涉及 GitHub、GitLab,研究人员发现 70 个 Web 缓存中毒漏洞;微软:许多攻击者仍对 Log4j 漏洞加以利用;VS 2022 新版发布 | 开源日报
开源吞噬世界的趋势下,借助开源软件,基于开源协议,任何人都可以得到项目的源代码,加以学习、修改,甚至是重新分发。关注「开源日报」,一文速览国内外今日的开源大事件吧!
一分钟速览新闻点!
- 微软:许多攻击者开始对 Log4j 漏洞加以利用
- 研究人员发现 70 个 Web 缓存中毒漏洞,涉及 GitHub、GitLab、HackerOne 和Cloudflare
- Linux 上的 Firefox 与 Chrome 浏览器性能对比揭秘
- SQLite 3.37.2 修复了潜在的数据库损坏问题
- Rails 7.0.1 发布,支持 Ruby 3.1
- Visual Studio 2022 17.1 Preview 2 发布:带来 Git、C++ 和 .NET 增强功能
- webfunny——开源前端监控系统
开源大新闻
微软:许多攻击者开始对 Log4j 漏洞加以利用
近日,微软表示,攻击者仍然正在积极利用 Log4j 漏洞,而且在 12 月的最后几周,利用的尝试仍然很多。微软提到,许多现有的攻击者在他们现有的恶意软件工具包和战术中增加了对这些漏洞的利用,扩大利用 Log4j 漏洞的可能性很大。为此,其更新了预防、检测和解决 Log4j 2 漏洞的指南,向客户给出了解决和预防方案,包括鼓励客户利用脚本和扫描工具来评估其风险和影响、建议客户对发现有漏洞的设备进行额外审查,以及微软表示,由于受影响的软件和服务很多,而且考虑到更新的速度,预计这将有一个很长的补救过程,一段时间内需要对该漏洞加以持续不断的警惕。
研究人员发现 70 个 Web 缓存中毒漏洞,涉及 GitHub、GitLab、HackerOne 和Cloudflare
在对许多网站(包括一些高流量在线服务)广泛研究中,安全研究员 Iustin Ladunca(Youstin)最近发现了 70 个具有各种影响的缓存中毒漏洞。Web 缓存中毒攻击是以 Web 服务器和客户端设备之间的中间存储点为目标。中间商通过存储本地版本的 Web 内容来加快向 Web 客户端的传送速度,从而帮助提高网站的性能。Web 缓存中毒攻击操纵了缓存服务器的行为,以及它们如何响应客户的特定 URL 请求。Iustin Ladunca 透露,一些主流的网站都存在一定的 Web 缓存漏洞,其中包括 Apache Traffic Server、GitHub、GitLab、HackerOne 和 Cloudflare 等服务器。
Linux 上的 Firefox 与 Chrome 浏览器性能对比揭秘
近日,外媒 phoronix 在 Linux 平台上对 Mozilla Firefox 和 Google Chrome 浏览器进行了性能测试,以了解这两种主流浏览器的竞争情况。其中以 Chrome 97 与 Firefox 95 为例, 基准测试是在配备 Radeon RX 6800 XT 显卡的 AMD Ryzen 9 5950X 台式机上进行,该显卡基于最新的开源驱动程序堆栈。其中在 JetStream、ARES-6、老化的 Octane 等基础测试中,Chrome 在 Linux 平台上的性能表现要远高于 Firefox,不过在 CanvasMark HTML5 画布基准测试、CSS 样式 StyleBench 测试以及 WebAssembly (WASM) 性能方面,Firefox 比 Chrome 更为突出。
SQLite 3.37.2 修复了潜在的数据库损坏问题
SQLite 团队发布警告,SQLite 3.35.0 (2021-03-12) 到 3.37.1 (2021-12-30) 版本中存在可能导致数据库损坏的错误,建议用户升级到 3.37.2 (2022-01-06) 或更高版本。在排查该 Bug 存在的原因时,SQLite 团队回应称此前在数据库中对内存日志重复使用 SAVEPOINT 和 ROLLBACK TO 导致内存使用过多,而后采取了在 ROLLBACK TO 之后“截断”内存中的日志,以控制内存增长。10 个月后,清华大学 Wingtecher 实验室的研究人员首次发现了该漏洞,并在论坛上向 SQLite 团队反馈了该漏洞。1 月 6 日,SQLite 紧急发布了 3.37.2 版本:https://www.sqlite.org/releaselog/3_37_2.html
开源软件专区
Rails 7.0.1 发布,支持 Ruby 3.1
Rails 7.0.1 已正式发布,值得关注的是,该版本支持了于去年圣诞节期间(2021年12月25日)发布的 Ruby 3.1。另外,Rails 7.0.1 还带来了一些错误修复和文档改进:
- 修复 Class#descendants and DescendantsTracker#descendants
- 允许命名表达式索引是可逆的;
- 更改 QueryMethods#in_order_of 以删除值中未列出的记录
更多更新内容详见:https://github.com/rails/rails/releases/tag/v7.0.1
Visual Studio 2022 17.1 Preview 2 发布:带来 Git、C++ 和 .NET 增强功能
微软发布了 Visual Studio 2022 17.1 的第二个预览版本,首先是能够更轻松地在并排视图中,比对当前 Git 和其它分支。其次是支持增强的 Detached Head,开发者能够在其中检查提交、导航到存储库中的旧点并运行。此外 Preview 2 现可相对更快地评估查询请求和团队更新,增强多存储库体验,且集成开发环境(IDE)可灵活地开展轻量级的分支管理操作。
更多更新内容详见:https://docs.microsoft.com/en-us/visualstudio/releases/2022/release-notes-preview#17.1.0-pre.2.0
开源工具推荐
webfunny——开源前端监控系统
webfunny 是一款开源的轻量级前端 Web 监控系统,遵守 Apache 开源协议,可实时分析前端项目健康状态,并生成数据概览。拥有无埋点监控前端日志、程序错误定位、用户行为记录及排查、性能分析等功能。主要功能包括数据概览、错误分析、用户细查、用户连线、性能分析、自定义埋点等等。
GitHub 地址:https://github.com/a597873885/webfunny_monitor
【欢迎投稿】源码面前,了无秘密。大家还有哪些推荐的开源工具或者开源软件,亦或是想了解的开源资讯,可以投稿至邮箱:tumin@csdn.net。开源世界的一切,由你我共同创造!
