16 Googly-Eyed Street Art Gems That I Love: https://streetartutopia.com/googly-eye-street-art-bulgaria/

The videoart from my new album Objectivity is available on Peertube

https://peertube.wtf/w/rwoFmBSFPLP1sbHtujLJei

Also you can read more about the concept of this release on a dedicated blog page

https://nostates.noblogs.org/objectivity

#fediart #fedimusician #noisemusic #dronemusic

Шалаш над рекой.

На велосипеде я мимо мимо этой дорожки, заросшей и заваленной упавшими деревьями, проезжал раз десять так точно. Да и не удивительно: а зачем лезть с велосипедом в этот непроездной бурелом, если к речке и нормальных дорог хватает? А бредя пешком, решил зайти. Подумалось вдруг: а что, если там уютная стояночка на берегу? Тем паче что ноги уже гудят, термос почти опустел и хочется просто немного поваляться и расслабиться, бездумно глядя в серое небо... И обнаружил вот такой артефакт.

Кто и зачем построил этот давно забытый шалаш на помосте над речкой, я так и не придумал. Охотник в качестве засидки? Романтик-выживальщик? Не знаю... Но что бы то ни было, я сюда ещё вернусь, зацепило меня это место. Это ещё одна стояночка в список "козырных", где можно спокойно побыть наедине с природой и куда хочется вернуться...
Речка Еленка, Беларусь.
#photography #WTphoto #nature #landscape #river #travel #by #природа #пейзаж #река #путешествия

Google переходит к разработке Android за закрытыми дверями с открытием кода после релизов

В настоящее время какие-то части платформы, такие как Blutooth-стек, развиваются публично, а какие-то вначале создаются во внутреннем репозитории Google и становятся доступны только при публикации кода очередного релиза. Публикация кода с новыми API зависит от их пригодности для тестирования - для некоторых версий Android код реализаций API публиковался до релиза, а для некоторых - после. Кроме Google доступ к внутренней ветке имеют производители устройств, подписавшие лицензионное соглашение GMS (Google Mobile Services).

Компания Google решила отказаться от практикуемой до сих пор смешанной модели и в будущем перенесёт разработку всех компонентов Android в свою внутреннюю ветку. Вместо двух веток - открытой и внутренней, при разработке будет использоваться только внутренняя ветка, код из которой станет открываться в привязке к релизам.

После перехода на модель разработки с одной активной веткой для сторонних участников код платформы по-прежнему останется доступен, но уже не получится непрерывно отслеживать разработку отдельных компонентов Android, код которых будет размещаться не по мере принятия патчей, а только после готовности релиза. Среди компонентов, разработка которых будет переведена с открытой на внутреннюю ветку упоминаются система сборки, движок обновлений, Blutooth-стек, фреймворк виртуализации и конфигурация SELinux.

Предполагается, что изменение не повлияет на разработчиков производных продуктов и прошивок, основанных на AOSP, так как подобные сборки, как правило, формируются на основе определённых тегов или веток в репозитории, а не используют находящуюся в разработке нестабильную ветку "main". Затруднения могут возникнуть у разработчиков, заинтересованных в отслеживании изменений - вместо анализа непрерывного потока изменений придётся изучать целиком все изменения в релизе. Усложнится и участие сторонних разработчиков, желающих вносить свой вклад в проект, так как состояние кодовой базы в AOSP будет сильно отставать от ветки, находящейся в разработке.

Целью изменения называется желание упростить процесс разработки Android. Наличие двух веток, при том, что часть компонентов развивается в одной ветке, а часть в другой, приводит к тому, что по мере разработки релиза в ветках накапливаются различия и Google приходится тратить ресурсы на синхронизацию изменений и слияние патчей между открытой и внутренней ветками. Основная работа по развитию API ведётся во внутренней ветке и открытая ветка часто сильно отстаёт от неё, что приводит к возникновению конфликтов при переносе во внутреннюю ветку изменений из компонентов, развиваемых в открытой ветке.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62954

Осторожно, уязвимость synapse (сервер matrix)

https://github.com/element-hq/synapse/security/advisories/GHSA-v56r-hwv5-mxg6

46 минут назад выпущен фикс, фиксите быстро! Можно сообщить админам
(DoS федерации)

#infosec #opsec #matrix

Такое чудо из стрёмного ларька.
На вкус неплохо, но до пива чего-то не хватает.
#пиво

