Про статический анализатор конфигов Nginx от Яндекс (https://github.com/yandex/gixy) я пару раз упоминал у себя на канале, но уже давненько

2019
https://xn--r1a.website/tech_b0lt_Genona/890

2021
https://xn--r1a.website/tech_b0lt_Genona/2529

Это хороший инструмент, но он несколько лет уже не развивается.

Есть форк, который развивается и поддерживается
https://github.com/dvershinin/gixy
https://pypi.org/project/gixy-ng/

Но есть ещё один форк
https://github.com/MegaManSec/Gixy-Next

И мотивация его появления интересна

> After some time, the maintainer of gixy-ng began to commit AI-generated changes to the codebase which introduced obvious regressions, broke critical behavior of the tool (which anybody using the tool would have picked up), added random AI-tooling artifacts, and introduced code which simply did not do what it was supposed to do. Most importantly, the maintainer also added marketing for their business to all documentation, all output, and all source code of gixy-ng.

Вот два поста в блоге автора Gixy-Next по этому поводу

Gixy-Next: an overview of a Gixy fork with updated, improved, and new checks
https://joshua.hu/gixy-ng-new-version-gixy-updated-checks

From gixy-ng to Gixy-Next: rescuing Gixy from AI slop
https://joshua.hu/gixy-ng-ai-slop-gixy-next-maintained

Gixy-Next поддерживает следующие проверки

- [add_header_content_type] Setting Content-Type via add_header
- [add_header_multiline] Multiline response headers
- [add_header_redefinition] Redefining of response headers by "add_header" directive
- [alias_traversal] Path traversal via misconfigured alias
- [allow_without_deny] Allow specified without deny
- [default_server_flag] Missing default_server flag
- [error_log_off] error_log set to off
- [hash_without_default] Missing default in hash blocks
- [host_spoofing] Request's Host header forgery
- [http_splitting] HTTP Response Splitting
- [if_is_evil] If is evil when used in location context
- [invalid_regex] Invalid regex capture groups
- [low_keepalive_requests] Low keepalive_requests
- [merge_slashes_on] Enabling merge_slashes
- [missing_worker_processes] Missing worker_processes
- [origins] Problems with referer/origin header validation
- [proxy_buffering_off] Disabling proxy_buffering
- [proxy_pass_normalized] proxy_pass path normalization issues
- [regex_redos] Regular expression denial of service (ReDoS)
- [resolver_external] Using external DNS nameservers
- [return_bypasses_allow_deny] Return directive bypasses allow/deny restrictions
- [ssrf] Server Side Request Forgery
- [stale_dns_cache] Outdated/stale cached DNS records used in proxy_pass
- [try_files_is_evil_too] try_files directive is evil without open_file_cache
- [unanchored_regex] Unanchored regular expressions
- [valid_referers] none in valid_referers
- [version_disclosure] Using insecure values for server_tokens
- [worker_rlimit_nofile_vs_connections] worker_rlimit_nofile must be at least twice worker_connections

Как и много лет назад я рекомендую к использованию такие инструменты.

Если вы переживаете, что как-то не так катите релизы, то не переживайте, а просто почитайте пост от NodeJS про security обновление от декабря 2025

https://nodejs.org/en/blog/vulnerability/december-2025-security-releases

UPD страницу обновили, поэтому вот ссылка на WebArchive
http://web.archive.org/web/20260109134345/https://nodejs.org/en/blog/vulnerability/december-2025-security-releases

У нас них есть 3 high issue, которые должны были закрыть 15 декабря

The Node.js project will release new versions of the 25.x, 24.x, 22.x, 20.x releases lines on or shortly after, Monday, December 15, 2025 in order to address:

3 high severity issues.
1 low severity issue.
1 medium severity issue.

15 декабря выходит обновление поста

The team is still working on a particularly challenging patch, for this reason the release is being postponed to Thursday, December 18th or shortly after.

17 декабря обновления NodeJS не вышло, но вышло обновление поста "всем удачи мы отдыхать"

(Update 17-Dec-2025) Security Release target January 7th

We have decided to delay the release further to Wednesday, January 7th, 2026. Many of the downstream projects and users are on holiday break at the end of the year, and the security release will disclose the vulnerabilities being fixed as soon as the patches are available.

Вышло ли обновление 7 января, как нам говорили? Нет 🌝

Our team decided to postpone the release to Thursday, January 8th, 2026, due to complications in the Node.js testing CI.

