层叠 - The Cascading
#PSA: xz 5.6.0/5.6.1 版本存在后门。请立即更新。 https://www.openwall.com/lists/oss-security/2024/03/29/4 CVE: CVE-2024-3094 (CVSS: 10.0 Critical) #xz #Security #Backdoor
GitHub
GitHub - tukaani-project/xz: XZ Utils
XZ Utils. Contribute to tukaani-project/xz development by creating an account on GitHub.
6/6 起,Let's Encrypt 将换用新中间证书。
- Let's Encrypt 的新中间证书包括用于替代 R3/R4 的 R10-R14(RSA,其中 R12-R14 为备用)及用于替代 E1/E2 的 E5-E9(ECDSA,其中 E7-E9 为备用)。欲了解 LE 各证书的当前信任链,请参 [1]。
- LE 的 ECDSA 根证书 ISRG Root X2 已经在大量系统中被信任,它将可以不再依赖 ISRG Root X1 的 cross-sign。因此,用户将可以使用全 ECDSA 证书链(X2 -> E5/E6 -> 叶证书);这会进一步减小 TLS 握手体积。
letsencrypt.org/~
1. https://letsencrypt.org/certificates/
#LetsEncrypt
- Let's Encrypt 的新中间证书包括用于替代 R3/R4 的 R10-R14(RSA,其中 R12-R14 为备用)及用于替代 E1/E2 的 E5-E9(ECDSA,其中 E7-E9 为备用)。欲了解 LE 各证书的当前信任链,请参 [1]。
- LE 的 ECDSA 根证书 ISRG Root X2 已经在大量系统中被信任,它将可以不再依赖 ISRG Root X1 的 cross-sign。因此,用户将可以使用全 ECDSA 证书链(X2 -> E5/E6 -> 叶证书);这会进一步减小 TLS 握手体积。
letsencrypt.org/~
1. https://letsencrypt.org/certificates/
#LetsEncrypt
letsencrypt.org
Deploying Let's Encrypt's New Issuance Chains
On Thursday, June 6th, 2024, we will be switching issuance to use our new intermediate certificates. Simultaneously, we are removing the DST Root CA X3 cross-sign from our API, aligning with our strategy to shorten the Let’s Encrypt chain of trust. We will…
#CVE:PuTTY 使用 ECDSA p-521 密钥对的方式不安全;攻击者或能从大量签名中还原私钥。
建议立即废弃使用有任何被 PuTTY 0.68-0.80 版本等软件使用过的 ECDSA NIST p-521 密钥;更新软件不能保护已存在风险的私钥。
- 受影响的软件还包括 FileZilla 3.67.0 前、WinSCP 6.3.3 前、TortoiseGit 2.15.0.1 前、TortoiseSVN 1.14.6 前等。在这些软件上使用过的 ECDSA p-521 密钥均受影响。
- 在 SSH 中,此类密钥对的公钥通常以
- 其它类别密钥,包括尺寸更小的 ECDSA p-256/p-384 等及 Ed25519 等不受影响。
- 出现此问题的原因是 PuTTY 对密钥对的使用方式不标准,不过这也无可厚非:PuTTY 在 2001 年就存在此类使用例,而标准 RFC6979 在 2013 年才发布。 [1]
CVE: CVE-2024-31497
fixed-in: 0.81
cve.mitre.org/~
1. www.chiark.greenend.org.uk/~
#CVE #PuTTY
建议立即废弃使用有任何被 PuTTY 0.68-0.80 版本等软件使用过的 ECDSA NIST p-521 密钥;更新软件不能保护已存在风险的私钥。
- 受影响的软件还包括 FileZilla 3.67.0 前、WinSCP 6.3.3 前、TortoiseGit 2.15.0.1 前、TortoiseSVN 1.14.6 前等。在这些软件上使用过的 ECDSA p-521 密钥均受影响。
- 在 SSH 中,此类密钥对的公钥通常以
ecdsa-sha2-nistp521
识别名开头。- 其它类别密钥,包括尺寸更小的 ECDSA p-256/p-384 等及 Ed25519 等不受影响。
- 出现此问题的原因是 PuTTY 对密钥对的使用方式不标准,不过这也无可厚非:PuTTY 在 2001 年就存在此类使用例,而标准 RFC6979 在 2013 年才发布。 [1]
CVE: CVE-2024-31497
fixed-in: 0.81
