Forwarded from Организованное программирование | Кирилл Мокевнин (Кирилл Мокевнин (Бот))
Мы поговорили с Алексеем Рыбаком о том, как в Рунете зарождались и развивались высокие нагрузки: от первых новостных сайтов до больших социальных проектов.
Выпуск полон практических советов и инсайтов для разработчиков и тимлидов.
https://www.youtube.com/watch?v=hU1VOEcU7Ig
Альтернативные платформы: ВК Видео | Аудио
https://www.youtube.com/watch?v=hU1VOEcU7Ig
Выпуск полон практических советов и инсайтов для разработчиков и тимлидов.
https://www.youtube.com/watch?v=hU1VOEcU7Ig
Альтернативные платформы: ВК Видео | Аудио
https://www.youtube.com/watch?v=hU1VOEcU7Ig
YouTube
Высокие нагрузки 2025: топ трендов, которые меняют правила игры | Алексей Рыбак | #34
В этом выпуске мы поговорили с Алексеем Рыбаком о том, как в Рунете зарождались и развивались высокие нагрузки: от первых новостных сайтов до больших социальных проектов. Разобрали, почему именно связка Nginx и Memcached стала стандартным инструментом, помогая…
👍2🔥2
В Японии в вендинговом автомате Gachapon можно купить игрушечные 19’' стойки в комплекте с симпатичными мини‑серверами Dell PowerEdge, а также с коммутаторами Cisco и A10. Стоимость такого конструктора составляет $3,5.
😍42😁10🔥5🤷♂1👌1🤡1🤣1
Forwarded from Cult Of Wire
Critical Ingress NGINX Controller Vulnerability Allows RCE Without Authentication
Начните своё утро с чашки крепкого CVSS 9.8 в Ingress NGINX Controller для Kubernetes.
Набор уязвимостей (CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 и CVE-2025-1974) получил общее кодовое название IngressNightmare. Стоит отметить, что эти недостатки не затрагивают NGINX Ingress Controller, который является еще одной реализацией контроллера Ingress для NGINX и NGINX Plus.
Коротко о уязвимостях:
- CVE-2025-24513 (CVSS: 4,8) — уязвимость, связанная с неправильной проверкой входных данных, которая может привести к directory traversal внутри контейнера, что приведет к отказу в обслуживании (DoS) или ограниченному раскрытию секретных объектов из кластера в сочетании с другими уязвимостями.
- CVE-2025-24514 (CVSS: 8,8) — аннотация Ingress auth-url может использоваться для внедрения конфигурации в NGINX, что приводит к выполнению произвольного кода в контексте контроллера ingress-nginx и раскрытию секретов, доступных контроллеру.
- CVE-2025-1097 (CVSS: 8,8) — аннотация Ingress auth-tls-match-cn может использоваться для внедрения конфигурации в NGINX, что приводит к выполнению произвольного кода в контексте контроллера ingress-nginx и раскрытию секретов, доступных контроллеру.
- CVE-2025-1098 (CVSS: 8,8) — аннотации Mirror-Target и Mirror-Host Ingress могут использоваться для внедрения произвольной конфигурации в NGINX, что приводит к выполнению произвольного кода в контексте контроллера Ingress-nginx и раскрытию секретов, доступных контроллеру.
- CVE-2025-1974 (CVSS: 9,8) — неаутентифицированный злоумышленник, имеющий доступ к сети модулей, может выполнить произвольный код в контексте контроллера ingress-nginx при определенных условиях.
Wiz выпустили детальную статью IngressNightmare: 9.8 Critical Unauthenticated Remote Code Execution Vulnerabilities in Ingress NGINX с подробным описанием работы уязвимости, а так же процессом детекта и митигации.
Начните своё утро с чашки крепкого CVSS 9.8 в Ingress NGINX Controller для Kubernetes.
Набор уязвимостей (CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 и CVE-2025-1974) получил общее кодовое название IngressNightmare. Стоит отметить, что эти недостатки не затрагивают NGINX Ingress Controller, который является еще одной реализацией контроллера Ingress для NGINX и NGINX Plus.
Коротко о уязвимостях:
- CVE-2025-24513 (CVSS: 4,8) — уязвимость, связанная с неправильной проверкой входных данных, которая может привести к directory traversal внутри контейнера, что приведет к отказу в обслуживании (DoS) или ограниченному раскрытию секретных объектов из кластера в сочетании с другими уязвимостями.
