Технологический Болт Генона

Если подобным образом проанализировать все лейблы на реальных данных, получится, что:

- 32,7 % из них имеют всего одно возможное значение, например true или 0;
- 60 % — от 2 до 255 значений, то есть укладываются в 1 байт;
- 7,3 % — от 256 до 5275 значений;
- 0 % — больше 65 535 значений. 

Это значит, что все возможные значения укладываются в два байта. 

Мы решили хранить все ID (#0, #1, #2 и т. д.) не в четырёхбайтных значениях, а как два бита, указывающие количество байт, в которые укладывается число, плюс значение. 

Это дало нам очередной выигрыш по памяти — теперь весь labelset для 1 миллиона метрик стал занимать 30 МБ. Это в 30 раз лучше стартовых 762 МБ.
. . .
Оптимальное хранение строк дало приличный выигрыш и в индексе. Если раньше в нём были строки и хэш-таблицы, которые не особенно оптимально хранятся в памяти, то в нашей реализации есть ID, которые выдаются по порядку. Это позволяет хранить в кэше четырехбайтные числа uint32 и заменить хэш-таблицы на sparse-векторы и Bitset. 

В итоге основным потребителем памяти у нас стали точки. Prometheus хранит их достаточно компактно: он использует Gorilla Encoding и битовые операции. Это не значит, что оптимизировать нечего, но для этого надо внимательно посмотреть на данные. 
. . .
Оказалось, что уникальных последовательностей временных меток всего 10 % от миллиона. Эта оптимизация позволила выиграть 55,5 % по памяти просто за счёт дедупликации.
. . .
После всех преобразований мы получили выигрыш по хранению точек почти в три раза: изначальные 787,72 МБ превратились в 283,9 МБ. При этом чем больше данных и серий, тем лучше срабатывает наша оптимизация. Если на одном миллионе метрик мы выиграли по хранению точек в 2,7 раза, то на трёх миллионах это будет уже три с небольшим раза.
. . .
В процессе работы Prometheus пишет WAL. Мы оптимизировали журнал предзаписи примерно в 19 раз. Изначальные 6,2 ГБ без сжатия в Prometheus v2 для 1 миллиона метрик превратились в 153 МБ в Deckhouse Prom++. 

I hope you like it, it's nice a read and you can probably read something on today's Delphi, but even if you know everything it's an interesting way to go down the memory lane, for those who've been using Delphi since that time.

As mentioned, this is my present to the community for Delphi's 30th anniversary, we celebrated recently.

Wiz Research discovered CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 and CVE-2025-1974, a series of unauthenticated Remote Code Execution vulnerabilities in Ingress NGINX Controller for Kubernetes dubbed #IngressNightmare. Exploitation of these vulnerabilities leads to unauthorized access to all secrets stored across all namespaces in the Kubernetes cluster by attackers, which can result in cluster takeover.
. . .
The Vulnerability  
Ingress NGINX deploys an admission controller within its pod, designed to validate incoming ingress objects before they are deployed. By default, admission controllers are accessible over the network without authentication, making them a highly appealing attack vector. 

When the Ingress-NGINX admission controller processes an incoming ingress object, it constructs an NGINX configuration from it and then validates it using the NGINX binary.  Our team found a vulnerability in this phase that allows injecting an arbitrary NGINX configuration remotely, by sending a malicious ingress object directly to the admission controller through the network.  

During the configuration validation phase, the injected NGINX configuration causes the NGINX validator to execute code, allowing remote code execution (RCE) on the Ingress NGINX Controller’s pod. 

The admission controller’s elevated privileges and unrestricted network accessibility create a critical escalation path. Exploiting this flaw allows an attacker to execute arbitrary code and access all cluster secrets across namespaces, that could lead to complete cluster takeover.
. . .
Mitigation & Detection

First, determine if your clusters are using ingress-nginx. In most cases, you can check this by running kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx with cluster administrator permissions.

This vulnerability is fixed in Ingress NGINX Controller version 1.12.1 and 1.11.5. We strongly recommend that cluster admins: 

- Update to the latest version of Ingress NGINX Controller. 

- Ensure the admission webhook endpoint is not exposed externally. 
. . .
From Configuration Injection to RCE 

With a reliable file upload to Ingress NGINX Controller’s pod, we can now put it all together to exploit this issue into a full-blown Remote Code Execution. 

The exploit works as follows: 

- Upload our payload in the form of a shared library to the pod by abusing the client-body buffer feature of NGINX 

- Send an AdmissionReview request to the Ingress NGINX Controller’s admission controller, which contains any one of our directive injections 

- The directive we inject is the ssl_engine directive, which will cause NGINX to load the specified file as a shared library 

- We specify the ProcFS path to the file descriptor of our payload 

- If everything goes well, our shared library is now loaded, and we execute code remotely 

это не научная, а научно-популярная статья, прочитав которую, вы кратко познакомитесь вот с чем.

- Трансцендентные элементарные функции (exp, sin, log, cosh и другие), работающие с арифметикой с плавающей запятой, округляются некорректно, иногда они допускают ошибку в последнем бите.
- Причина ошибок не всегда кроется в лени или низкой квалификации разработчиков, а в одном фундаментальном обстоятельстве, преодолеть которое современная наука пока не смогла.
- Существуют «костыли», которые позволяют худо-бедно справляться с обсуждаемой проблемой в некоторых случаях.
- Некоторые функции, которые должны делать вроде бы одно и то же, могут выдавать различный результат в одной и той же программе, например, exp2(x) и pow(2.0, x).

- Виктор Переверткин сделал значительную переработку менеджера Plung-and-Play в ядре ReactOS. Благодаря этим изменениям ReactOS теперь может запускать больше сторонних драйверов и загружаться с USB-устройств.

