes high-performance JSON handling in distributed systems, real-time data serialization for financial and analytics platforms, and optimization of cloud-native applications.
Who maintains easyjson?
A group of developers from VK, an entity with leadership that is under active U.S. and E.U. sanctions and has connections to Russian security services.
Who is impacted?
Cornerstones of the modern software supply chain and cloud-native tools have dependencies on easyjson, and all applications that pull in these dependencies could potentially be impacted, including, but not limited to:
- Helm
- Istio
- Kubernetes
How could this be weaponized or exploited?
Russia doesn’t need to attack directly. By influencing state-sponsored hackers to embed a seemingly innocuous OSS project deep in the American tech stack, they can wait, watch, and pull strings when it counts.
The Russian Open Source Project That We Can’t Live Without
https://huntedlabs.com/the-russian-open-source-project-that-we-cant-live-without/
По ссылке подробно расписано как и зачем они занимались исследованием зависимостей и к чему пришли
Hunted Labs has provided exhaustive evidence regarding this advisory to the U.S. government and relevant stakeholders. So, what’s next?
The widespread use of easyjson makes finding a solution challenging. However, we cannot continue to blindly rely on this package due to the state of the current threats to our increasingly fragile software supply chain.
Мне понравилась заключительная фраза в статье
> Oh, and we haven’t even talked about China…yet.
Сколько же их ещё открытий ждёт 🌝
😁87💊22👍4💯4🌭2🐳1🖕1
Технологический Болт Генона
Дата почтенная, так что всех причастных с праздником! Сегодня отмечается Всемирный День Радиолюбителя - World Amateur Radio Day, WARD. 18 апреля 1925 года в Париже был основан Международный союз радиолюбителей (англ. International Amateur Radio Union, IARU)
Александр Попов во время демонстрации прибора Российскому физико-химическому обществуДата хорошая, 130 лет всё же.
7 мая 1895 года в Петербурге Александр Попов представил изобретение, ставшее прототипом радио.
С праздником всех причастных!
73
🔥51❤13👍6👎1🥴1
В марте команда NodeJS получила репорт на h1, который был связан с их CI
(Update 23-April-2025) Node.js Test CI Security Incident – Full Disclosure
https://nodejs.org/en/blog/vulnerability/march-2025-ci-incident
В блоге у NodeJS достаточно сухо расписано что да как, но в блоге у Praetorian рассказ более подробный с описаниями и скриншотами. В общем рекомендую почитать тем кто интересуется как оно бывает
Agent of Chaos: Hijacking NodeJS’s Jenkins Agents
https://www.praetorian.com/blog/agent-of-chaos-hijacking-nodejss-jenkins-agents/
According to the HackerOne report, the exploit proceeded as follows:
- Submit a valid pull request to nodejs/node.
- Wait for a maintainer to add the request-ci label (this label is added to every pull request with non-documentation changes).
- After approval, update the pull request using an outdated Git commit timestamp.
- When Jenkins pipelines trigger, they fetch and execute code from the forked pull request.
- Attain code execution on Node.js Jenkins agents.
Upon review, we identified that the request-ci label step simplifies but is not required to carry out the attack. A similar attack could be used against the commit-queue label, thus potentially allowing an attacker to land an unauthorized code change.
(Update 23-April-2025) Node.js Test CI Security Incident – Full Disclosure
https://nodejs.org/en/blog/vulnerability/march-2025-ci-incident
В блоге у NodeJS достаточно сухо расписано что да как, но в блоге у Praetorian рассказ более подробный с описаниями и скриншотами. В общем рекомендую почитать тем кто интересуется как оно бывает
Agent of Chaos: Hijacking NodeJS’s Jenkins Agents
https://www.praetorian.com/blog/agent-of-chaos-hijacking-nodejss-jenkins-agents/
👍7❤1
Тут в Ubuntu решили затащить аналог
Вообще это знаковый момент, потому что
1. Аналог будет включен в поставку популярного дистрибутива
2. Это первый шаг популяризации новой генерации утилит, которые могут заменить старые с "историческими проблемами"
Я лично не перехожу ни на какие модные "💥blazing💪fast🚀" утилиты пока они не появляются в репозиториях дистрибутивов, которые я использую. Так что будем посмотреть.
