В комментариях к предыдущему посту про Unreal Tournament в кубере был вопрос запрос.

Уже есть 🌝

skopeo copy docker://lacledeslan/gamesvr-ut2004-freeplay:latest docker-archive:gamesvr-ut2004-freeplay.tar
---
apiVersion: apps/v1
kind: Deployment

metadata:
  namespace: default
  name: ut2004server
  labels:
    app: ut2004server

spec:
  replicas: 1
  selector:
    matchLabels:
      app: ut2004server
  template:
    metadata:
      labels:
        app: ut2004server
    spec:
      containers:
        - name: ut2004server
          image: lacledeslan/gamesvr-ut2004-freeplay:latest
          workingDir: "/app/System"
          command: ["/app/System/ucc-bin"]
          args:
            [
              "server",
              "DM-Antalus.ut2?AdminName=admin?AdminPassword=admin?AutoAdjust=true?bPlayerMustBeReady=true?Game=XGame.XDeathMatch?MinPlayers=2?WeaponStay=false",
              "nohomedir",
              "lanplay",
            ]
          envFrom:
          resources:
            requests:
              memory: "1Gi"
              cpu: "500m"

---
apiVersion: v1
kind: Service

metadata:
  namespace: default
  name: ut2004server
  labels:
    app: ut2004server

spec:
  type: LoadBalancer
  selector:
    app: ut2004server
  ports:
    - name: game
      protocol: UDP
      port: 7777
      targetPort: 7777
    - name: web
      protocol: TCP
      port: 8888
      targetPort: 8888

Unreal Tournament 2004 Server on Kubernetes
https://www.medo64.com/2023/07/unreal-tournament-2004-server-on-kubernetes/

Основывается на проекте, который UT в Docker обернул
Laclede's LAN Unreal Tournament 2004 Dedicated Freeplay Server
https://github.com/LacledesLAN/gamesvr-ut2004-freeplay

Есть и классический UT через Docker
A dockerfile for a fully functional and easy configurable Unreal Tournament 99 server. This image is based on the original linux server 436 with all four bonus packs and the OldUnreal 469c patch for linux.
https://github.com/Roemer/ut99-server

Хороших выходных! ❤️

Котаны и котанессы!

Я тут немного упоролся и сделал архив выступлений DCG7812 с разбивкой по годам, указанием мест и т.д.
Так же заморочился и обогатил это всё релевантными статьями и видео, которые соответствовали темам докладов от авторов, фотографии со встреч и т.д.

Как же я ненавижу sladeshare 🌝

Индекс находится в отдельном посте https://news.1rj.ru/str/DCG7812_archive/2, а так же в пине канала. Индекс содержит ссылки на года, а уже в постах с годами идёт разбивка по выступлениям, дополнительный материал находится в комментариях к постам с конкретным выступлением.

Скрывать не буду, что сбор и категоризация всего этого материала заняло много времени и принесло достаточно дискомфорта (иногда горела жопа), но я надеюсь, что это хоть кому-то будет полезно и интересно (кроме меня)

Чат, привязанный к каналу, сделал открытым https://news.1rj.ru/str/DCG7812_archive_chat, так что устраивать срачи обсуждения и делиться информацией можно прям там.

Если вы видите неточность, хотите добавить отсутствующие слайды или видео выступления (можно и с других конференций, но с той же темой), вкинуть фотографий, то пишите мне в личку или в комменты. Искать особенно нужные по тегу #TODO

Очень не хватает слайдов с последних корабликов! Если они у вас есть, то скиньте мне, пожалуйста.

Если вы выступали на наших митапах и не видите себя в списке, то напишите об этом, так же если вы спикер и на против вашего выступления #TODO, то, аналогично, очень хочется слайдов 🌝

В общем, всем кто откликнется и сделает наш архив лучше, заранее спасибо.

"Тот, кто не знает прошлого, не знает ни настоящего, ни будущего, ни самого себя" - Вольтер 🫡

Кстати, мы тут рассматриваем возможность поддержки Proxmox в качестве альтернативного гипервизора, основной сейчас - KubeVirt.

