Свежий шумовой Мультфильм про Рот от Николая Белова.

(#анимация #kolbelov)

Книги-игры на ладони Ольги Макаровой, или Игровые зины Мильдегард

Nikita

�[…]

Читать дальше: https://ifhub.club/2026/05/04/knigi-igry-na-ladoni-olgi-makarovoy-ili-igrovye-ziny-mildegard.html
#intfiction #А4

Внесите в свои календари! 👉 📆
(у нас сегодня +12°C, погода не благоприятствует)
https://ru.wikipedia.org/wiki/Всемирный_день_голого_садовода

A reminder from my pocket notebook: Use your head.

Стоит на пару часов отьехать от Питера и попадаешь в прекрасный сосновый лес и пустынные песчаные пляжи.

lwIP (Lightweight TCP/IP) is running on the BareMetal kernel and is able to serve a web page.

#osdev

Вадим Курылёв один из немногих незапомоенных рокеров, оставшихся в Питере.
https://electropartisan.com/diskografiya/167-beskonechnyj-prazdnik-2025

#чтопослушать

Copy Fail - уязвимость в ядре Linux, позволяющая получить root в большинстве дистрибутивов

Уязвимость вызвана логической ошибкой в crypto API (AF_ALG) ядра Linux, допущенной при внесении в 2017 году оптимизации, убирающей лишнюю буферизацию через выполнение по месту (in-place) операций блочного шифрования AEAD (Authenticated Encryption with Associated Data). Проблема возникла из-за необдуманного использования функции splice(), передающей данные между файловыми дескрипторами и каналами (pipe) без копирования, путём передачи ссылок на элементы в страничном кэше. После внесения оптимизации при передаче файла в сокет AF_ALG для расшифровки в структуру scatterlist записывалась не ссылка на отдельный буфер, а прямая ссылка на элементы страничного кэша ядра c данными файла.

В дальнейшем в процессе расшифровки AEAD смешивались привязанные по ссылке данные тега аутентификации ("authentication tag") с копируемыми в RX-буфер дополнительными аутентифицируемыми данными (AAD, Associated Authenticated Data) и шифротекстом, а смещение для операции записи в тег аутентификации рассчитывалось относительно скопированных данных без должных проверок, что позволяло перезаписать произвольные области в страничном кэше.

Уязвимость даёт возможность при каждом запросе перезаписать 4 байта в по выбранному смещению, что позволяет атакующему через отправку серии запросов изменить в страничном кэше содержимое любого файла в системе, доступного для чтения, предварительно добившись его помещения в кэш. Так как при любых операциях чтения из файлов содержимое отдаётся в первую очередь из страничного кэша, после замены информации в страничном кэше ядро или процесс при чтении данных из файла получит не фактические, а подменённые данные, что может применяться для подстановки кода в запускаемые исполняемые файлы или загружаемые разделяемые библиотеки.

Для выполнения кода с правами root достаточно добиться изменения страничного кэша для любого исполняемого файла с флагом suid root. В предложенном эксплоите выполняется чтение исполняемого файла /usr/bin/su и модификация загруженного в страничный кэш содержимого этого файла для подстановки в него своего кода. При последующем запуске утилиты "su" будет загружен в память не оригинальный исполняемый файл с накопителя, а изменённая копия из страничного кэша.

Эксплоит универсален, не требует адаптации к дистрибутивам или версиям ядра, и может использоваться с любыми дистрибутивами. Так как при использовании контейнерной изоляции для всех контейнеров используется общий страничный кэш, уязвимость можно использовать для получения доступа к хост-окружению из контейнера (позднее обещают опубликовать эксплоит для обхода изоляции в Kubernetes).

Уязвимость выявлена при помощи AI примерно после часа экспериментов с анализом кода криптоподсистемы ядра. Проблема проявляется начиная с ядра Linux 4.14, выпущенного в 2017 году, и устранена в ядрах 6.18.22, 6.19.12 и 7.0. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora, ROSA. В качестве обходного пути защиты можно отключить модуль ядра algif_aead, который используется в OpenSSL при явном включении движка afalg и в отдельных приложениях (проверить наличие подобных запущенных приложений можно командой "lsof | grep AF_ALG"):

   echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
   rmmod algif_aead



Источник: https://www.opennet.ru/opennews/art.shtml?num=65325

У вокзала импозантный мужчина полубомжацкого вида, в грязном оверсайз костюме и с рукой на перевязи, с зажатой там чекушкой. Вида очень гордого, держался с большим достоинством. Пока все ждали зелёный сигнал светофора, он ступил на проезжую часть, неспеша отпил из бутылочки, потом утёрся и пошёл дальше.

