Forwarded from Типичный Сисадмин
📉 Как вчера один SELECT * FROM уронил половину интернета.
Вышел официальный разбор вчерашнего падения. Случилась классика. Все началось с рутинного обновления прав доступа в кластере ClickHouse. Инженеры хотели как лучше, а получилось как всегда... была задача разграничить доступы к распределенным таблицам, но в итоге один-единственный запрос к системной таблице
В итоге конфигурационный файл для модуля Bot Management мгновенно распух в два раза. И тут в дело вступил жесткий хардкод. В коде прокси-сервера (написанном на Rust) стояло ограничение на 200 входных параметров, под которые заранее аллоцировалась память, видимо разрабы наивно полагали, что больше им никогда не понадобится😂 . Когда прилетел файл большего размера, Rust сделал то, что он делает, когда встречает необработанное исключение... он запаниковал. В логах это выглядит как эпичное 🤡
Еще забавно, что в первые часы даже CEO Cloudflare был уверен, что их атакует какой-то невиданный ранее ботнет. Паники добавило то, что даже их внешняя статус-страница (которая хостится отдельно) начала отдавать ошибки, что выглядело как спланированная атака по всем фронтам. Инженеры несколько часов гонялись за призраками DDoS-атаки, пока не поняли, что их собственные сервера просто падают в
Фиксили это дело в лучших традициях... вручную остановили раскатку обновления, подсунули старый (рабочий) файл конфигурации и начали перезагружать всю глобальную инфраструктуру. Полностью разгрести завалы и очереди сообщений удалось только к вечеру.
Cloudflare: «Helping to build a better Internet»😮
Типичный🥸 Сисадмин
Вышел официальный разбор вчерашнего падения. Случилась классика. Все началось с рутинного обновления прав доступа в кластере ClickHouse. Инженеры хотели как лучше, а получилось как всегда... была задача разграничить доступы к распределенным таблицам, но в итоге один-единственный запрос к системной таблице
system.columns начал возвращать дубликаты данных. Вместо того чтобы получить список входных параметров для системы защиты от ботов один раз, система получила их дважды (из основной базы и из внутреннего шарда r0).В итоге конфигурационный файл для модуля Bot Management мгновенно распух в два раза. И тут в дело вступил жесткий хардкод. В коде прокси-сервера (написанном на Rust) стояло ограничение на 200 входных параметров, под которые заранее аллоцировалась память, видимо разрабы наивно полагали, что больше им никогда не понадобится
thread fl2_worker_thread panicked: called Result::unwrap() on an Err value. То есть разработчики просто не предусмотрели обработку ошибки переполнения и пустили весь прод под откос Еще забавно, что в первые часы даже CEO Cloudflare был уверен, что их атакует какой-то невиданный ранее ботнет. Паники добавило то, что даже их внешняя статус-страница (которая хостится отдельно) начала отдавать ошибки, что выглядело как спланированная атака по всем фронтам. Инженеры несколько часов гонялись за призраками DDoS-атаки, пока не поняли, что их собственные сервера просто падают в
kernel panic от своего же конфига.Фиксили это дело в лучших традициях... вручную остановили раскатку обновления, подсунули старый (рабочий) файл конфигурации и начали перезагружать всю глобальную инфраструктуру. Полностью разгрести завалы и очереди сообщений удалось только к вечеру.
Cloudflare: «Helping to build a better Internet»
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
😁49🤔4🌚2🔥1
Forwarded from Хирон
Большинство окончательно зациклилось на промтах
В то же время сильные личности совершают эволюционный скачок в жизни и бизнесе, используя более системный подход
Подробно об этом сквозь призму реальной практики и личных инсайтов:
🔐 «Создание устойчивого преимущества в любой сфере с помощью ChatGPT и ИИ»
P.S.Доступ к статье бесплатный, но открыт до 7 декабря - успейте зафиксировать ключевые тезисы ✍️
В то же время сильные личности совершают эволюционный скачок в жизни и бизнесе, используя более системный подход
Подробно об этом сквозь призму реальной практики и личных инсайтов:
🔐 «Создание устойчивого преимущества в любой сфере с помощью ChatGPT и ИИ»
P.S.