涉及 GitHub、GitLab,研究人员发现 70 个 Web 缓存中毒漏洞;微软:许多攻击者仍对 Log4j 漏洞加以利用;VS 2022 新版发布 | 开源日报相关推荐
- 研究员发现70个web缓存投毒漏洞,获奖4万美元
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 虽然web 缓存投毒漏洞为人熟知,但仍然会突然出现在网络.安全研究员 Iustin Ladunca (Youstin) 对很多网站展开大规模研究 ...
- 研究人员发现:基于文本的AI模型容易受到改述攻击
由于自然语言处理(NLP)的进步,越来越多的公司和组织开始利用AI算法来执行与文本相关的任务,例如:过滤垃圾邮件.分析社交媒体帖子和评论.评估简历以及检测假新闻. 但是,真的可以相信这些算法能够可靠地 ...
- 安全研究人员发现新的Android恶意软件:已感染1000多万部安卓手机
整理 | 祝涛 出品 | CSDN(ID:CSDNnews) Zimperium发现了一款名为GriftHorse的新型安卓恶意软件,它可以让用户订阅付费短信服务.据报道,GriftHorse恶意软件 ...
- 华硕路由器信息发现服务器,研究人员发现华硕路由器收集用户访问记录等隐私数据...
基于网络发展和使用需求已经越来越多的用户开始选择智能路由器, 但智能归智能安全性倒是非常值得关注. 日前就有安全研究人员发现了华硕路由器使用的 ASUSWRT 存在收集用户的网页访问记录并与趋势科技共 ...
- 研究人员发现西门子工业控制器中的命令执行漏洞
近期,有研究人员发现了西门子SIMATIC S7-1200可编程逻辑控制器(PLC)的新漏洞,可让攻击者在存在漏洞的设备上执行任意代码. 该漏洞和西门子SIMATIC S7-1200可编程逻辑控制器( ...
- 安全研究人员发现:Nanocore等多个远控木马滥用公有云服务传播
前言 攻击者越来越多的采用云来构建自己的基础设施,这样不仅能够使攻击者以最少的时间或金钱部署攻击基础设施,也能让追踪攻击行动变得更困难. 从 2021 年 10 月 26 日开始,研究人员发现多个远控 ...
- ENVI帮助研究人员发现金矿
本文转自:http://www.esrichina-bj.cn/2012/0319/1663.html 遥感影像能让我们实时的获取地理区域的准确信息,这些为很多石油.天然气和矿产的开采提供关键的信息, ...
- 研究人员发现某中国厂商生产的手机固件回传个人信息
安全公司Kryptowire的研究人员发现,安卓手机固件中的一个秘密后门,发送几乎所有个人识别信息到中国的服务器上.包括短信.联系人列表.通话记录.电话号码和设备识别码(包括IMSI和IMSEI)等信 ...
- 研究人员发现物联网存在安全漏洞
日前,密歇根大学和石溪大学的研究人员发表了一篇文章,解释了一种关于物联网安全挑战的新方法.研究人员提出了这个问题:"当我们谈论物联网时,安全科学中有什么新的智力挑战?我们可以使用目前已知的安 ...
最新文章
- SDWebImage中文说明
- LINQ to SQL语句(1)之Where(抄的好)
- 震惊!三个万引大佬嘴仗,原来是为了他……?
- 单独组件_阿里P8年薪百万大牛-教你打造一个Android组件化开发框架
- Echange 的发展史
- Docker学习文档之一 安装软件-Windows环境
- Nodejs+socket.io搭建WebRTC信令服务器
- 手机服务器密码在什么位置,手机远程云服务器登录密码是什么
- 《悟道》读后感---赢在职场
- Jquery表单与表格的运用
- RUP大讲堂(第五讲)-基于用例的需求工程技术
- 扫描仪标准模板滑动采集图像及其处理
- 效果器的使用技巧-与调音台的无缝连接
- npm 安装参数中的 --save-dev 是什么意思
- knowledge transfer
- Mapped Statements collection already contains value for com.bai.dao.Userdao.UserByID
- 大数据即将突破万亿,数据科技如何落地成产品?
- 【Python】基础语法之一:变量、字符串、数、注释
- unity 之 Animation 二 BlendTree
- 小程序下单账号与支付账号不一致不让支付_微信小程序支付流程