Make VoWiFi calls from an open source client using asterisk: https://osmocom.org/news/297 - osmocom main contributor @sysmocom has recently released a forked version of asterisk that can be used to make VoWiFi calls using nothing but FOSS, a smart card reader and a SIM card. #foss #opensource #telecom #3gpp

Уязвимости в ingress-nginx, позволяющие выполнить код и захватить управление кластерами Kubernetes

Ingress-контроллер выступает в роли шлюза и используется в Kubernetes для организации доступа из внешней сети к сервисам внутри кластера. Контроллер ingress-nginx является наиболее популярным и применяет сервер NGINX для проброса обращений к кластеру, маршрутизации внешних запросов и балансировки нагрузки. Проект Kubernetes предоставляет базовые ingress-контроллеры для AWS, GCE и nginx, последний из которых никак не связан с контроллером kubernetes-ingress, сопровождением которого занимается компания F5/NGINX (рассматриваемые уязвимости не затрагивают проекты, развиваемые разработчиками NGINX, упоминание nginx в названии ingress-nginx связано лишь с задействованием nginx в качестве прокси).

Уязвимости позволяют неаутентифицированному атакующему добиться выполнения своего кода в контексте контроллера ingress-nginx, при возможности отправки запроса к web-обработчику Admission. В ходе сканирования сети выявлено более 6500 уязвимых кластеров Kubernetes, использующих общедоступные уязвимые контроллеры с открытым для внешних запросов обработчиком Admission.

В конфигурации по умолчанию запущенный атакующим код может получить доступ к настройкам объекта Ingress, в которых, среди прочего, хранятся и учётные данные для обращения к серверам Kubernetes, что позволяет добиться привилегированного доступа ко всему кластеру. В качестве обходного пути защиты рекомендуется отключить в ingress-nginx функцию "Validating Admission Controller".

Контроллер Admission запускается в отдельном pod-окружении и выполняет операцию проверки входящих ingress-объектов перед их развёртыванием. По умолчанию web-обработчик Admission принимает запросы без аутентификации из публичной сети. При выполнении проверки контроллер Admission создаёт конфигурацию для http-сервера nginx на основе содержимого полученного ingress-объекта и проверяет её корректность.

Выявленные уязвимости позволяют добиться подстановки своих настроек в nginx через отправку специально оформленного ingress-объекта напрямую в контроллер Admission. Исследователи обнаружили, что некоторые свойства проверочных запросов, выставленные в поле ".request.object.annotations", напрямую подставляются в конфигурацию nginx. При этом сгенерированная конфигурация не применяется, а лишь тестируется путём запуска исполняемого файла "nginx" c опцией "-t".

В частности, подстановка внешних данных в конфигурацию выполняется для параметров "mirror-target", "mirror-host" (CVE-2025-1098), "auth-tls-match-cn" (CVE-2025-1097) и "auth-url" (CVE-2025-24514). Например, в строке конфигурации "set $target {{ $externalAuth.URL }};" вместо "{{ $externalAuth.URL }}" подставляется URL, указанный в параметре "auth-url". При этом корректность URL не проверяется. Соответственно, атакующий может передать в качестве URL значение вида "http://example.com/#;\nнастройки" и подставить свои настройки в файл конфигурации.

Для выполнения произвольного кода в процессе проверки конфигурации командой "nginx -t" исследователи воспользовались тем, что помимо проверки синтаксиса nginx загружает библиотеки с модулями и открывает файлы, упомянутые в конфигурации, для оценки их доступности. Среди прочего, при обработке директивы ssl_engine производится загрузка указанной в директиве разделяемой библиотеки для SSL-движка.

Для загрузки своей библиотеки на сервер Kubernetes исследователи воспользовались (CVE-2025-1974) тем, что при обработке больших запросов nginx сохраняет тело запроса во временном файле, который сразу удаляется, но в файловой системе "/proc" для этого файла остаётся открытый файловый дескриптор. Таким образом, можно одновременно отправить запросы для сохранения временного файла и инициирования проверки конфигурации, в которой в директиве "ssl_engine" указан путь к дескриптору в файловой системе "/proc".

Для того, чтобы файловый дескриптор длительное время оставался доступен значение "Content-Length" в запросе можно указать заведомо большим, чем фактически переданные данные (сервер будет ждать приёма оставшихся данных). Дополнительной сложностью является необходимость угадать PID процесса и номер файлового дескриптора, связанного с загруженной разделяемой библиотекой, но так как в контейнере обычно используется минимальное число запущенных процессов, нужные значения угадываются путём перебора в несколько попыток. В случае успеха и загрузки подставленной разделяемой библиотеки, атакующий может получить доступ к хранимым внутри pod-окружения параметрам, достаточным для управления всем кластером.