- CVE-2025-24514 (CVSS: 8,8) — аннотация Ingress auth-url может использоваться для внедрения конфигурации в NGINX, что приводит к выполнению произвольного кода в контексте контроллера ingress-nginx и раскрытию секретов, доступных контроллеру.
- CVE-2025-1097 (CVSS: 8,8) — аннотация Ingress auth-tls-match-cn может использоваться для внедрения конфигурации в NGINX, что приводит к выполнению произвольного кода в контексте контроллера ingress-nginx и раскрытию секретов, доступных контроллеру.
- CVE-2025-1098 (CVSS: 8,8) — аннотации Mirror-Target и Mirror-Host Ingress могут использоваться для внедрения произвольной конфигурации в NGINX, что приводит к выполнению произвольного кода в контексте контроллера Ingress-nginx и раскрытию секретов, доступных контроллеру.
- CVE-2025-1974 (CVSS: 9,8) — неаутентифицированный злоумышленник, имеющий доступ к сети модулей, может выполнить произвольный код в контексте контроллера ingress-nginx при определенных условиях.
Wiz выпустили детальную статью IngressNightmare: 9.8 Critical Unauthenticated Remote Code Execution Vulnerabilities in Ingress NGINX с подробным описанием работы уязвимости, а так же процессом детекта и митигации.
wiz.io
CVE-2025-1974: The IngressNightmare in Kubernetes | Wiz Blog
Wiz Research uncovered RCE vulnerabilities (CVE-2025-1097, 1098, 24514, 1974) in Ingress NGINX for Kubernetes allowing cluster-wide secret access.
👍5😱4
Exploring Operating Systems
Пошагово за 70 дней разбираются концепты ОС и приводятся попытки имплементации на С. Много ссылок на полезные ресурсы
Опять же не устану напоминать про лучшее, что я читал про ОС
#linux #os
Пошагово за 70 дней разбираются концепты ОС и приводятся попытки имплементации на С. Много ссылок на полезные ресурсы
Опять же не устану напоминать про лучшее, что я читал про ОС
#linux #os
🔥10
С днём радио!
Всем стабильной связи, мудрых собеседников, увлекательных разговоров!
73!
Всем стабильной связи, мудрых собеседников, увлекательных разговоров!
73!
🔥32🎉2
Developers Are Users Too: Designing Crypto and Security APIs That Busy Engineers and Sysadmins Can Use Securely
Преза о проблемах в работе с современными криптографическими API. С интересной аналитикой.
Например,
0.8 % of Google Play Market apps exclusively use HTTPS URLs
Преза о проблемах в работе с современными криптографическими API. С интересной аналитикой.
Например,
0.8 % of Google Play Market apps exclusively use HTTPS URLs
🤡3🔥2🥱2
GitHub Actions Pipeline Enumeration and Attack Tool
GitHub recommends that self-hosted runners only be utilized for private repositories, however, there are thousands of organizations that utilize self-hosted runners. Default configurations are often vulnerable, and Gato uses a mix of workflow file analysis and run-log analysis to identify potentially vulnerable repositories at scale.
#security #github
GitHub recommends that self-hosted runners only be utilized for private repositories, however, there are thousands of organizations that utilize self-hosted runners. Default configurations are often vulnerable, and Gato uses a mix of workflow file analysis and run-log analysis to identify potentially vulnerable repositories at scale.
#security #github
GitHub
GitHub - praetorian-inc/gato: GitHub Actions Pipeline Enumeration and Attack Tool
GitHub Actions Pipeline Enumeration and Attack Tool - praetorian-inc/gato
🔥2
HackTheBox Belgrade local group организует митап Attacking and Detecting AD Attacks в эту субботу 10 мая
Обещают показать возможности платформы HackTheBox и показать техники атаки и защиты Active Directory
Митап только онлайн
https://www.meetup.com/hack-the-box-meetup-belgrade-rs/events/307291415/
Обещают показать возможности платформы HackTheBox и показать техники атаки и защиты Active Directory
Митап только онлайн
https://www.meetup.com/hack-the-box-meetup-belgrade-rs/events/307291415/
Meetup
Hack The Box Meetup: Attacking and Detecting AD Attacks, Sat, May 10, 2025, 12:00 PM | Meetup
\- When will the meetup happen?
The meetup will happen on May 10th, 2025.
\- What will happen on the meetup?
We will introduce attendees to the HackTheBox platform, go ove
The meetup will happen on May 10th, 2025.
\- What will happen on the meetup?