8 января тоже ничего не появилось, теперь ждём 13 января

(Update 08-Jan-2026) Security Release postponed to January 13th

Our team has decided to postpone the release to Tuesday, January 13th, 2026. This additional time will allow us to properly test all backports and re-run CITGM to ensure the highest quality for our users. Additionally, releasing on Tuesday rather than Friday helps ensure that security updates are available during regular business hours across all time zones, particularly for our users in the Asia-Pacific region.

Я ажно пасту за 300 родил по мотивам поста

У нас было 3 high severity issues, 1 medium severity issue, 1 low severity issue и большое желание их закрыть 15 декабря 2025 года. Не то что бы нам необходимо было скипнуть выпуск этого патча. Но если начал скипать, становится трудно остановиться. То что вызывало у меня опасение - это отпуска. Нет ничего более беспомощного, безответственного и испорченного, чем отпуска сотрудников. Я знал, что рано или поздно мы перейдем и на эту дрянь.

Спасибо подписчику за наводку.

Роскомнадзор выявил у 33 операторов нарушения правил установки ТСПУ
https://rkn.gov.ru/press/news/news74975.htm

Протоколы составляются в отношении операторов, нарушающих требования по пропуску интернет-трафика через технические средства противодействия угрозам (ТСПУ).

За нарушения предусмотрены штрафы: для сотрудников – на сумму от 30 до 50 тыс. рублей, для индивидуальных предпринимателей – от 50 до 100 тыс. рублей, для компании – от 500 тыс. до 1 млн рублей. При повторном нарушении штрафы для юрлиц возрастают до 3–5 млн рублей.

За повторный пропуск трафика в обход ТСПУ должностным лицам и предпринимателям грозит уголовная ответственность по статье 274.2 УК РФ до трех лет лишения свободы.

Спасибо

Надо ещё запретить стримерам уезжать, что бы они не жаловались на безопасный интернет, а делали его лучше.

Помните как Python Software Foundation отказалась от гранта в полтора миллиона долларов?

https://xn--r1a.website/tech_b0lt_Genona/5821

В итоге им подсобил Anthropic, который выделил те же полтора ляма

Anthropic invests $1.5 million in the Python Software Foundation and open source security
https://pyfound.blogspot.com/2025/12/anthropic-invests-in-python.html

Использовать их будут для CPython, сесурити и инфраструктуры

> This investment will enable the PSF to make crucial security advances to CPython and the Python Package Index (PyPI) benefiting all users, and it will also sustain the foundation’s core work supporting the Python language, ecosystem, and global community.

Из интересного, что хотят проверять проактивную защиту, т.е. сначала проверять пакеты, а только потом делать их публичными

> Planned projects include creating new tools for automated proactive review of all packages uploaded to PyPI, improving on the current process of reactive-only review. We intend to create a new dataset of known malware that will allow us to design these novel tools, relying on capability analysis. One of the advantages of this project is that we expect the outputs we develop to be transferable to all open source package repositories.

А ещё собрали 500 тыщ через донаты!

!!!!!! YOU DID IT- you helped us raise over ✨$500k✨ to support #PythonForEveryone 🥹🤯 We are astonished and deeply committed to making every dollar count.

https://fosstodon.org/@ThePSF/115854323204938524

tl;dr

Касательно поста на форуме про утечку MAX'а и, соответственно, новостей про этот пост. Никакой утечки в MAX не было.

Инструментарий для удаления избыточной функциональности из Chrome, Edge и Firefox
https://www.opennet.ru/opennews/art.shtml?num=64609

Представлен проект Just the Browser, подготовивший инструментарий для проведения чистки браузеров от излишней функциональности, напрямую не связанной с навигацией в Web. Проект предоставляет скрипты для изменения конфигурации Google Chrome, Microsoft Edge и Mozilla Firefox, и отключения в них сопутствующих возможностей, часто раздражающих пользователей, таких как работа с AI-сервисами, интеграция со сторонними продуктами, отправка телеметрии и показ рекомендованного контента на странице открытия новой вкладки. Код инструментария написан на Shell и распространяется под лицензией MIT.

Заявлено об удалении инструментарием следующих возможностей:

- Функциональность, связанная с генеративными AI-моделями и взаимодействия с AI-сервисами (как локальными, так и облачными), например, интеграция Copilot в Edge и использование AI для рекомендации группировки вкладок в Firefox.
Инструменты для шопинга, такие как отслеживание цен в интернет-магазинах и получение купонов.