В Ubuntu 25.10 решено задействовать аналог sudo, написанный на Rust
https://www.opennet.ru/opennews/art.shtml?num=63197
Правильное использование Rust позволит закрыть часть проблем. Вот примеры CVE относящиеся к
- CVE-2019-18634 - получение root через переполнение (https://github.com/saleemrashid/sudo-cve-2019-18634/)
- CVE-2021-3156 - получение root через переполнение (https://github.com/worawit/CVE-2021-3156)
Но
http://cve.org/CVERecord?id=CVE-2023-42456
GitHub проекта
https://github.com/trifectatechfoundation/sudo-rs
sudo, который на Rust написанВообще это знаковый момент, потому что
1. Аналог будет включен в поставку популярного дистрибутива
2. Это первый шаг популяризации новой генерации утилит, которые могут заменить старые с "историческими проблемами"
Я лично не перехожу ни на какие модные "💥blazing💪fast🚀" утилиты пока они не появляются в репозиториях дистрибутивов, которые я использую. Так что будем посмотреть.
Компания Canonical намерена в осеннем выпуске Ubuntu 25.10 задействовать по умолчанию аналог утилиты sudo, развиваемый проектом sudo-rs и написанный на языке Rust. В марте аналогичное решение было принято в отношении замены утилит GNU Coreutils на инструментарий uutils. На стадии рассмотрения находятся инициативы по замене zlib и ntpd на zlib-rs и ntpd-rs, а также задействованию Sequoia вместо GnuPG в пакетном менеджере APT.
В sudo-rs по возможности обеспечена совместимость с классическими утилитами sudo и su, позволяющая использовать sudo-rs в качестве прозрачной замены sudo в большинстве сценариев использования. Для пользователей, не желающих переходить на uutils и sudo-rs, в Ubuntu 25.10 будет предоставлена опция для отката на классические варианты системных утилит coreutils и sudo.
. . .
Замена системных компонентов производится в рамках инициативы по повышения качества системного окружения через поставку программ, изначально разрабатываемых с оглядкой на безопасность, надёжность и корректность. Поставка утилит, написанных на языке Rust, даст возможность снизить риск появления ошибок при работе с памятью, таких как обращение к области памяти после её освобождения и выход за границы буфера. Если эксперимент будет признан удачным, то утилиты на Rust будут задействованы по умолчанию в LTS-ветке Ubuntu 26.04.
В Ubuntu 25.10 решено задействовать аналог sudo, написанный на Rust
https://www.opennet.ru/opennews/art.shtml?num=63197
Правильное использование Rust позволит закрыть часть проблем. Вот примеры CVE относящиеся к
sudo- CVE-2019-18634 - получение root через переполнение (https://github.com/saleemrashid/sudo-cve-2019-18634/)
- CVE-2021-3156 - получение root через переполнение (https://github.com/worawit/CVE-2021-3156)
Но
sudo-rs точно предстоит ещё много работы, что бы "обкататься" с логикой работы. Вот, например, CVE-2023-42456For example we could add a user to the system containing the username `../../../../bin/cp`. When logged in as a user with that name, that user could run `sudo -K` to clear their session record file. The session code then constructs the path to the session file by concatenating the username to the session file storage directory, resulting in a resolved path of `/bin/cp`. The code then clears that file, resulting in the `cp` binary effectively being removed from the system. An attacker needs to be able to login as a user with a constructed username. Given that such a username is unlikely to exist on an existing system, they will also need to be able to create the users with the constructed usernames...The `sudo -K` and `sudo -k` commands can run, even if a user has no sudo access.
http://cve.org/CVERecord?id=CVE-2023-42456
GitHub проекта
https://github.com/trifectatechfoundation/sudo-rs
🔥17💊10🤔4👾4👍3
Если вам зачем-то надо будет развернуть Kubernetes на ноуте с OpenBSD, то вот гайд 🌝
Running a Kubernetes Cluster with OpenBSD VMM
https://www.h-i-r.net/2023/02/running-kubernetes-cluster-with-openbsd.html
Kubernetes relies on Linux containers and cgroups, so you can't run Kubernetes or even docker containers directly on OpenBSD, but Alpine Linux runs great under OpenBSD's VMM hypervisor. Alpine shares a lot of the same ideologies as OpenBSD, and it has become a favorite in the Linux container ecosystem.
