Если в вашем хозяйстве крутятся сервисы на ASP.NET Core, самое время пропатчиться.

Microsoft выпустила патч для критической уязвимости (CVE-2025-55315) во встроенном веб-сервере Kestrel, которой присвоили рейтинг 9.9 по CVSS. Проблема затрагивает практически все версии, от древней 2.3 до предрелизной 10.

Суть уязвимости в старой доброй контрабанде запросов. Эта техника позволяет злоумышленнику спрятать один вредоносный HTTP-запрос внутри другого, вполне легитимного. Например, внешний запрос может идти к общедоступной странице без аутентификации, а внутри него будет контрабандой протащен второй запрос, который выполняет действия от имени другого пользователя, обходит CSRF-проверки или проводит инъекцию. Ущерб зависит только от фантазии атакующего и логики приложения. Защитить от атаки может правильно настроенный реверс-прокси, который вычищает подобные вложенные запросы.

Типичный 🥸 Сисадмин

Выгодно купил недорогой Seagate 😬

Типичный 🥸 Сисадмин

У кого-то пополнение в семье 👨‍🦳
#предложка

Типичный 🥸 Сисадмин

🧐 Жёсткие диски стареют медленнее, чем мы

Компания Backblaze подвела итоги 12 лет наблюдений за более чем 300 000 жёстких дисков. Результат удивил даже инженеров — современные HDD живут втрое дольше, чем раньше. Если в 2013-м диски массово умирали уже на третьем году службы, то теперь пик отказов наступает лишь к десятому году, и то у 4 % устройств.

Классическая «U-образная» кривая отказов, где диск чаще ломается в начале и в конце жизни, постепенно выравнивается. Теперь HDD работают стабильно большую часть срока, а массовые сбои случаются ближе к старости. Backblaze считает, что причина в улучшении прошивок, производстве и контроле нагрузки.

🥸 godnoTECH - Новости IT

Произошла небольшая разгерметизация картриджа с маджентой. Сейчас протру, и будет как новый. Как ваши трудовые будни?
#предложка

Типичный 🥸 Сисадмин

Шёл по лесу, смотрю... кто-то точку сохранения оставил. Видимо, перед сложным боссом. Надеюсь, у него всё получилось.

Типичный 💾 Сисадмин

FreeBSD 15.0 становится политкорректным 😃

Вышла вторая бета FreeBSD 15, и список изменений просто песня. Под капотом, конечно, есть серьезные вещи вроде фиксов сборки и правок pkgbase. Но гвоздь обновы - это эпохальное переименование blacklist в blocklist.

Изменение касается демона blacklistd, который используется для динамического блокирования портов и защиты от DoS-атак. Все связанные с ним утилиты, конфиги и переменные теперь несут в себе новое, идеологически верное имя 🤔. Старые команды и опции с blacklist пока еще работают, но теперь при каждом их использовании в консоль будет вылетать предупреждение.

Ждем патчей для master/slave в базах данных для ускорения репликации.

Типичный 🥸 Сисадмин

Есть старое правило: если ты не видишь суслика, это не значит, что его нет 🤙

Хацкерская группа Flax Typhoon (которую связывают с Китаем) продемонстрировала суть этого правила. Больше года они спокойно сидели внутри серверов с ArcGIS, которые организации разворачивают у себя в инфраструктуре. И самое любопытное то, что они не использовали ни одного традиционного вируса.

ArcGIS широко используется в геопространственной аналитике, планировании инфраструктуры, мониторинге окружающей среды и т. д.

Хацкеры взяли легитимное серверное расширение ArcGIS (SOE) и немного его модифицировали, превратив в полноценный веб-шелл. Этот шелл принимал команды через REST API, закодированные в Base64, и был защищен захардкоженным ключом, чтобы никто посторонний им не воспользовался. Ни один антивирус, ни один EDR на такое даже не чихнул.

А самый сок в том, что всякий раз когда жертва замечала что-то неладное и пыталась откатиться из бэкапа, она своими же руками... переустанавливала бэкдор. Модифицированное расширение было намертно вбито в системные резервные копии 😊

Типичный 🥸 Сисадмин

Вы думали политкорректные новости всё? Тут Rust переименовал основную ветку с master на main 🦀

С 10 ноября основная ветка репозитория rust-lang/rust будет называться main вместо master, чтобы следовать за трендом на нейтральную терминологию в IT.

Разработчики пояснили, что выбрали название main, так как оно якобы стало стандартом для новых репозиториев на GitHub. Меж тем, другие крупные проекты, такие как NixOS и ядро Linux, сохраняют традиционное название master.

«Мы используем встроенный инструментарий GitHub для упрощения процесса. Если ваш инструмент предполагает, что ветка по умолчанию называется master, использование HEAD будет работать как до, так и после переименования», — уточнили разработчики.

Типичный 🥸 Сисадмин

Готовимся к новым стойкам ☕️

Старая добрая 19-дюймовая стойка начала свой путь на пенсию. Прогнозируют, что к 2030 году более 70% оборудования для ЦОДов будет поставляться в новом, 21-дюймовом формате Open Compute Project (OCP). Всё это из-за ИИ.

Причина смены стандарта в отводе тепла. Современные ИИ-ускорители и серверы выделяют столько тепла, что запилить эффективное охлаждение 19-дюймовую конструкцию становится практически невозможно. А дополнительные примерно 5 см дают пространство для более мощных вентиляторов, улучшенного воздушного потока и прокладки трубок систем жидкостного охлаждения прямо к чипам. Плюс проще уместить более мощные шины питания.