cve.mitre.org/~
1. www.chiark.greenend.org.uk/~
#CVE #PuTTY
cve.mitre.org
CVE -
CVE-2024-31497
CVE-2024-31497
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
DebConf24 将于 7/28-8/4 在韩国釜山举行,现已开放报名。
debconf24.debconf.org/~
EDIT 4/17: 修正日期;7/21-7/27 为 DebCamp。
#Debian
debconf24.debconf.org/~
EDIT 4/17: 修正日期;7/21-7/27 为 DebCamp。
#Debian
DebConf 24
DebConf24 registration and CfP are open — DebConf 24
None
Musk 称 Twitter 计划向注册三个月内希望发布内容的用户收费。
TechCrunch 还提到:
- Musk 称此举是为了阻止机器人账户,目前的 AI 可以轻松通过人机验证。
- 2023 年 10 月,Twitter 已经开始在新西兰和菲律宾向希望点赞/回复/发文的新账户收取 $1 的年费。
techcrunch.com/~
#Twitter
TechCrunch 还提到:
- Musk 称此举是为了阻止机器人账户,目前的 AI 可以轻松通过人机验证。
- 2023 年 10 月,Twitter 已经开始在新西兰和菲律宾向希望点赞/回复/发文的新账户收取 $1 的年费。
techcrunch.com/~
TechCrunch
Elon Musk plans to charge new X users to enable posting
Elon Musk is planning to charge new X users a small fee to enable posting on the social network and to curb the bot problem.
层叠 - The Cascading
Tik Tok 向用户发送推送通知,呼吁用户致电其议员反对封禁 Tik Tok。 - 美国众议院一委员会全票通过要求 Tik Tok 与字节跳动剥离的法案。此法案下周将交于众议院投票。 - Tik Tok 称此损害言论自由与创作者生计,呼吁用户联系议员。 - 有议员称自己收到大量来自儿童的来电。 1. theverge.com/~ 2. politico.com/~ #TikTok #US
美国众议院通过法案,要求 Tik Tok 一年内从字节跳动分离,否则将禁止其运作。
美国总统 Joe Biden 此前称,如果法案在议院获通过,他将签署此法案。 [1]
theverge.com/~
1. apnews.com/~
thread: /4468
#US #TikTok
美国总统 Joe Biden 此前称,如果法案在议院获通过,他将签署此法案。 [1]
theverge.com/~
1. apnews.com/~
thread: /4468
#US #TikTok
The Verge
House bundles TikTok ‘ban’ in a foreign package
The TikTok divest-or-ban bill is going to the Senate again
Citizen Lab 分析称多款中文输入法的云输入功能存在漏洞,可用于获取用户输入内容。
研究者建议用户更新输入法、停用云端功能及停用 iOS 中输入法的「允许完整访问权」选项。
报告称:
- QQ 拼音也被发现和之前发现的搜狗输入法一样 [1] 的自制加密算法的漏洞。百度输入法自制的被称为「Baidu CTR」的 AES 加密模式亦存在漏洞。
- 三星键盘被发现使用 HTTP 明文协议发送用户输入数据及与云输入服务进行交互。
- 在 Citizen Lab 告知漏洞详情后,除 QQ 拼音 Windows 版和荣耀设备上默认启用的百度输入法,其它软件均在更新版本中对漏洞进行修正。
- 百度修复了报告中的几个最严重的漏洞,但并未修复其余报告的漏洞。不过目前研究者已经无法获取百度云输入用户的输入内容。
- 腾讯修复了数个定制/非定制版搜狗输入法及 QQ 拼音 Android 版中的漏洞。QQ 拼音 Windows 版的漏洞则由于产品停运而并未进行修正。
citizenlab.ca/~
1. /4284
#China #IME #Privacy
研究者建议用户更新输入法、停用云端功能及停用 iOS 中输入法的「允许完整访问权」选项。
报告称:
- QQ 拼音也被发现和之前发现的搜狗输入法一样 [1] 的自制加密算法的漏洞。百度输入法自制的被称为「Baidu CTR」的 AES 加密模式亦存在漏洞。
- 三星键盘被发现使用 HTTP 明文协议发送用户输入数据及与云输入服务进行交互。
- 在 Citizen Lab 告知漏洞详情后,除 QQ 拼音 Windows 版和荣耀设备上默认启用的百度输入法,其它软件均在更新版本中对漏洞进行修正。
- 百度修复了报告中的几个最严重的漏洞,但并未修复其余报告的漏洞。不过目前研究者已经无法获取百度云输入用户的输入内容。