- Показ стороннего или спонсируемого содержимого, например, рекламные рекомендации сайтов в адресной строке и показ статей при открытии новой вкладки.

- Типовые напоминания, такие как всплывающие окна с предложением изменить выбор браузера по умолчанию.
Запросы, показываемые при первом запуске, такие как экран приветствия первого запуска и предложения импортировать данные из других браузеров.

- Сбор и отправка телеметрии.

- Опции автозапуска, позволяющие автоматически открывать браузер после загрузки операционной системы.

Оригинал
Just the Browser
https://justthebrowser.com/

https://github.com/corbindavenport/just-the-browser

Те кто меня знают, то так же знают что я люблю выступать на конференциях, митапах и участвовать в разных мероприятиях вне Москвы и Санкт-Петербурга.

Собственно так я посетил за последнее время Нижний Новгород, Ульяновск, Пермь и Орёл.

А вот в Екатеринбурге не был ни разу. Ещё в 2024-2025 я хотел податься на DUMР (https://dump-ekb.ru/), который и в Екб проводится, но всё никак не складывалось.

В этом году они завезли новый трек AppSec и я решил, что это знак!

В общем подался со своим докладом (и вы тоже подавайтесь 🌝), поэтому, если его примут, то можно будет пересечься в апреле в Екатеринбурге.

4:19

Гражданам не стоит беспокоиться за судьбу мессенджера Telegram в России – полная блокировка платформы не ожидается. Об этом сообщил зампред комитета Госдумы по информационной политике, информационным технологиям и связи Андрей Свинцов.

"Считаю, что Telegram достаточно эффективно взаимодействует с правительствами большинства стран мира, в том числе и с Россией. Поэтому за судьбу Telegram, я думаю, что можно не беспокоиться", – приводит ТАСС слова парламентария.

https://www.m24.ru/news/politika/16012026/864202

4:20

Роскомнадзор частично блокирует Telegram, об этом «Москва 24» сообщил источник на телеком-рынке. В новом году пользователи жалуются на медленную загрузку видео в мессенджер.

Да, это новые ограничения со стороны РКН, — уточнил источник

https://xn--r1a.website/infomoscow24/104004

Спасибо

Антон (@itpgchannel) в конце прошлого года героически решил пересобирать Java с целью бутстрапа. И в целом ему это удалось

https://xn--r1a.website/itpgchannel/3692
https://xn--r1a.website/itpgchannel/3704

но на одном из этапов поймал вот такую ошибку

Error: time is more than 10 years from present: 1420063200000
java.lang.RuntimeException: time is more than 10 years from present: 1420063200000

https://xn--r1a.website/itpgchannel/3666

Я хотел про неё написать сразу, но из-за проблем с Телегой (https://xn--r1a.website/tech_b0lt_Genona/5942) пост этот отложился на сейчас.

Я такую ошибку ловил сам, когда собирал Java под ReactOS, но тогда я забил и просто выкинул эту проверку из кода.

А тут Антон задался вопросом
> Сука, почему вообще кого-то ебет, насколько старый файл участвует в сборке?!?

Для начала разберёмся вообще зачем это ограничение существует.

Есть стандарт ISO 4217, который отвечает за коды валют (в том числе и устаревшие). Сам он платный, но вот тут можно бесплатно получить "выжимку"
https://www.six-group.com/en/products-services/financial-information/market-reference-data/data-standards.html#scrollTo=currency-codes

И вот разработчики Java решили, что было бы неплохо не связываться с валютами вышедшими из обращения и не грузить в "рантайм" устаревшее, поэтому эта проверка и есть.

Исходя из информации выше логично и понятно теперь почему эта проверка лежит в файле GenerateCurrencyData.java

hg clone http://hg.openjdk.java.net/jdk6/jdk6 openjdk6 && cd openjdk6 && sh ./get_source.sh

$ hg log ./make/tools/src/build/tools/generatecurrencydata/GenerateCurrencyData.java
changeset:   974:4fa5032c91be
user:        yhuang
date:        Fri Jan 02 16:35:52 2015 +0000
summary:     7066203: Update currency data to the latest ISO 4217 standard

А сам код такой

    long time = format.parse(timeString).getTime();
    if (Math.abs(time - System.currentTimeMillis()) > ((long) 10) * 365 * 24 * 60 * 60 * 1000) {
        throw new RuntimeException("time is more than 10 years from present: " + time);
    }