Для проверки использования уязвимого ingress-nginx можно выполнить команду:

   kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

@kirill увидела ряд "домовой, водяной, леший" - и стало очевидно, что он "лесной".
Не могу привести лингвистически правильное обоснование, но переход "лес - леш" ощущается органичным русскому языку.

А подтверждение - в толковых словарях: https://dic.academic.ru/dic.nsf/enc2p/262130

https://docs.kernel.org/next/userspace-api/ntsync.html

ntsync is a support driver for emulation of NT synchronization primitives by user-space NT emulators. It exists because implementation in user-space, using existing tools, cannot match Windows performance while offering accurate semantics. It is implemented entirely in software, and does not drive any hardware device.

• NTSYNC_IOC_CREATE_SEM
• NTSYNC_IOC_CREATE_MUTEX
• NTSYNC_IOC_CREATE_EVENT
• NTSYNC_IOC_SEM_POST
• NTSYNC_IOC_MUTEX_UNLOCK
• NTSYNC_IOC_SET_EVENT
• NTSYNC_IOC_RESET_EVENT
• NTSYNC_IOC_PULSE_EVENT
• NTSYNC_IOC_READ_SEM
• NTSYNC_IOC_READ_MUTEX
• NTSYNC_IOC_READ_EVENT
• NTSYNC_IOC_KILL_OWNER
• NTSYNC_IOC_WAIT_ANY
• NTSYNC_IOC_WAIT_ALL

(#linux #osdev #windows)

Неожиданная находка под дождём.
#psychogeography #психогеография

Серый дождливый вечер хорошо сочетается с сольным концертом Ермена Анти - 30 лет альбому "Парашют Александра Башлачёва".

Как оказалось, я никогда полностью не слушал этот альбом. Некоторые песни были для меня абсолютно новыми.

(#nowplaying)

unspecified horror

23 марта 1960 года родился Андрей Валерьевич Панов — человек, чьё имя стало синонимом панк-рока в Советском Союзе и России. Музыкант, поэт, эпатажный фронтмен «Автоматических удовлетворителей», известный под прозвищем Свин, он не просто исполнял панк — он был им в каждом слове, жесте и аккорде. Его музыка — это голос, прорвавшийся сквозь бетон идеологических стен, насмешка над прилизанной, фальшивой действительностью, хриплый крик свободы там, где все привыкли облизывать сапог и заискивать.

«Напечатал» мини-картинок #пленка #инстакс

External Attachment:

Omggg those raccoons in crochet made by ComplicatedKnots are so cuuute!

https://www.youtube.com/watch?v=w6rPbC6VQqo
Patterns are available on Etsy: https://www.etsy.com/listing/1887582013/crochet-pattern-no-sew-raccoon-please

#crochet #crochetArt #raccoon

Уже классика, но я рекомендую перед призывом будь вы срочником или невезучим получателем повестки проконсультироваться в сообществе дсо - движение сознательных отказчиков ,у них есть база критических данных по защите и взаимодействию с военкоматом - " https://docs.google.com/document/u/0/d/e/2PACX-1vR3mfTkjt525hM7VnAIonLeml1NMr3_jMSariDkaeVJyzh3xJxF-D_1BCrbgyuTKC-capDCyHkUWb9R/pub?pli=1#h.94hdf3e9hp0j " а так же само сообщество в телеграмме
" • Каталог ДСО – cutt.ly/B3f9yDc
• Консультации – @stoparmybot
• Форум ДСО и иные чаты – @stoparmy_netbot
• Расписание созвонов-консультаций – cutt.ly/L1eRxtt
• Видео созвонов – @stoparmy_video
https://t.me/stoparmy
П.с : Всем удачи и мира

#сегодня утром на градусник показывал -10, а я наконец-то выбрался в лес. Из-за ночного мороза снежный наст уверено держит взрослого человека.

В лесу я нашёл свежие следы лосей и решил идти по ним. Через какое-то я вышел к поваленным стволам деревьев: похоже, это место лосиной трапезы. Искренне надеюсь, что я не спугнул их во время еды.

Check out the #BGGP5 Recap in @tmpout Volume 4!! https://tmpout.sh/4/17.html

Whiskey Ritual - Still Scum
Friday rock'n'roll!
https://whiskeyritual.bandcamp.com/album/still-scum

#nowplaying #punk #covers