Не смотря на то, что Proxmox в действительности не является облачной платформой, а в основном используется для запуска традиционных виртуальных машин (pets) с настройкой вручную, мы знаем что в комьюнити Proxmox полюбился многим, и потому спрашиваем у вас:

Если бы у вас был выбор между запуском Kubernetes кластеров в полностью управляемой платформе на базе Talos Linux+KubeVirt или менее управляемым, но более понятном Proxmox, какому решению вы бы отдали приоритет?

Опрос закину в наш комьюнити канал.

Как я и упоминал ранее, в этот раз публикую очередную статью про Vault. Будет состоять из двух подчастей, поскольку теоретического материала вышло даже больше, чем я думал. Вторая подчасть не будет столь обширной, а выйдет, скорее, как дополнение к тому, о чём шла речь в первой подчасти. Постараюсь опубликовать продолжение в ближайшие пару дней.

В статье прикольный пример с эксплуатацией уязвимости

Эта статья посвящена уязвимости, которую мне удалось обнаружить в браузере Google Chrome в конце прошлого года, а также рассказывает об истории её возникновения. Уязвимость существовала в течение продолжительного периода и была устранена 31 октября 2023 года.

Компания Google оценила её в 16000$

История одной уязвимости в Google Chrome
https://habr.com/ru/articles/789060/

Канал автора - @slonser_notes

Наша постоянная рубрика

Обновляем гитлабчики 💅💅💅

Опубликованы корректирующие обновления платформы для организации совместной разработки - GitLab 16.8.1, 16.7.4, 16.6.6 и 16.5.8, в которых устранены 5 уязвимостей. Одной из проблем (CVE-2024-0402), которая проявляется начиная с выпуска GitLab 16.0, присвоен критический уровень опасности. Уязвимость позволяет аутентифицированному пользователю записать файлы в любой каталог на сервере, насколько это позволяют права доступа, под которыми выполняется web-интерфейс GitLab.

Уязвимость вызвана ошибкой в реализации функции создания рабочих пространств (workspace). Ошибка проявляется при разборе параметров devfile, заданных в некорректном формате YAML (в патче проблема решена преобразованием YAML в JSON и проверкой наличия конструкций, корректных в YAML, но недопустимых в JSON из-за использования определённых Unicode-символов). Детальную информацию об уязвимости планируют раскрыть через 30 дней после публикации исправления. Уязвимость выявлена в ходе внутренней проверки одним из сотрудников компании GitLab.

Уязвимость в GitLab, позволяющая записать файлы в произвольный каталог на сервере
https://www.opennet.ru/opennews/art.shtml?num=60498
+
Оригинал
https://about.gitlab.com/releases/2024/01/25/critical-security-release-gitlab-16-8-1-released/#arbitrary-file-write-while-creating-workspace

Issue https://gitlab.com/gitlab-org/gitlab/-/issues/437819, но она в приватном режиме.

Jenkins выкатил Advisory

Jenkins Security Advisory 2024-01-24
https://www.jenkins.io/security/advisory/2024-01-24/

И там есть классное

Arbitrary file read vulnerability through the CLI can lead to RCE
CVE-2024-23897
Severity (CVSS): Critical

This allows attackers to read arbitrary files on the Jenkins controller file system using the default character encoding of the Jenkins controller process.

- Attackers with Overall/Read permission can read entire files.

- Attackers without Overall/Read permission can read the first few lines of files. The number of lines that can be read depends on available CLI commands. As of publication of this advisory, the Jenkins security team has found ways to read the first three lines of files in recent releases of Jenkins without having any plugins installed, and has not identified any plugins that would increase this line count.