🤣10🔥6👍1🌚1
Когда открытый код начинает жрать своего хозяина изнутри
Аспирантка из Эдинбурга Миранда Хит разобрала 57 историй полного выгорания мейнтейнеров open-source, перелопатила интервью и почтовые рассылки и выдала финальный список из шести причин, почему люди, которые буквально держат на себе весь интернет, тихо ненавидят свою жизнь.
1. Денег нет и никогда не будет
60 % сопровождающих работают бесплатно. Проект становится популярным, после чего баг-репорты и ишью сыплются тоннами. Человек сидит ночами, потому что «надо», а потом понимает, что крупные корпорации на его коде делают миллиарды и даже не говорят «спасибо».
2. Появились деньги → появились новые проблемы
Когда находишь спонсора, то часть комьюнити сразу записывает тебя в предателей и «продажную шкуру». Плюс теперь ты боишься, что завтра спонсор попросит запилить бэкдор или закрыть ишью «потому что нам неудобно».
3. Токсичные пользователи, которым ты «должен»
«Почему до сих пор нет фича-нейм?», «Ты что, дурак, это же баг!!!1», «Исправь быстрее, у меня завтра презентация». И ты всё это читаешь и отвечаешь «спасибо за фидбек, посмотрю в ближайшее время» 🤡
4. Гиперответственность и неспособность сказать «нет»
Люди чувствуют себя лично виноватыми, если где-то в мире кто-то не может собрать пакет. В итоге берут на себя всё: поддержку, ревью, документацию, модерацию — и тонут.
5. Рутина съедает всю радость
Хочешь писать код, а вместо этого три часа в день отвечаешь на «не работает» и «а когда будет?».
6. GitHub-метрики и вечная гонка за звёздами
Нужно постоянно доказывать, что ты не зря ешь хлеб: больше коммитов, больше форков, больше стикеров на ноутбуке. Репутация стала KPI, а выгорание — побочным эффектом.
Как итог, 73 % разработчиков open-source уже проходили через выгорание, 60 % мейнтейнеров в 2024-м думали бросить всё к чертям. Оставшиеся просто переходят в режим «поддерживаю по остаточному принципу» и игнорируют критичные уязвимости, потому что сил нет.
Что может изменить ситуацию по мнению исследования:
▪️ Регулярная и предсказуемая оплата
▪️ Культура «спасибо, ты крут» вместо культуры «ты мне должен»
▪️ Наставничество, чтобы не тащить всё в одиночку
▪️ Защита мейнтейнеров от токсиков (баны, модерация, публичные порицания такого поведения)
Берегите мейнтейнеров, пока мы не остались с одним большим CVE вместо инфраструктуры❤️
Linux / Линукс🥸
Аспирантка из Эдинбурга Миранда Хит разобрала 57 историй полного выгорания мейнтейнеров open-source, перелопатила интервью и почтовые рассылки и выдала финальный список из шести причин, почему люди, которые буквально держат на себе весь интернет, тихо ненавидят свою жизнь.
1. Денег нет и никогда не будет
60 % сопровождающих работают бесплатно. Проект становится популярным, после чего баг-репорты и ишью сыплются тоннами. Человек сидит ночами, потому что «надо», а потом понимает, что крупные корпорации на его коде делают миллиарды и даже не говорят «спасибо».
2. Появились деньги → появились новые проблемы
Когда находишь спонсора, то часть комьюнити сразу записывает тебя в предателей и «продажную шкуру». Плюс теперь ты боишься, что завтра спонсор попросит запилить бэкдор или закрыть ишью «потому что нам неудобно».
3. Токсичные пользователи, которым ты «должен»
«Почему до сих пор нет фича-нейм?», «Ты что, дурак, это же баг!!!1», «Исправь быстрее, у меня завтра презентация». И ты всё это читаешь и отвечаешь «спасибо за фидбек, посмотрю в ближайшее время» 🤡
4. Гиперответственность и неспособность сказать «нет»
Люди чувствуют себя лично виноватыми, если где-то в мире кто-то не может собрать пакет. В итоге берут на себя всё: поддержку, ревью, документацию, модерацию — и тонут.
5. Рутина съедает всю радость
Хочешь писать код, а вместо этого три часа в день отвечаешь на «не работает» и «а когда будет?».
6. GitHub-метрики и вечная гонка за звёздами
Нужно постоянно доказывать, что ты не зря ешь хлеб: больше коммитов, больше форков, больше стикеров на ноутбуке. Репутация стала KPI, а выгорание — побочным эффектом.