- 腾讯修复了数个定制/非定制版搜狗输入法及 QQ 拼音 Android 版中的漏洞。QQ 拼音 Windows 版的漏洞则由于产品停运而并未进行修正。
citizenlab.ca/~
1. /4284
#China #IME #Privacy
The Citizen Lab
敲敲打打:一系列云端输入法漏洞使网络攻击者得以监看个人用户的输入内容(摘要) - The Citizen Lab
在我们测试的九家厂商的应用程序中,仅有华为的产品未发现任何上传用户输入内容至云端相关的安全问题,其余每一家厂商都至少有一个应用程序含有漏洞,使得被动型网络攻击者得以监看用户输入的完整内容。
自称官方的微信公众号称 z-lib 将阻断中国大陆访问;文章目前已被删除。
微信公众号文章称,Z-Library 将不再接收大陆捐赠、阻断大陆用户访问,并停止中国大陆的 Z-Points 项目,并提到将在对书籍进行审查和下架后恢复大陆用户访问。
Z-Library 网站上链接到的 Z-Library 中文频道则称 [1] 将不会限制大陆的用户访问和 Z-Points 运行,并提到愿意为了防止封锁而将书籍对特定地区用户隐藏。
mp.weixin.qq.com/~ [失效链接] | web.archive.org
1. https://www.tg-me.com/zlib_china_official/57
#Zlibrary #China
微信公众号文章称,Z-Library 将不再接收大陆捐赠、阻断大陆用户访问,并停止中国大陆的 Z-Points 项目,并提到将在对书籍进行审查和下架后恢复大陆用户访问。
Z-Library 网站上链接到的 Z-Library 中文频道则称 [1] 将不会限制大陆的用户访问和 Z-Points 运行,并提到愿意为了防止封锁而将书籍对特定地区用户隐藏。
mp.weixin.qq.com/~ [失效链接] | web.archive.org
1. https://www.tg-me.com/zlib_china_official/57
#Zlibrary #China
Google 裁员,波及公司内 Python、Dart、Flutter 等团队的成员。
Google 向 TechCrunch 回应称确有发生裁员,但未确认裁员细节;Google 也提到 Flutter 在今年五月的 Google I/O 会宣布新进展。
techcrunch.com/~
#Google #Layoff #Python #Dart #Flutter
Google 向 TechCrunch 回应称确有发生裁员,但未确认裁员细节;Google 也提到 Flutter 在今年五月的 Google I/O 会宣布新进展。
techcrunch.com/~
#Google #Layoff #Python #Dart #Flutter
TechCrunch
Google lays off staff from Flutter, Dart and Python teams weeks before its developer conference
Ahead of Google’s annual I/O developer conference in May, the tech giant has laid off staff across key teams like Flutter, Dart, Python and others, according to reports from affected employees shared on social media. Google confirmed the layoffs to TechCrunch…
FCC 处罚数家美国通讯公司,因其违法私自出售客户位置信息。
受到处罚的公司包括 AT&T、Sprint、T-Mobile 及 Verizon。总罚金约 1.96 亿美元。
fcc.gov/~
#FCC #US #Privacy
受到处罚的公司包括 AT&T、Sprint、T-Mobile 及 Verizon。总罚金约 1.96 亿美元。
fcc.gov/~
#FCC #US #Privacy
www.fcc.gov
FCC Fines Largest Wireless Carriers for Sharing Location Data
美国航空系统误将 101 岁老人识别为婴儿。
BBC 报道:美航将 1922 年出生的成人票旅客识别为 2022 年出生。
[感谢 夜坂雅 提供此消息。]
https://www.bbc.com/news/articles/c9wz7pvvjypo
#US #CompSci
BBC 报道:美航将 1922 年出生的成人票旅客识别为 2022 年出生。
[感谢 夜坂雅 提供此消息。]
https://www.bbc.com/news/articles/c9wz7pvvjypo
#US #CompSci
BBC News
Airline keeps mistaking 101-year-old woman for baby
An IT glitch leaves the cabin crew expecting to welcome a baby on board rather than a centenarian.