И есть PoC уже тоже
https://github.com/h4x0r-dz/CVE-2024-23897

Особенностью парсера команд, использующегося в Jenkins, является замена символа "@" на содержимое файла, если путь к файлу следует за этим символом в аргументе команды. Эта функция активирована по умолчанию в версиях Jenkins 2.441 и более ранних, а также в LTS 2.426.2 и более ранних, и до недавнего времени не была отключена.
. . .
Кроме того, недостаток может быть использован для чтения бинарных файлов, содержащих криптографические ключи, хотя и с определенными ограничениями. Извлечение секретов открывает путь к различным атакам:

- Удаленное выполнение кода через корневые URL-адреса ресурсов;
- Удаленное выполнение кода через cookie-файл «Запомнить меня»;
- Удаленное выполнение кода с помощью XSS-атак (Cross-Site Scripting, XSS) через журналы сборки;
- Удаленное выполнение кода через обход защиты CSRF (Cross-Site Request Forgery);
- Расшифровка секретов, хранящихся в Jenkins;
- Удаление любого элемента в Jenkins;
- Загрузка дампа кучи Java.

https://www.securitylab.ru/news/545554.php

Подделка подписей на Github

Перед тем, как что-нибудь закоммитить в репозиторий, git просит пользователя указать имя и email. Если сделать так

git config --global user.name "Linus Torvalds"
git config --global user.email "torvalds@linux-foundation.org"

Github подхватит почту и будет помечать твои коммиты, как будто их на самом деле сделал Линус, — с его именем, аватаркой и ссылкой на профиль https://github.com/torvalds.

Так может сделать любой, и поэтому существует зеленая надпись "Verified" напротив коммитов, подписанных с помощью GPG.

Если отправить что-нибудь через веб, коммит подпишется от имени GitHub <noreply@github.com> и тоже будет считаться верифицированным.

Для этого сырой блоб отправляется на внутренний эндпоинт https://api.github.com/vscs_internal/commit/sign, где его подхватывает gh-gpgsign и возвращает подписанный результат.

На бэкенде проверяется условие, что строка автора из коммита, полученная с помощью регулярки /\Aauthor (.+?) <(.+)>/, должны быть равна имени текущего залогиненного пользователя.

Но имя может быть пустым, тогда коммит будет таким

author  <583231+octocat@users.noreply.github.com> 1682188800 +0000
author username <user@example.com> 1682188800 +0000

где первая строка — сгенерирована автоматически,
а вторая — фейковая, уже отправленная нами.

Первая не подойдет под регулярку, поэтому будет взята вторая, которую мы контролируем. И так мы можем получить галочку "Verified" на коммит с именем Торвальдса без его подписи, или с любым другим именем.

Автору заплатили $10.000. Баг удалось найти в Codespaces, благодаря реверсу GitHub Enterprise Server Trial VM.

Добрый день, мои чеширские котики. 🐈‍⬛✨

Помните мою статью про air gap? Так вот я решила сделать по ней воркшоп на конференции DEF CON .


Что будет на самом воркшопе?⚙️

Во время воркшопа будут даны теоретические основы и практические навыки атак и air gap:

1) Я разберу угрозы для air gap, изучите основы безопасности таких систем. ⚔️

2) Будет проведена атака на air gap, это поможет вам увидеть угрозу в лицо. 🩸

3) Будет практическая часть, где, зрители получат опыт настройки защиты устройств air gap.🔧

Более подробно о программе можно почитать вот здесь .


На самой конференции буду очень рада пообщаться со всеми кто придет. ❤️

Так же я создала чат для участников практической части воркшопа, там мы можем обсудить техничские моменты и просто познакомиться. ✨


После воркшопа я выложу полную версию статьи(В русской и английской версии), а так же матерьялы для ознакомления(в виде архива), + версию с презентации. 🔑

Ну что же приятного всем чаепития мои шляпники. ☕️

И помнете, даже если вы не сможете прийти, я все равно буду очень рада если моя статья окажется вам полезной !❤️‍🔥

Все мы видели много статей, где с помощью AI-инструментов за минуты выполняется работа, на которую раньше мог легко уйти день. Особенно впечатляют примеры, где работа (успешно) идет вне зоны компетенции человека (т.е. когда AI позволяет делать то, что человек в принципе один сделать не мог бы). Но сегодня у меня получился несколько другой случай:

Задача стояла относительно тривиальная: нужно было сгенерировать look-up table (LUT) для по-канального увеличения контраста (S-кривая), и применить эту кривую на фотографии с камеры. 
. . .
Но праздновать завершение работы оказалось рано: сгенерированный код упрямо рисовал график, снижающий контраст вместо его увеличения. Когда я предъявил эту претензию ChatGPT - он извинился, и с каждым разом выдавал все более и более поломанный код.
. . .
Выводы:

- Языковые модели - как junor разработчики: они могут и будут делать неожиданные ошибки, им нужны четкие инструкции и руководство. Впрочем, разница в том, что джуны вырастут, а у моделей остается ждать следующих поколений. Как и с джунами - с моделями нужно иметь реалистичные ожидания.