Как итог, 73 % разработчиков open-source уже проходили через выгорание, 60 % мейнтейнеров в 2024-м думали бросить всё к чертям. Оставшиеся просто переходят в режим «поддерживаю по остаточному принципу» и игнорируют критичные уязвимости, потому что сил нет.
Что может изменить ситуацию по мнению исследования:
▪️ Регулярная и предсказуемая оплата
▪️ Культура «спасибо, ты крут» вместо культуры «ты мне должен»
▪️ Наставничество, чтобы не тащить всё в одиночку
▪️ Защита мейнтейнеров от токсиков (баны, модерация, публичные порицания такого поведения)
Берегите мейнтейнеров, пока мы не остались с одним большим CVE вместо инфраструктуры
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
❤51😢15🫡8💔4🔥3
Please open Telegram to view this post
VIEW IN TELEGRAM
👍39😁16🔥5🌚2
Миллион беглецов с Windows перешли на Zorin OS 18
Zorin OS 18 ориентирована на начинающих пользователей, привыкших работать в Windows. Разработчики сообщили, выпуск от 15 октября преодолел рубеж в миллион загрузок, что побило все прошлые рекорды проекта, а 78% от всех загрузок выполнены пользователями Windows.
Параллельно команда Zorin анонсировала тестовую, но уже работающую функцию бесшовного обновления. Теперь пользователи Zorin OS 17.x могут обновиться до 18-й версии без полной переустановки, с сохранением всех файлов, настроек и приложений. Функцию пока выкатывают осторожно, но через несколько недель обещают объявить ее стабильной.
Linux / Линукс🥸
Zorin OS 18 ориентирована на начинающих пользователей, привыкших работать в Windows. Разработчики сообщили, выпуск от 15 октября преодолел рубеж в миллион загрузок, что побило все прошлые рекорды проекта, а 78% от всех загрузок выполнены пользователями Windows.
Параллельно команда Zorin анонсировала тестовую, но уже работающую функцию бесшовного обновления. Теперь пользователи Zorin OS 17.x могут обновиться до 18-й версии без полной переустановки, с сохранением всех файлов, настроек и приложений. Функцию пока выкатывают осторожно, но через несколько недель обещают объявить ее стабильной.
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍30❤5🤣4
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
😁34🤬32👍10☃2🎅1
Forwarded from Типичный Сисадмин
Госдума в финальном чтении утвердила введение технологического сбора (поправки в закон «О промышленной политике»). С 1 сентября 2026 года за ввоз или производство любой продукции, содержащей электронную компонентную базу, придется заносить в бюджет дополнительные деньги. Платить будут все... импортеры, юрлица, ИП и даже отечественные производители, ради поддержки которых это вроде бы как и затевалось.
В самом документе есть пара волнительных нюансов. Во-первых, сбор уплачивается за каждую единицу продукции, а ставки будут установлены в фиксированных ценовых значениях (рубли за штуку), а не в процентах. Максимальная планка 5000 рублей за единицу. Звучит терпимо для сервера за миллион, но если Минпромторг решит брать фиксированные 100 рублей за каждый ввезенный контроллер или датчик, стоимость бюджетной электроники может улететь в стратосферу
Во-вторых, сбор касается не только чипов, но и промышленной продукции, содержащей электронные модули. То есть под раздачу попадают станки, автомобили и любое оборудование сложнее лома. А чтобы нефтяники на буровых платформах не расслаблялись.... в законе отдельно прописано, что платить придется даже за производство на континентальном шельфе и в исключительной экономической зоне. Не спрятаться даже в море 🌊
Минфин уже планирует собрать 218 миллиардов рублей к 2028 году. Эти средства обещают направить на развитие отрасли. Внедрять сбор будут поэтапно, но любой, кто закупал железо в корпоративный сектор, понимает, что дистрибьюторы заложат в цену не только сам сбор, но и риски, и расходы на администрирование. О ценах на железо даже и думать не хочется...
- Почему этот сервер стоит как однушка в Москве?
- Там внутри 2000 компонентов😱
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🤬22😁15🤔5❤4
Когда проектировали эту Вселенную, просто сделали
Linux / Линукс🥸
git clone debian-universe.git и забыли поменять дефолтный логотип в ассетах.Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚39🔥14💯4😁3
В GRUB2 нашли шесть дыр ломающих UEFI Secure Boot
Вышел масштабный набор патчей для загрузчика GRUB2. Большинство уязвимостей это классические use-after-free, но на этот раз они позволяют обойти главный защитный механизм UEFI Secure Boot. По сути, это возможность выполнить свой код после того, как цепочка доверия уже прошла проверку, но до загрузки самой ОС.