We will introduce attendees to the HackTheBox platform, go ove
🔥2🤡2👍1
В прошлом году я выступал на конференции GetNet — это была чисто онлайн-конференция для админов и сетевиков.
В этом году GetNet уже скоро - 6 июня в 11:00, но теперь уже в гибридном формате — будет и онлайн, и впервые офлайн в Москве.
Темы: сети, инфраструктура, мониторинг, безопасность, эксплуатация — всё, что у нас болит каждый день. Часть программы уже на сайте, можно глянуть тут
Я в этот раз не смогу поучаствовать — как раз попадает на мой день рождения :)
Но если вы рядом и хотите не просто послушать доклады, а пообщаться с людьми, которые варятся в том же — очень советую. (Онлайн бесплатно, рега тут)
Кто пойдёт — потом расскажите, как всё прошло. Завидую вам
В этом году GetNet уже скоро - 6 июня в 11:00, но теперь уже в гибридном формате — будет и онлайн, и впервые офлайн в Москве.
Темы: сети, инфраструктура, мониторинг, безопасность, эксплуатация — всё, что у нас болит каждый день. Часть программы уже на сайте, можно глянуть тут
Я в этот раз не смогу поучаствовать — как раз попадает на мой день рождения :)
Но если вы рядом и хотите не просто послушать доклады, а пообщаться с людьми, которые варятся в том же — очень советую. (Онлайн бесплатно, рега тут)
Кто пойдёт — потом расскажите, как всё прошло. Завидую вам
❤7👍3🔥3
А ещё тут Technology Radar вышел
https://www.thoughtworks.com/content/dam/thoughtworks/documents/radar/2025/04/tr_technology_radar_vol_32_en.pdf
https://www.thoughtworks.com/content/dam/thoughtworks/documents/radar/2025/04/tr_technology_radar_vol_32_en.pdf
🔥3🤡1
Брендан Грегг написал о нелегкой жизни удаленщика в Австралии, работающего в часовом поясе Америки
https://www.brendangregg.com/blog/2025-05-22/3-years-of-extremely-remote-work.html
https://www.brendangregg.com/blog/2025-05-22/3-years-of-extremely-remote-work.html
🔥5
Полистал сегодня сайт конференции GetNet — доклады уже на сайте с описанием.
Темы для SMB и немного про ЦОДы и больших ребят - то что надо для развития админа: сети, эксплуатация, автоматизация, мониторинг, безопасность. Конференция уже в следующую пятницу — 6 июня.
Формат гибридный: онлайн (бесплатно по реге) и оффлайн в Москве.
Темы для SMB и немного про ЦОДы и больших ребят - то что надо для развития админа: сети, эксплуатация, автоматизация, мониторинг, безопасность. Конференция уже в следующую пятницу — 6 июня.
Формат гибридный: онлайн (бесплатно по реге) и оффлайн в Москве.
🔥13🤡2
Интересное расследование от команды безопасности Google:
- малварь использует Google Calendar как Command&Control Center. Оператор (человек) создает в календаре событие с зашифрованным описанием. Малварь читает, расшифровывает и выполняет команды из шифра
- чтобы запутать дизассемблер адрес функции был запрятан с использованием переполнения буфера. То есть программа ссылается на "несуществующую" область памяти и выполняет код оттуда.В реверсе я не силен, поэтому тут мог грубо напутать, если есть гуру - пишите в комментах что там было
#security #APT
- малварь использует Google Calendar как Command&Control Center. Оператор (человек) создает в календаре событие с зашифрованным описанием. Малварь читает, расшифровывает и выполняет команды из шифра
- чтобы запутать дизассемблер адрес функции был запрятан с использованием переполнения буфера. То есть программа ссылается на "несуществующую" область памяти и выполняет код оттуда.
#security #APT
Google Cloud Blog
Mark Your Calendar: APT41 Innovative Tactics | Google Cloud Blog
🔥5
Если ты знаешь, что “работает” и “работает нормально” — это две разные реальности, значит, ты среди своих.
6 июня на конференции GetNet собираются те, кто тоже переживал магию “я тут чуть поправил — а оно рухнуло”.
- Оффлайн в Москве или онлайн бесплатно по реге — чтобы послушать чужие страшилки про прод и сказать “у меня тоже так было”.
6 июня на конференции GetNet собираются те, кто тоже переживал магию “я тут чуть поправил — а оно рухнуло”.
- Оффлайн в Москве или онлайн бесплатно по реге — чтобы послушать чужие страшилки про прод и сказать “у меня тоже так было”.
😁19🤡4🔥2🤮1