Google, контора Цукера, Microsoft, Amazon уже активно внедряют 21-дюймовый стандарт. За ними подтягиваются вендоры вроде Dell и HPE. Более того, индустрия также переходит на rack-scale подход, типа Nvidia DGX GB200. Это когда в ЦОД вкатывается уже полностью собранная, протестированная и готовая к работе стойка, которую нужно только подключить к питанию и сети. В старом формате такие фокусы проворачивать сложнее.

В обычном энтерпрайзе переход будет плавным и 19-дюймовое оборудование будет жить еще долго. К тому же, в новую 21-дюймовую стойку можно без проблем впихнуть 19-дюймовое железо 🔨

Типичный 🥸 Сисадмин

Когда начал собирать новый ПК, отвлекся на 5 секунд, и...
#предложка

Типичный 🥸 Сисадмин

🫡 Google выбрала слежку вместо приватности

Google официально закрыла проект Privacy Sandbox — многолетнюю попытку заменить cookie-файлы более приватными инструментами. Компания признала, что эксперимент провалился, а Chrome вернётся к старым методам отслеживания. Вся инфраструктура Sandbox, включая такие API, как Attribution Reporting и Topics, будет свёрнута.

Несмотря на провал, более 70% пользователей Chrome остались на месте. Ни Apple с её насмешками, ни новые браузеры с ИИ вроде Comet не повлияли на позиции Google. Похоже, большинству просто всё равно, если вкладки открываются быстро.

🥸 godnoTECH - Новости IT

Ворота в Кибердеревню 😬

Типичный 🥸 Сисадмин

Я, пытающийся дотянуть до конца рабочей недели 😂

🥸 @montajniklvs

Отличная новость для тех трех с половиной человек, которые все еще верят в веб не на Chromium 🌚

Все, кто следит за низкоуровневой веб-разработкой, помнят проект Servo от Mozilla - попытку написать с нуля параллельный браузерный движок на Rust. Проект долгое время был в тени, но после того, как его подхватил Linux Foundation Europe, он снова подал признаки жизни. И вот, свершилось, спустя годы разработки выкатили первый официальный тегированный релиз — v0.0.1.

Важно понимать, что Servo это не еще один клон Chrome. Это именно движок, созданный с прицелом на встраивание в другие приложения. Его главные фичи - безопасность памяти и настоящий параллелизм, заложенные в самой архитектуре благодаря Rust. В теории это позволяет отрисовывать страницы гораздо эффективнее на современных многоядерных процессорах, чем это делают старые монолитные движки. Разработчики нацелены на то, чтобы Servo стал безопасной и производительной альтернативой для всех тех случаев, где сегодня приходится тащить за собой тяжеловесный Electron.

Вместе с релизом выложили и готовые бинарники, в том числе для Linux и, впервые, для ARM-версий macOS. Можно скачать и пощупать демонстрационный браузер-оболочку, чтобы оценить, как все это работает.

К 2030 году, может, наконец перепишут на нем какой-нибудь Slack или Teams. Но это не точно 😬

Типичный 🥸 Сисадмин

🧅 Команда Tor Project выпустила релиз-кандидат Tor Browser 15.0a4. Разработчики планомерно вычищают из него все, что не вписывается в концепцию приватности.

Под нож пошли все ИИ-функции от Mozilla. Разрабы поясняют, что ИИ-функции невозможно проверить на безопасность, поэтому все ИИ-чатботы и сайдбары выпиливаются. Затем вычистили логотипы Firefox, сервис Firefox Home и новую панель истории, вернув вместо нее старый, проверенный вариант.

Еще неплохой апдейт. Управление WebAssembly, позволяющей запускать в браузере скомпилированный код, теперь полностью отдано расширению NoScript. Раньше на высоких уровнях безопасности ее просто отключали, что ломало даже встроенный просмотрщик PDF-файлов. Теперь блокировка будет более точечной.

Еще одно важное решение: в адресной строке перестали скрывать префикс http:// или https://, чтобы пользователь всегда видел полную картину 🎩

Типичный 🥸 Сисадмин

О сбоях в работе AWS 🤣

Типичный 🥸 Сисадмин

Toshiba умудрилась впихнуть 12 пластин в стандартный корпус HDD

В мире классических жестких дисков продолжается замес за плотность записи. Toshiba продемонстрировала технологию, позволяющую уместить 12 магнитных пластин в стандартный 3.5-дюймовый гермоблок. Для этого пришлось сделать сами пластины тоньше (теперь из стекла) и добавить еще четыре головки чтения-записи.

Казалось бы, вот он, прорыв. Но есть нюанс... Toshiba использует свою технологию MAMR (магнитная запись с помощью микроволн), которая позволяет достичь плотности примерно 2.4 ТБ на пластину. Их новый 12-блиновый HDD сможет предложить около 28.8 ТБ честной емкости. Проблема в том, что Seagate уже давно сидит на более продвинутой технологии HAMR (термомагнитная запись), которая дает 3 ТБ на пластину. В итоге, их текущие 10-пластинные диски уже имеют емкость 30 ТБ.

Вдобавок, Seagate планирует выпустить 40-терабайтники уже к концу этого года, в то время как Toshiba обещает дойти до таких объемов только к 2027-му. Видимо, им тоже рано или поздно придется переходить на HAMR.

В любом случае, впихнуть 12 пластин и 24 головки в стандартный гермоблок, сохранив при этом надежность - это инженерное искусство. Жаль только, что пока они добавляли блины, Сиги просто научились жарить их плотнее.

Типичный 🥸 Сисадмин