Дело в том, что просто обновить пакет grub недостаточно. Дистрибутивам нужно перевыпустить и переподписать кучу артефактов инсталляторы загрузчики пакеты с ядром прошивки fwupd и shim-прослойку.
▪️CVE-2025-61661: Баг в обработке строк с USB-устройств. GRUB выделял буфер на основе первого сообщения от устройства, а потом при преобразовании кодировки использовал данные из последующих. Подсунув специальное USB-устройство, можно было выйти за границы буфера.
▪️ CVE-2025-61663, -61664, -54770, -61662: Целая пачка use-after-free в командах
▪️ CVE-2025-54771: Ошибка в подсчете ссылок на файловые структуры в
Ситуация особенно опасна из-за роли GRUB2 в процессе безопасной загрузки. Большинство дистрибутивов используют прослойку shim, подписанную Microsoft, которая проверяет подпись самого загрузчика. Уязвимости GRUB2 позволяют злоумышленнику вклиниться в процесс после успешной проверки подписи, но до загрузки ядра. Результатом становится полный контроль над загрузкой, что позволяет подменить операционную систему или модифицировать ее компоненты.
Для блокирования уязвимостей без отзыва корневых сертификатов дистрибутивы могут использовать механизм SBAT. Этот подход предполагает добавление в исполняемые файлы метаданных о версии компонента. Он позволяет заблокировать уязвимые версии загрузчика путем выпуска новых подписей без необходимости обновлять гигантские списки отозванных сертификатов.
Админам стоит ожидать периода активных обновлений. Пока исправления не будут полностью развернуты, остается надеяться, что злоумышленники не воспользуются уязвимостями на критически важных системах 🤷♂️
Linux / Линукс🥸
Вышел масштабный набор патчей для загрузчика GRUB2. Большинство уязвимостей это классические use-after-free, но на этот раз они позволяют обойти главный защитный механизм UEFI Secure Boot. По сути, это возможность выполнить свой код после того, как цепочка доверия уже прошла проверку, но до загрузки самой ОС.
Дело в том, что просто обновить пакет grub недостаточно. Дистрибутивам нужно перевыпустить и переподписать кучу артефактов инсталляторы загрузчики пакеты с ядром прошивки fwupd и shim-прослойку.
▪️CVE-2025-61661: Баг в обработке строк с USB-устройств. GRUB выделял буфер на основе первого сообщения от устройства, а потом при преобразовании кодировки использовал данные из последующих. Подсунув специальное USB-устройство, можно было выйти за границы буфера.
▪️ CVE-2025-61663, -61664, -54770, -61662: Целая пачка use-after-free в командах
normal, net_set_vlan и gettext. Проблема в том, что обработчики команд не очищались при выгрузке модулей. Если выполнить такую команду после выгрузки модуля, то можно получить доступ к уже освобожденной памяти. Похожие баги нашли и в тестовых командах, но им CVE не дали.▪️ CVE-2025-54771: Ошибка в подсчете ссылок на файловые структуры в
grub_file_close(), что снова приводит к use-after-free.Ситуация особенно опасна из-за роли GRUB2 в процессе безопасной загрузки. Большинство дистрибутивов используют прослойку shim, подписанную Microsoft, которая проверяет подпись самого загрузчика. Уязвимости GRUB2 позволяют злоумышленнику вклиниться в процесс после успешной проверки подписи, но до загрузки ядра. Результатом становится полный контроль над загрузкой, что позволяет подменить операционную систему или модифицировать ее компоненты.
Для блокирования уязвимостей без отзыва корневых сертификатов дистрибутивы могут использовать механизм SBAT. Этот подход предполагает добавление в исполняемые файлы метаданных о версии компонента. Он позволяет заблокировать уязвимые версии загрузчика путем выпуска новых подписей без необходимости обновлять гигантские списки отозванных сертификатов.
Админам стоит ожидать периода активных обновлений. Пока исправления не будут полностью развернуты, остается надеяться, что злоумышленники не воспользуются уязвимостями на критически важных системах 🤷♂️
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
❤14🤣7👍5🔥2🌚1