. . .
This is not a good project for someone who’s never used OpenBSD before. I make some assumptions that you’re generally familiar with OpenBSD and performing routine system administration and housekeeping tasks.
This is not a supported configuration. I’ve been running kubernetes on OpenBSD’s VMM hypervisor in my home lab for about 7 months as of the time of writing. I wanted to play with Kubernetes at home, and at the time, my Dell PowerEdge R410 running OpenBSD was the only thing I had available, so I decided to try this out. Occasionally, the network or nodes lag a little, but it’s been pretty stable for the most part.
There are a few limitations to this setup. VMM currently has no way to allocate more than one CPU core to a VM. This causes two problems for Kubernetes:
First is that Kubernetes’ master node minimum requirement is for 2 cores. We can override it, and it seems to run with just one core, but it’s not optimal.
Second is that some workloads may request more than 1 CPU worth of computing resources for a pod. The master node will be unable to find a node that can support that pod, because these worker nodes will only have one core, or 1000 milli-cores, of CPU capacity each. If you see errors like “Unschedulable” and “Insufficient cpu,” this is one potential reason.
Running a Kubernetes Cluster with OpenBSD VMM
https://www.h-i-r.net/2023/02/running-kubernetes-cluster-with-openbsd.html
💊61🗿15🔥7💅4👏3😁3😐3👍2👨💻1
В этом году 3 июня 2025 уже в третий раз мы (Luntry) будем проводить конференцию БЕКОН
В этот раз я без доклада, но буду помогать на площадке, так что можно будет встретиться и пообщаться оффлайн.
Цель мероприятия – помочь компаниям перейти на новый уровень понимания контейнерной безопасности и адаптировать современные подходы по ее обеспечению.
В этом году в программе
-
-
-
-
-
Посмотреть полную программу и приобрести билет можно тут.
Канал конференции тут
ЗЫ
Пользуясь случаем передаю всем спасибо, за то что мой доклад с БЕКОН 2024 стал самым популярным по просмотрам на YouTube и ВК ❤️
В этот раз я без доклада, но буду помогать на площадке, так что можно будет встретиться и пообщаться оффлайн.
Цель мероприятия – помочь компаниям перейти на новый уровень понимания контейнерной безопасности и адаптировать современные подходы по ее обеспечению.
В этом году в программе
-
Kyverno: Рецепты правильного приготовления / Евгений Берендяев, Avito-
Talos Linux в production: без SSH и с удовольствием / Дмитрий Рыбалка, Lamoda Tech-
Как соответствовать требованиям ФСТЭК, если у вас контейнеры и кластеры / Андрей Слепых, НТЦ «Фобос-НТ»-
Как спрятать Control Plane Kubernetes от любопытных глаз / Каиржан Аубекеров, МТС Web Services-
Чеклист безопасности ML-кластеров / Николай Панченко, ТбанкПосмотреть полную программу и приобрести билет можно тут.
Канал конференции тут
ЗЫ
Пользуясь случаем передаю всем спасибо, за то что мой доклад с БЕКОН 2024 стал самым популярным по просмотрам на YouTube и ВК ❤️
❤19👍9🥱8👎3🏆3❤🔥1🗿1
The head of the US Copyright Office has reportedly been fired, the day after agency concluded that builders of AI models use of copyrighted material went beyond existing doctrines of fair use.
The office’s opinion on fair use came in a draft of the third part of its report on copyright and artificial intelligence. The first part considered digital replicas and the second tackled whether it is possible to copyright the output of generative AI.