微软消费者账户 (MSA) 现可使用 Passkey 登录。
microsoft.com/~
linksrc: https://www.tg-me.com/CE_Observe/32952
* 注:各平台对 Passkey 备份的支持不同,但大多只支持云端备份或完全不支持备份。在配置 Passkey 前,请审慎考虑对 Passkey 保存厂商的信任及 Passkey 丢失/遗失带来的潜在问题。
#Microsoft #Passkey
microsoft.com/~
linksrc: https://www.tg-me.com/CE_Observe/32952
* 注:各平台对 Passkey 备份的支持不同,但大多只支持云端备份或完全不支持备份。在配置 Passkey 前,请审慎考虑对 Passkey 保存厂商的信任及 Passkey 丢失/遗失带来的潜在问题。
#Microsoft #Passkey
Microsoft Security Blog
New passkey support for Microsoft consumer accounts | Microsoft Security Blog
Today, we’re announcing passkey support for Microsoft consumer accounts, the next step toward our vision of simple, safe access for everyone.
一位开发者发现,大量用户运行的某备份程序默认会上传到特定名称的 S3 存储桶。
这些由于权限原因未能成功的 S3 上传 (PUT) 请求约有每天 100 万次,总共为这位开发者带来了约 $1300 的计费。
在开发者公开此事后,AWS 联系其并取消了这笔费用。
arstechnica.com/~
#S3 #Security
这些由于权限原因未能成功的 S3 上传 (PUT) 请求约有每天 100 万次,总共为这位开发者带来了约 $1300 的计费。
在开发者公开此事后,AWS 联系其并取消了这笔费用。
arstechnica.com/~
#S3 #Security
Ars Technica
AWS S3 storage bucket with unlucky name nearly cost developer $1,300
Amazon says it's working on stopping others from "making your AWS bill explode."
systemd 256 版将发布 run0 工具,旨在替代 sudo。
- run0 将不是 SUID 程序,而是 systemd-run 在某种程度上的包装。
- run0 希望解决 sudo 的一些安全隐患,其中最大的一点是 sudo 是 SUID。
- run0 会利用 Polkit 进行权限管理,而不会利用(也不会兼容) sudoers 文件等配置格式。
- run0 在用户提权时会将终端背景变色。默认是暗红,但也可以指定其它颜色。
- https://mastodon.social/@pid_eins/112353324518585654
- https://news.itsfoss.com/systemd-run0/
#systemd #sudo
- run0 将不是 SUID 程序,而是 systemd-run 在某种程度上的包装。
- run0 希望解决 sudo 的一些安全隐患,其中最大的一点是 sudo 是 SUID。
- run0 会利用 Polkit 进行权限管理,而不会利用(也不会兼容) sudoers 文件等配置格式。
- run0 在用户提权时会将终端背景变色。默认是暗红,但也可以指定其它颜色。
- https://mastodon.social/@pid_eins/112353324518585654
- https://news.itsfoss.com/systemd-run0/
#systemd #sudo
Mastodon
Lennart Poettering (@[email protected])
5️⃣ Here's the 5th installment of my series of posts highlighting key new features of the upcoming v256 release of systemd.
I am pretty sure all of you are well aware of the venerable "sudo" tool that is a key component of most Linux distributions since…
I am pretty sure all of you are well aware of the venerable "sudo" tool that is a key component of most Linux distributions since…
Apple 发布:M2 芯片 iPad Air ($599 起)、M4 芯片 iPad Pro ($999 起)、Apple Penil Pro ($129)、Magic Keyboard ($299 起)。
请随意阅读世界各地 Apple 爱好者的新闻稿。
techcrunch.com/~
* The Cascading 不是专业 Apple 媒体,无法提供 Apple 产品的购买建议。
#Apple
请随意阅读世界各地 Apple 爱好者的新闻稿。
techcrunch.com/~
* The Cascading 不是专业 Apple 媒体,无法提供 Apple 产品的购买建议。
#Apple
TechCrunch
Here's everything Apple just announced at its Let Loose event, including new iPad Pro with M4 chip, iPad Air, Apple Pencil and…
Today is Apple iPad Event day, and we bring you all the iPad goodness you can stand, including if some of the rumors are true of what’s coming, like a new
SEGA 发布:「25 时,在 Nightcord。」组合翻唱《Bad Apple!!》。
https://www.youtube.com/watch?v=v-fc1zv31zE
#ProjectSekai #Touhou #today
https://www.youtube.com/watch?v=v-fc1zv31zE
#ProjectSekai #Touhou #today
YouTube
Bad Apple!! feat.SEKAI / 25時、ナイトコードで。 × 初音ミク
『Bad Apple!! feat.SEKAI』25時、ナイトコードで。 × 初音ミク作詞:Haruka作曲:ZUN(上海アリス幻樂団) https://twitter.com/korindo編曲:ビートまりお×まろん、まらしぃ、Masayoshi Minoshimahttps://twitter.com/bea...