涉及 GitHub、GitLab，研究人员发现 70 个 Web 缓存中毒漏洞；微软：许多攻击者仍对 Log4j 漏洞加以利用；VS 2022 新版发布

开源吞噬世界的趋势下，借助开源软件，基于开源协议，任何人都可以得到项目的源代码，加以学习、修改，甚至是重新分发。关注「开源日报」，一文速览国内外今日的开源大事件吧！

一分钟速览新闻点！

微软：许多攻击者开始对 Log4j 漏洞加以利用
研究人员发现 70 个 Web 缓存中毒漏洞，涉及 GitHub、GitLab、HackerOne 和Cloudflare
Linux 上的 Firefox 与 Chrome 浏览器性能对比揭秘
SQLite 3.37.2 修复了潜在的数据库损坏问题
Rails 7.0.1 发布，支持 Ruby 3.1
Visual Studio 2022 17.1 Preview 2 发布：带来 Git、C++ 和 .NET 增强功能
webfunny——开源前端监控系统

开源大新闻

微软：许多攻击者开始对 Log4j 漏洞加以利用

近日，微软表示，攻击者仍然正在积极利用 Log4j 漏洞，而且在 12 月的最后几周，利用的尝试仍然很多。微软提到，许多现有的攻击者在他们现有的恶意软件工具包和战术中增加了对这些漏洞的利用，扩大利用 Log4j 漏洞的可能性很大。为此，其更新了预防、检测和解决 Log4j 2 漏洞的指南，向客户给出了解决和预防方案，包括鼓励客户利用脚本和扫描工具来评估其风险和影响、建议客户对发现有漏洞的设备进行额外审查，以及微软表示，由于受影响的软件和服务很多，而且考虑到更新的速度，预计这将有一个很长的补救过程，一段时间内需要对该漏洞加以持续不断的警惕。

研究人员发现 70 个 Web 缓存中毒漏洞，涉及 GitHub、GitLab、HackerOne 和Cloudflare

在对许多网站（包括一些高流量在线服务）广泛研究中，安全研究员 Iustin Ladunca（Youstin）最近发现了 70 个具有各种影响的缓存中毒漏洞。Web 缓存中毒攻击是以 Web 服务器和客户端设备之间的中间存储点为目标。中间商通过存储本地版本的 Web 内容来加快向 Web 客户端的传送速度，从而帮助提高网站的性能。Web 缓存中毒攻击操纵了缓存服务器的行为，以及它们如何响应客户的特定 URL 请求。Iustin Ladunca 透露，一些主流的网站都存在一定的 Web 缓存漏洞，其中包括 Apache Traffic Server、GitHub、GitLab、HackerOne 和 Cloudflare 等服务器。

Linux 上的 Firefox 与 Chrome 浏览器性能对比揭秘

近日，外媒 phoronix 在 Linux 平台上对 Mozilla Firefox 和 Google Chrome 浏览器进行了性能测试，以了解这两种主流浏览器的竞争情况。其中以 Chrome 97 与 Firefox 95 为例，基准测试是在配备 Radeon RX 6800 XT 显卡的 AMD Ryzen 9 5950X 台式机上进行，该显卡基于最新的开源驱动程序堆栈。其中在 JetStream、ARES-6、老化的 Octane 等基础测试中，Chrome 在 Linux 平台上的性能表现要远高于 Firefox，不过在 CanvasMark HTML5 画布基准测试、CSS 样式 StyleBench 测试以及 WebAssembly (WASM) 性能方面，Firefox 比 Chrome 更为突出。

SQLite 3.37.2 修复了潜在的数据库损坏问题

SQLite 团队发布警告，SQLite 3.35.0 (2021-03-12) 到 3.37.1 (2021-12-30) 版本中存在可能导致数据库损坏的错误，建议用户升级到 3.37.2 (2022-01-06) 或更高版本。在排查该 Bug 存在的原因时，SQLite 团队回应称此前在数据库中对内存日志重复使用 SAVEPOINT 和 ROLLBACK TO 导致内存使用过多，而后采取了在 ROLLBACK TO 之后“截断”内存中的日志，以控制内存增长。10 个月后，清华大学 Wingtecher 实验室的研究人员首次发现了该漏洞，并在论坛上向 SQLite 团队反馈了该漏洞。1 月 6 日，SQLite 紧急发布了 3.37.2 版本：https://www.sqlite.org/releaselog/3_37_2.html

开源软件专区

Rails 7.0.1 发布，支持 Ruby 3.1

Rails 7.0.1 已正式发布，值得关注的是，该版本支持了于去年圣诞节期间（2021年12月25日）发布的 Ruby 3.1。另外，Rails 7.0.1 还带来了一些错误修复和文档改进：

修复 Class#descendants and DescendantsTracker#descendants
允许命名表达式索引是可逆的；
更改 QueryMethods#in_order_of 以删除值中未列出的记录

更多更新内容详见：https://github.com/rails/rails/releases/tag/v7.0.1

Visual Studio 2022 17.1 Preview 2 发布：带来 Git、C++ 和 .NET 增强功能

微软发布了 Visual Studio 2022 17.1 的第二个预览版本，首先是能够更轻松地在并排视图中，比对当前 Git 和其它分支。其次是支持增强的 Detached Head，开发者能够在其中检查提交、导航到存储库中的旧点并运行。此外 Preview 2 现可相对更快地评估查询请求和团队更新，增强多存储库体验，且集成开发环境（IDE）可灵活地开展轻量级的分支管理操作。

更多更新内容详见：https://docs.microsoft.com/en-us/visualstudio/releases/2022/release-notes-preview#17.1.0-pre.2.0

开源工具推荐

webfunny——开源前端监控系统

webfunny 是一款开源的轻量级前端 Web 监控系统，遵守 Apache 开源协议，可实时分析前端项目健康状态，并生成数据概览。拥有无埋点监控前端日志、程序错误定位、用户行为记录及排查、性能分析等功能。主要功能包括数据概览、错误分析、用户细查、用户连线、性能分析、自定义埋点等等。

GitHub 地址：https://github.com/a597873885/webfunny_monitor

【欢迎投稿】源码面前，了无秘密。大家还有哪些推荐的开源工具或者开源软件，亦或是想了解的开源资讯，可以投稿至邮箱：tumin@csdn.net。开源世界的一切，由你我共同创造！