48 Дисков. Это красиво!

Типичный 🥸 Сисадмин

🎹 Если у вас в сети есть WSUS, самое время напрячься. Сейчас идет массовая эксплуатация критической уязвимости в Windows Server Update Services (CVE-2025-59287). В это же время Microsoft в своем бюллетене до сих пор держит статус "не эксплуатируется", лишь оценивая вероятность атак как более вероятную.

Проблема в небезопасной десериализации данных, что позволяет выполнить произвольный код на сервере без аутентификации. Уязвимы все, от Windows Server 2012 до 2025, если на них поднята роль WSUS. Атакующие активно сканируют интернет в поисках серверов, у которых наружу торчат стандартные порты 8530 и 8531. После проникновения они запускают PowerShell для сбора данных.

Далее скомпрометированный WSUS становится идеальным плацдармом для заражения всей корпоративной сети. Через него можно распространить любой зловред под видом легитимного обновления Microsoft, и все рабочие станции с радостью его установят. При этом сложность эксплуатации минимальна, а PoC-эксплоит уже гуляет в открытом доступе.

👨‍🔬 Microsoft умудрилась выпустить первый патч неполным, создав у многих ложное чувство безопасности. Только через неделю вышел внеплановый апдейт, который действительно закрывает дыру. По данным Trend Micro, за последнюю неделю зафиксировано около 100 000 попыток эксплуатации. В сети все еще торчит почти полмиллиона уязвимых серверов.

Типичный 🥸 Сисадмин

Драйвера сырые. Не умеют в суперпозицию

Типичный 🥸 Сисадмин

Наткнулся тут на свежий анализ от исследователей из Silicon Angle, и он прям хорошо раскладывает то, что мы все интуитивно чувствуем.

Мы вступаем в эпоху, где у всей подсистемы хранения осталась одна-единственная задача, это держать GPU на 100% загрузке. Все остальное почти неважно. СХД либо справляется с этим, либо отправляется на свалку. Потолка производительности больше нет, есть только аппетит бесконечно-голодного GPU.

Раньше как было? Мы строили дата-центры вокруг обычных процессоров. Главное было, чтобы проц был мощный, а диски просто хранили данные. Теперь все перевернулось из-за нейросетей. Современные мозги для ИИ это видюхи, и они дико прожорливые. Но жрут они не столько электричество, сколько данные. Чтобы видеокарта работала на 100%, ей нужно скармливать информацию с бешеной скоростью.

Теперь индустрия движется в сторону разделение хранения на несколько независимых ярусов. Первый, производительный ярус, строится на NVMe-накопителях и специальных файловых системах вроде Lustre, которые умеют отдавать данные тысячам потоков одновременно. Он нужен для рабочих данных нейросети и напрямую связан с GPU через сверхбыстрые сетевые протоколы (RDMA), минуя процессор. Второй, емкостной ярус, вроде обычного объектного хранилища (S3), где лежат все исходные датасеты. А специальный софт между ними занимается упреждающей подгрузкой данных с медленного яруса на быстрый, чтобы дорогие GPU ни секунды не простаивали, иначе смысл всего этого 🤟

Поэтому все крупные производители железа сейчас наперегонки пилят именно такие многоуровневые и супер-быстрые системы. А те, кто этого не делает... ⚰️

Типичный 🥸 Сисадмин

MariaDB решила, что она теперь платформа для ИИ, которая сама пишет SQL и тюнит себя.

Компания выкатила новую версию MariaDB Enterprise Platform 2026 и теперь это единая платформа для обычных задач, аналитики и работы с нейросетями.

Во-первых, прямо в ядро встроили поддержку технологии RAG, которая позволяет приземлять большие языковые модели (вроде ChatGPT) на реальные данные. Теперь для этого не нужно городить сложную систему из отдельных баз и конвейеров. MariaDB обещает делать все из коробки.

Во-вторых, в облачной версии появились встроенные помощники на основе ИИ. Например, один из них умеет превращать запросы на обычном человеческом языке в SQL-код и выполнять их. А другой обещает помогать с настройкой производительности и отладкой. То есть, вместо того чтобы читать вывод команды EXPLAIN, можно будет просто спросить у базы: "База, а почему у меня этот запрос тормозит?".

Для аналитики они договорились с компанией Exasol и встроили их движок, работающий в оперативной памяти, под названием MariaDB Exa. Эта система обещает ускорять сложные аналитические запросы в тысячи раз. Они пытаются решить две задачи сразу: и обычные операции быстро обрабатывать, и тяжелую аналитику в реальном времени считать, не переливая данные в отдельное хранилище.