Так же данное изменение позволяет ReactOS загружаться на чипсетах с контроллерами EHCI, OHCI и UHCI. Эта работа стала важным шагом на пути к полной совместимости ReactOS с драйверами производителей для Windows.

- Виктор Переверткин импортировал открытый драйвер AC’97 из Windows Driver Kit (WDK). Это обеспечивает работу звука «из коробки» в VirtualBox, если виртуальная машина настроена на использование контроллера ICH AC’97 Audio, а также на ряде материнских плат до 2004 года выпуска.

- Объекты секций (Section Objects) были переработаны Жеромом Гарду (zefklop) для улучшения совместимости с Windows. Это исправило давнюю ошибку, которая мешала запуску исполняемых файлов из удалённых источников, таких как сетевые ресурсы или общие папки виртуальной машины.

- Георг Бишок внёс улучшения в подсистему безопасности ядра (Se). До его работы проверки доступа в ядре всегда проходили успешно, что позволяло любому процессу получить доступ к любому системному объекту. Теперь проверки доступа полностью работают и предотвращают несанкционированный доступ к системным объектам. В результате ядро Windows работает с подавляющим большинством модулей ReactOS.

- В базовый комплект поставки ReactOS был добавлен драйвер сетевой карты DECchip 21140.

В аппаратном исполнении ее уже довольно сложно найти, но знаменита она тем, что используется в качестве эмулируемого сетевого адаптера в виртуальных машинах Connectix / Microsoft Virtual PC / Hyper-V

- Марк Янсен (learn-more) реализовал встроенную поддержку архивов ZIP.

Ветка 0.4.15 была создана 6 месяцев назад. С тех пор в основной ветке активно разрабатываются новые и интересные функции: поддержка UEFI, симметричная многопроцессорность (SMP), новый графический установщик, новый драйвер файловой системы NTFS, управление питанием и поддержка более новых приложений.

Статистика:
- Решено задач в Jira: 1 319
- Коммитов: более 8 600
- Самая старая решённая задача в Jira: CORE-1091 от 19 декабря 2005 года

я решил запустить цикл ополаскивания, но обнаружил, что он, а также другие функции, например, отложенный запуск и экорежим, требуют установки приложения.

Более того, для использования приложения нужно привязать посудомойку к Wi-Fi, настроить облачный аккаунт для какой-то системы под названием Home Connect, и только тогда вы сможете пользоваться всеми функциями машины.
. . .
Приложение? Я бы мог понять наличие удобных функций для тех, кому они нужны. Как в моём новом холодильнике (который я решил не подключать к WiFI): у него есть приложение, позволяющее мониторить температуру внутри или проще искать коды ошибок. Если бы мне нужны были эти дополнительные возможности, которых не было в моём старом холодильнике, то их можно было бы получить.

Но обязательное требование приложения для доступа к функциям, которыми раньше можно было управлять кнопками на самой посудомойке, или по-прежнему можно, если заплатить на 400 долларов больше за «крутую» модель 800? Это печально.
. . .
Что можем сделать мы?

Не думаю, что мы должны прощать подобное производителям.

Во-первых, это позволяет дизайнерам устройств лениться.

Во-вторых, с моей стороны это может показаться какой-то теорией заговора, но мне кажется, это часть запланированного устаревания. Как и в случае с машиной GE, в которой многие детали спроектированы так, чтобы заржаветь спустя пять или десять лет.

Если у вас есть облачное приложение, то для него должен работать облачный сервис. А его поддержка стоит денег.

Абонентской платы пока нет, что означает один из двух вариантов:

Производители уже могут продавать кому-то наши данные.
Рано или поздно они или закроют сервис, потому что это источник затрат (поэтому цикл ополаскивания и экорежим таких посудомоек пропадут, как по мановению волшебной палочки) или они перейдут на модель с подпиской.

В-третьих, это дыра в безопасности вашей локальной сети.

Что случилось?

В период с 30.03.2025 12:25 по 31.03.2025 00:00 (МСК) сервисы Yandex Cloud, расположенные в зоне ru-central1-b, были недоступны. Инцидент был вызван двойным отказом по питанию из-за сбоя на городской высоковольтной подстанции, питающей ряд областных и промышленных объектов, включая дата-центр Яндекса.
. . .
Предотвращение

Корневая причина инцидента – потеря напряжения на двух независимых источниках питания одновременно. Команда Yandex Cloud анализирует возможные варианты предотвращения этого риска (включая вариант добавления третьего независимого источника питания). Об итоговом решении мы сообщим дополнительно.

snapshot-photo (2,448 downloads)

A source code commit referencing tcloud-python-test was made on November 8, 2023, indicating that the package has been available for download on PyPI since then. The package has been downloaded 793 times to date, per statistics from pepy.tech.

Теперь вы покупаете приставку и контроллер, в который по умолчанию встроена кнопка для рекламы. С выходом Nintendo Switch 2 компания решила внедрить кое-что новое — кнопку C, которая активирует встроенный голосовой чат, показ экрана и даже возможность стримить с веб-камерой прямо с консоли. Прорыв? Почти, только в другой части.

Как выяснилось, использовать эти функции бесплатно можно будет только до 31 марта 2026 года. После этого доступ к C-кнопке потребует подписки на Nintendo Switch Online — минимум $20 в год (на текущий момент). Без нее кнопка на корпусе консоли превращается в ссылку на рекламу платного сервиса.
. . .
Представитель Nintendo Билл Тринен в интервью Polygon подтвердил: «Если вы нажмете кнопку без подписки, вы узнаете о преимуществах NSO». То есть, чтобы воспользоваться функцией на консоли за $450, вы должны доплатить, чтобы она вообще работала.