- Весь код от языковых моделей нужно проверять, никому верить нельзя. И чем менее истоптанная поляна, тем тщательнее нужно проверять. Языковые модели генерируют код очень похожий на правду, а значит ошибки могут быть очень дороги в исправлении.

- Если получаем неожиданный результат - зачастую проще спросить несколько разных моделей и сравнить результаты : сейчас в дополнение к ChatGPT (3.5/4) есть Copilot, Bard, Replit и другие. Никто из них не выдал идеальный код с первой попытки, но по этому пути мне не пришлось бы залипать с графиком.

- Некоторые ошибки - систематические для языковых моделей, видимо унаследованные из частично пересекающегося набора данных для обучения, где эти ошибки были широко представлены (т.к. языковые модели на текущий момент доверяют примерам для обучения безусловно, в отличие от людей).

Делаем 10-минутную задачу за 2 часа с помощью ChatGPT
https://3.14.by/ru/read/chatgpt-gpt-openai-10-minute-task-in-2-hours-llm

В декабре 1993 года появился, не побоюсь этого слова, культовый журнал «Спектрофон». Последний, двадцать третий, выпуск был в 1997 году.

Поставлялся он на дискетах в формате TR-DOS (добавлю в комметы архив).

Описание всех выпусков доступно тут (в текстовом виде положу в комментарии)
https://www.zxpress.ru/issue.php?id=202

В честь тридцатилетия выпустили видос, который содержит историю журнала и рассказ про все его выпуски

Таймкоды
00:00:00 Начало
00:12:56 0-ой выпуск
00:14:35 1-ый выпуск
00:17:45 2-ой выпуск
00:20:43 3-ий выпуск
00:24:35 4-ый выпуск
00:28:06 5-ый выпуск
00:31:53 6-ый выпуск
00:35:44 7-ый выпуск
00:40:09 8-ый выпуск
00:44:53 9-ый выпуск
00:50:50 10-ый выпуск
00:54:24 11-ый выпуск
00:58:47 12-ый выпуск
01:03:45 13-ый выпуск
01:09:06 14-ый выпуск
01:14:15 15-ый выпуск
01:18:55 16-ый выпуск
01:24:54 17-ый выпуск
01:29:55 18-ый выпуск
01:35:54 19-ый выпуск
01:40:50 20-ый выпуск
01:50:00 21-ый выпуск
01:56:30 Promo #22-23
02:00:45 22-ой выпуск
02:05:38 23-ой выпуск
02:12:35 Заключение

Оригинал
https://www.youtube.com/watch?v=UmWokcNuxKg

📹 Запись доклада о патче, который значительно ускорил взаимодействие с дисковой подсистемой - Как патч в ядро ускорил всё на порядок.

Само выступление проходило в рамках Линуксовки @spblug

#filesystem #kernel #видео

Всем привет!

Мы к себе в Luntry (https://luntry.ru/) ищем Middle/Senior Go Developer (сразу несколько 🌝)

Вилка: от 300 000 до 500 000 ₽ на руки

Про нас:
- Делаем продукт для observability и security Kubernetes
- Разработка и поддержка высоконагруженной системы, обрабатывающий большие потоки данных с кластеров Kubernetes

Требования:
- Знания в области фундаментальной Computer Science.
- Знакомство с паттернами проектирования, архитектурными паттернами.
- Опыт промышленной разработки от 3 лет (на Go 1 год)
- Опыт работы с gRPC, SQL
- Опыт работы с контейнерами Docker.
- Понимание концепций распределенных систем.
- Опыт работы с микросервисной архитектурой на базе Docker и желательно Kubernetes

Всякие печеньки и ДМС присутствуют.

Вакансия на hh - https://spb.hh.ru/vacancy/92265757

Писать можно мне в личку - @rusdacent