Осталось дождаться, когда MariaDB научится сама писать код, деплоить его в Kubernetes и ходить на совещания 👨‍🦳

Типичный 🥸 Сисадмин

US-EAST-1 снова лёг.

Неделя не прошла, в AWS снова шлет пламенные приветы. Опять us-east-1, опять каскадный сбой из-за внутренних зависимостей. На этот раз все началось с повышенных задержек при запуске EC2-инстансов в одной из зон доступности (use1-az2). Amazon, уже как обычно, начал троттлить запросы, но было уже поздно.

Следом посыпался Elastic Container Service (ECS). AWS пишет, что небольшое количество ячеек ECS испытывает повышенную частоту ошибок при запуске новых задач, а существующие задачи могут неожиданно останавливаться 👨‍🦳

Дальше больше. EMR Serverless (Hadoop/Spark) тоже прилег, потому что для своей работы он использует пул ECS-кластеров, которые как раз и попали в число сбойных. И снова та же картин, что и неделю назад, когда проблема в одном сервисе вызывает каскадный отказ других, которые от него зависят.

З.Ы. А помните времена, как облачные евангелисты рассказывали, что в облаках ничего не падает 🏥

Типичный 🥸 Сисадмин

Наглядная разница времени чтения 1 ТБ между L3 Cache, RAM, NVMe, SSD и HDD 🏃‍♀️

Типичный 🥸 Сисадмин

🧑‍🎓 В России предложили уголовку за пиратское ПО

Исполнительный директор АПКИТ Николай Комлев предложил ввести уголовную ответственность за использование пиратского ПО. По его словам, это поможет развивать отечественные программы и снизит убытки российских разработчиков. Комлев уверен, что даже снижение пиратства на 5–10% увеличит налоговые поступления и ускорит импортозамещение.

Инициативу резко раскритиковала Наталья Касперская. Она напомнила, что после ухода Microsoft россияне просто не могут легально купить многие программы. Кроме того, отечественные ОС всё ещё не совместимы со множеством приложений. Касперская добавила, что сажать людей за пиратку — «решение из параллельной реальности».

🌚 — Интересно, а сам Комлев на чём работает?

🥸 godnoTECH - Новости IT

Прекрасное беспатчкордовое соединение по бесшовной клеевой технологии 😬

Типичный 🥸 Сисадмин

Показалось.... походу профдеформация

Типичный 🥸 Сисадмин

Главное в этой конструкции - несущая стяжка.

Прямо как вся наша инфраструктура 😂

Типичный 🥸 Сисадмин

S.M.A.R.T. ругался на нестабильные сектора. Больше не ругается 😬

Типичный 🥸 Сисадмин

🐳 Если вы используете Docker Compose, самое время проверить версии. Исследователи из Imperva раскопали критическую уязвимость типа обход каталога, которая получила CVSS 8.9 (CVE-2025-62725). Проблема позволяет атакующему записывать произвольные файлы в любую точку на хост-системе, где у процесса Compose есть права. А если вы по старой привычке запускаете его в CI/CD под рутом, то это полный 👌

Дыра кроется в относительно новой фиче, в поддержке OCI-артефактов. При обработке слоев такого артефакта Compose слепо доверяет аннотациям, которые указывают, куда распаковывать файлы. Он просто склеивает свой путь к кэшу с путем из аннотации, без какой-либо нормализации или проверки. Это позволяет атакующему подсунуть в аннотацию что-то вроде ../../etc/passwd, и Compose запишет файл за пределами своего кэша. Все, что нужно для атаки, так это заставить пользователя или CI-систему использовать вредоносный удаленный артефакт.

Но это еще не всё, в установщике Docker Desktop для Windows нашли уязвимость подмены DLL. Инсталлятор при запуске ищет нужные ему библиотеки сначала в папке Downloads, и только потом в системных каталогах. Это позволяет подсунуть в ту же папку вредоносную DLL, которую установщик подгрузит и выполнит.

Исправления уже выпущены в Docker Compose v2.40.2 и Docker Desktop 4.49.0.

Типичный 🥸 Сисадмин

👍 Дуров запускает децентрализованный ИИ Cocoon

Павел Дуров представил новый проект Cocoon — децентрализованную сеть для ИИ-вычислений. Сеть объединит владельцев мощных видеокарт и разработчиков, которым не хватает серверных ресурсов. GPU пользователей будут обрабатывать запросы нейросетей, а вознаграждение начисляться в TON.

Главная идея — освободить ИИ от контроля корпораций и регуляторов. Все данные в Cocoon будут шифроваться, чтобы никто не мог отследить, кто и что запускает. Первой площадкой станет Telegram, где экосистема уже готова к интеграции. Запуск сети запланирован на ноябрь.

🥸 godnoTECH - Новости IT