По результатам работы этой "механики" создаются properties-файлы, выглядят они приблизительно так

diff -r 95999a031f69 -r 4fa5032c91be src/share/classes/sun/util/resources/CurrencyNames.properties
--- a/src/share/classes/sun/util/resources/CurrencyNames.properties     Fri Jan 02 15:40:43 2015 +0000
+++ b/src/share/classes/sun/util/resources/CurrencyNames.properties     Fri Jan 02 16:35:52 2015 +0000
@@ -106,6 +106,7 @@
 COP=COP
 CRC=CRC
 CSD=CSD
+CUC=CUC
 CUP=CUP
 CVE=CVE
 CYP=CYP
@@ -232,6 +233,7 @@
 THB=THB
 TJS=TJS
 TMM=TMM
+TMT=TMT
 TND=TND

В Jira OpenJDK есть issue (в мае 2024 выпилили из JDK8)
Remove 10 year old transition check in GenerateCurrencyData tool
https://bugs.openjdk.org/browse/JDK-8332085
https://github.com/openjdk/jdk8u-ri/pull/17

Ну и старое обсуждение в OpenJDK
https://mail.openjdk.org/pipermail/jdk7u-dev/2016-June/010559.html

В 2014 в NixOS и поставили 20 лет 🌝
https://github.com/NixOS/nixpkgs/commit/9b81769950b6d0221643c7b0758d894f7742a62a

Вот обсуждение в Guix из 2024 (там просто закомментили эту проверку)
Time bomb in icedtea/openjdk
https://issues.guix.gnu.org/68333

Gentoo
dev-java/icedtea-7.2.5.3: does not compile
https://bugs.gentoo.org/534118

NetBSD
Compiling OpenJDK compile error
https://mail-index.netbsd.org/pkgsrc-users/2014/12/30/msg020843.html

Debian
https://lists.debian.org/debian-lts/2015/01/msg00018.html

FreeBSD
Error: time is more than 10 years from present: 1104530400000 when building java/openjdk*
https://lists.freebsd.org/pipermail/freebsd-java/2014-December/011035.html

Короче, проблем это принесло и вопрос "Нахуя, а главное зачем это было сделано таким образом?" остался.

Уязвимость в Android-прошивке, позволяющая выполнить код через отправку сообщения
https://www.opennet.ru/opennews/art.shtml?num=64632

Исследователи из команды Google Project Zero подробно разобрали технику создания рабочего эксплоита, позволяющего удалённо выполнить свой код с правами ядра Linux, через отправку SMS- или RCS-сообщения со специально оформленным звуковым вложением. Атака осуществляется без выполнения каких-либо действий пользователем, в том числе не требует просмотра или прослушивания полученного сообщения.

В эксплоите задействованы две уязвимости: в библиотеке Dolby Unified Decoder (CVE-2025-54957) и драйвере bigwave для ядра Linux (CVE-2025-36934). Ранее для эксплуатации уязвимостей в кодеках было необходимо, чтобы пользователь прослушал или просмотрел полученный вредоносный контент. После интеграции AI-помощников в последних выпусках Android-прошивок полученный мультимедийный контент автоматически декодируется после получения, что существенно увеличивает поверхность атак, не требующих действий от пользователя (0-click). В контексте звуковых SMS- и RCS-сообщений, приложение Google Messages при помощи сервиса com.google.android.tts автоматически формирует транскрипцию для применения к звуковым сообщениям текстового поиска, что позволяет без участия пользователя эксплуатаировать уязвимости в имеющихся звуковых кодеках.

Проблема в Dolby Unified Decoder вызвана целочисленным переполнением при расчёте размера буфера под обрабатываемые структуры данных syncframe, что может использоваться для записи за пределы выделенного буфера. В результате переполнения может быть перезаписан указатель, используемый при обработке следующего синхронизирующего кадра, изменение которого, в свою очередь, позволяет перезаписать контролируемыми атакующим данными указатель на функцию и организовать выполнение своего кода с правами "mediacodec", ограниченными через SELinux.

Оригинал
A 0-click exploit chain for the Pixel 9 Part 1: Decoding Dolby
https://projectzero.google/2026/01/pixel-0-click-part-1.html

> После интеграции AI-помощников в последних выпусках Android-прошивок

Я просто напомню, что надо пользоваться правильными устройствами 🌝

https://xn--r1a.website/tech_b0lt_Genona/5442
https://xn--r1a.website/tech_b0lt_Genona/5815