#ЛенинградНутряной

(#вокруг)

Э-э-э... а какого лешего у озона пропала возможность оплатить картой БЕЗ привязки карты? Какого рожна данные моей карты теперь ДОЛЖНЫ храниться у маркетплейса?

Да пошли бы вы... не так уж эта покупка мне и нужна, пожалуй.

Ещё один кусочек из середины 90х: #Microsoft #Cinemania — энциклопедия на 💿
1. Кусочек видео из «2001: Космической одиссеи» размером с почтовую марку, небось, выглядел фантастически: большинство компьютеров ещё не тянули полноэкранного видео, кодеков вроде DivX и MPEG4 ещё не было, разве что MPEG2

2. Мой любимый Fisher King: только один кадр и описание. В педевикии сейчас и то побольше

3. Monty Python and the Holy Grail — да, есть такой, не забыли. Но текста с гулькин нос

4. «Москва слезам не верит» тоже уместилась на компакт-диск. Правда, без видео и картинок. Оценку поставили 3 из 4, больше, чем у пайтонов!

#MacOS9 #retrocomputing #multimedia #энциклопедия #encyclopaedia #spaceOdyssey #montyPython #terryGilliam

На развитие национальной видеоплатформы VK в прошлом году государство выделило 39,5 млрд руб., еще 4 млрд руб. было направлено на цели и задачи «многофункционального сервиса обмена информацией».

Всего расходы Минцифры в прошлом году составили более 456,8 млрд руб.

https://www.kommersant.ru/doc/8632840

Государство — это Робин Гуд наоборот

#грибы
Первый гриб в этом году!

Great song!
https://harbelex.bandcamp.com/track/pathways

#music #neofolk

В Python-пакет elementary-data, имеющий 1.1 млн загрузок в месяц, внедрён вредоносный код

Вредоносный релиз был опубликован 25 апреля в 1:20 (MSK) и оставался доступен для загрузки более 11 часов (до 12:45). Атака была совершена через отправку pull-запроса со специально оформленным комментарием, эксплуатирующим уязвимость в автоматически вызываемом обработчике GitHub Action. Атакующим удалось запустить shell-команды в окружении непрерывной интеграции и извлечь из него содержимое переменной окружения GITHUB_TOKEN с токеном доступа к репозиторию. Данный токен был использован для создания нескольких веток в git и подготовке релиза.

В состав опубликованного атакующими релиза был включён вредоносный код, закодированный в формате base64 и активируемый при установке пакета. Вредоносный код осуществлял сканирование системы и отправку конфиденциальных данных, таких как ключи SSH и SSL/TLS, содержимое переменных окружения, учётные данные к AWS, GCP, Azure и K8s, ключи от криптокошельков, пароли к СУБД, история операций в командном интерпретаторе, файлы конфигурации от Git, CI/CD, пакетных менеджеров и Docker.

Источник: https://www.opennet.ru/opennews/art.shtml?num=65313

У Kreator в январе 2026 года вышел альбом "Krushers Of The World".

(#чтопослушать #nowplaying)

Ездовые коты не только в Простоквашино бывают

Бей, бей, бей
В берега, многошумный прибой.
Я хочу говорить о печали своей,
Непокорное море, с тобой.

Счастлив мальчик, который бежит по песку
К этим скалам, навстречу волне.
Хорошо и тому рыбаку,
Что поёт свою песню в челне.

Возвращаются в гавань опять
Корабли, обошедшие свет.
Но как тяжко о мёртвой руке тосковать,
Слышать голос, которого нет.

Бей, бей, бей
В неподвижные камни, вода!
Благодатная радость потерянных дней
Не вернется ко мне никогда.

Альфред Теннисон. "У моря"
Перевод Самуила Маршака
cc: @litclub

(#чтопочитать #федичитает #поэзия)