The office published the draft [PDF] of Part 3, which addresses the use of copyrighted works in the development of generative AI systems, on May 9th.
The draft notes that generative AI systems “draw on massive troves of data, including copyrighted works” and asks: “Do any of the acts involved require the copyright owners’ consent or compensation?”
. . .
Tech law professor Blake. E Reid described the report as “very bad news for the AI companies in litigation” and “A straight-ticket loss for the AI companies”.
Among the AI companies currently in litigation on copyright matters are Google, Meta, OpenAI, and Microsoft. All four made donations to Donald Trump’s inauguration fund.
US Copyright Office found AI companies sometimes breach copyright. Next day its boss was fired
https://www.theregister.com/2025/05/12/us_copyright_office_ai_copyright/
Бывает же такое СОВПАДЕНИЕ 🌝
> Reid looks prescient as the Trump administration reportedly fired the head of the Copyright Office, Shira Perlmutter, on Saturday.
В статье, конечно, куча политоты с набросами на Трампа, его администрацию и Маска в частности, но сама проблема с копирайтами и AI реально существует.
Сам PDF-отчёт в комменты закину
За наводку спасибо подписчику
👍9🔥3
Есть такое облако/платформа - fly.io. Сам я им не пользуюсь, но у меня в комментах я видел хорошие отзывы о нём.
Так вот я пока читал и разбирался чего и как там у них работает набрёл на прикольный пост о том как они у себя fly-proxy написанный на Rust чинили.
Если кратко, то на edge у них работает указанный выше fly-proxy, который роутит трафик в их сеть. И в какой-то момент они заметили, что он в какой-то момент резко начинает жрать ЦПУ.
Дальше начинаются разборки с дебагом и флейм графами.
В итоге выяснилось, что виновником оказалась работа со сторонним хранилищем: точнее совпадение по времени с их "типа" тестированием, а в зависимости был баг
Но выводы хорошие: знайте, понимайте и аккуратно обновляйте свои зависимости, иначе вам отстрелит ногу в самый неподходящий момент
Taming A Voracious Rust Proxy
https://fly.io/blog/taming-rust-proxy/
ЗЫ
Я когда увидел эту конструкцию заплакал 🌝
Так вот я пока читал и разбирался чего и как там у них работает набрёл на прикольный пост о том как они у себя fly-proxy написанный на Rust чинили.
Если кратко, то на edge у них работает указанный выше fly-proxy, который роутит трафик в их сеть. И в какой-то момент они заметили, что он в какой-то момент резко начинает жрать ЦПУ.
Дальше начинаются разборки с дебагом и флейм графами.
В итоге выяснилось, что виновником оказалась работа со сторонним хранилищем: точнее совпадение по времени с их "типа" тестированием, а в зависимости был баг
Our partners in object storage, Tigris Data, were conducting some kind of load testing exercise. Some aspect of their testing system triggered the TlsStream state machine bug, which locked up one or more TlsStreams in the edge proxy handling whatever corner-casey stream they were sending.
Tigris wasn’t generating a whole lot of traffic; tens of thousands of connections, tops. But all of them sent small HTTP bodies and then terminated early. We figured some of those connections errored out, and set up the “TLS CloseNotify happened before EOF” scenario.
Но выводы хорошие: знайте, понимайте и аккуратно обновляйте свои зависимости, иначе вам отстрелит ногу в самый неподходящий момент
Keep your dependencies updated. Unless you shouldn’t keep your dependencies updated. I mean, if there’s a vulnerability (and, technically, this was a DoS vulnerability), always update. And if there’s an important bugfix, update. But if there isn’t an important bugfix, updating for the hell of it might also destabilize your project? So update maybe? Most of the time?
Really, the truth of this is that keeping track of what needs to be updated is valuable work. The updates themselves are pretty fast and simple, but the process and testing infrastructure to confidently metabolize dependency updates is not.
Taming A Voracious Rust Proxy
https://fly.io/blog/taming-rust-proxy/
ЗЫ
Я когда увидел эту конструкцию заплакал 🌝
&mut fp_io::copy::Duplex<&mut fp_io::reusable_reader::ReusableReader<fp_tcp::peek::PeekableReader<tokio_rustls::server::TlsStream<fp_tcp_metered::MeteredIo<fp_tcp::peek::PeekableReader<fp_tcp::permitted::PermittedTcpStream>>>>>, connect::conn::Conn<tokio::net::tcp::stream::TcpStream>
😐16🤪14👍3🤔2🖕1🦄1
Давайте еще раз вспомним, что поможет нам убить хороший продукт.
- Не тестировать код
Тестирование — это для слабаков! Настоящие разработчики пишут код и надеются на лучшее
- Публиковать релизы в пятницу вечером
Никто не будет работать над исправлениями до понедельника, все хорошенько отдохнут! Суеверия для дураков
- Чрезмерная документация
Напишите столько документации, чтобы пользователи не поняли, зачем они пришли к вашему продукту, а тестировщики забыли что вообще нужно проверить
Пусть они потратят часы на чтение вместо проверки!
- Использовать устаревшие технологии
Зачем обновлять? Они работали когда-то, значит, будут работать и сейчас
- Игнорировать отзывы пользователей
Зачем слушать тех, кто использует продукт? Это ведь мы его сделали, значит знаем, что для них лучше
- Обвинять друг друга при любых проблемах на проекте
Потому что гораздо важнее найти крайнего, а не решить проблему
Методы убийства ИТ-продукта: мнение QA-инженера
https://habr.com/ru/companies/magnit/articles/908954/
Хороший пост, без откровений, в целом всё по делу, но глаз у меня зацепился за текст про Telegram
Например, Telegram — не лучшее решение для внутренней корпоративной коммуникации.
Существуют как очевидные проблемы:
- отсутствие SSO (логина через корпоративную учетку)
- слабые возможности по обеспечению безопасности
- невозможность централизованного поиска сотрудников по имени
Так и более тонкие, которые становятся заметны только с опытом:
- отсутствие поддержки внутренних ролей и тегов (команд, гильдий, лидов)
- невозможность задать единые стандарты наименования и организации чатов
- отсутствие глубоких интеграций с другими корпоративными сервисами
- слабая система прав доступа на создание и управление контентом
- неудобная работа с оргструктурой
- отсутствие из коробки набора полезных ботов и автоматизаций
Но, думаю, главный недостаток — невозможность эффективно доносить важную информацию до всей компании. В Telegram невозможно выстроить каналы массовой коммуникации так, чтобы они были одновременно централизованными, структурированными и не утопали в шуме. Универсальный чат на 100+ человек быстро становится бесполезным: уведомления сразу же отключают из-за флуда и хаоса. Результат — бесконечное размножение мелких групп, где каждый раз собирается новый состав и информация теряется. Какой выход? Только искать альтернативы привычному.
И это абсолютная правда. Что бы Телега стала реально рабочим инструментом её надо обмазывать корпоративными ботами, которые будут реализовывать
- Некое подобие SSO, когда бот контролирует кто и в каком чате имеет право находиться опираясь на БД сотрудников в какой-либо системе
- Интеграция с внутренними сервисами по нотификации, организации рабочих чатов, групп и т.д.
- Матчинг id-шников телеги на внутреннюю оргструктуру
- [тут идёт ещё много всякого]
Ввиду всего выше сказанного надо понимать, что боты в среднем под каждую организацию будут уникальные (если не самописные полностью, то форкнутые)
Видел сообщения по чатам, что в некоторых местах сотрудников заставляют использовать в Телеге не ники, а ФИО и ставить реальные фотографии на аватарки. Такое себе решение проблемы, конечно, но, видимо, ничего лучше не придумали.
Всё что я читал, слышал и видел про Телегу, как корпоративный мессенджер, нигде не работало без "изоленты" вокруг неё.
👍35💊5🖕2🤪1