压缩工具 XZ 被曝后门,红帽、Debian 等发公告要求紧急停用
据 DoNews 报道,Linux 圈近期发生了一起重大安全事件,主流压缩工具 XZ 被曝出存在后门。该事件引起了广泛关注,包括红帽、Debian 在内的多家知名机构已经发布了安全公告,要求用户紧急停用可能受到影响的 XZ 工具版本。 详细情况 具体来说,Red Hat 公司在最新的 XZ Utils 数据压缩工具和库中发现了一个后门,并敦促用户立即停止使用 Fedora 开发和实验版本。该公司警告称,用户应立即停止在工作或个人活动中使用任意 Fedora 41 或者 Fedora RAWHIDE 实例。目前排查结果显示 Red Hat Enterprise Linux(RHEL)没有任何版本受到影响。 此外,Debian 安全团队也在适用于 Debian unstable(Sid)发行版的 XZ5.6.x版本中找到了相关证据,证明存在后门,可以注入相关代码。在受影响的 Debian 测试版、不稳定版和实验版中,XZ 已被还原为上游的 5.4.5 代码。 安全影响 微软软件工程师安德烈斯・弗罗因德(Andres Freund)在一台 Linux 盒子上调查 Debian Sid(Debian 发行版的滚动开发版本) SSH 登录缓慢问题时,发现了这个安全问题。他发现 XZ 格式压缩实用程序 xz-utils 的上游源代码压缩包已被破解,并在构建时向生成的 liblzma5 库中注入恶意代码。尽管弗罗因德表示目前并未找到在 XZ 5.6.0 和 5.6.1 版本中添加恶意代码的确切目的,但这一供应链安全问题已经被 Red Hat 跟踪,并将其严重性评分定为 10/10。 应对措施 为了解决这个问题,Red Hat 正在跟踪这一供应链安全问题,将其命名为 CVE-2024-3094,并将其严重性评分定为 10/10。同时,Fedora 40 测试版中已恢复使用5.4.x版本的 XZ。对于其他可能受到影响的系统,用户需要及时更新或卸载可能存在问题的 XZ 工具版本,以防止潜在的安全风险。 总的来说,这次事件再次提醒了我们在使用开源软件时需要注意的安全问题,尤其是对于那些核心组件,我们需要更加谨慎地对待其安全性。
阿里云CDN强制HTTPS跳转无法访问原因
最近在帮助一位客户接入阿里云CDN的时候,发现网站源服务器一但开启https强制跳转的时候,就会出现502 Bad Gateway的情况。 为此,尝试过很多方法,比如修改IP回源端口,把80端口改成443,但是效果一样,然后取消掉源站强制HTTPS后就可以正常访问HTTP 和HTTPS,但却无法做到自动跳转HTTPS。 一度怀疑是服务器防火墙原因,但登陆服务器后现服务器并没有安装有防火墙,问了服务器商也没有开防火墙。 就在烦恼的时候,发现原来阿里云CDN即使把回源端口80修改成443后,其回源协议是没有变的,也就是默认HTTP,这样的结果就导致了回源错误,也就是默认没有做回源跟随协议。 找到原因后我们很容易解决,进入回源配置-回源协议,修改回源配置为:跟随即可
03日31日,星期日,在这里每天60秒读懂世界!
1、南方多地3月底暖到破纪录,部分地区超30℃,广州官宣入夏!迎1961年以来“最早夏天“;2、上海:即日起个人消费者购买绿色智能家电可享最高1000元补贴;3、30日早,福建厦门后溪镇一民房起火致4死1伤,知情人:疑似有聚氨酯泡沫被点燃;4、为解除上市对赌失败,王健林以股换钱,交出控制权:引入600亿资金,万达商管估值缩水至1000亿元,过去1年已卖15座万达广场;5、百日咳再现!今年已致13人死亡,发病率是去年同期的23倍,主要通过飞沫传播;6、一中国旅行团南非遭持枪抢劫,造成财产损失,驻南非使馆提醒:提高安全意识,加强风险防范;7、广东:2023年末,全省常住人口12706万人,连续四年出生人口超百万,常住人口增加49万;8、美国修订对华半导体出口管制令,旨在加大中国获取AI芯片的难度,拟于4月4日生效;9、当地30日晚,印尼一军事弹药库发生爆炸:火球笼罩半空,有手榴弹落入居民区,暂无人员伤亡报告;10、拜登政府被爆考虑向数百万非法移民提供永久居留权,马斯克斥民主党“引进选民“;11、美司令:若菲方人员死亡,可援引《美菲共同防御条约》;美媒:美军模拟“应战中国“,面临“令人生畏“的现实障碍;12、美媒:美政府批准向以色列提供新一批武器;拜登:阿拉伯国家拟全面承认以色列;13、泽连斯基首次松口:不恢复乌克兰1991年的边界,也可以与俄和谈;泽连斯基解除了谢尔盖·谢菲尔的乌总统第一助理职务;14、德国议会专家组:北约部队在乌境内被攻击,不会触发集体防御条款,该条款只有当北约成员国本土遇袭时才有效;15、乌克兰东部最大发电厂在俄军空袭中被摧毁!乌美国防部长通话,泽连斯基:没有美国支持,乌军或不得不撤退;俄罗斯下周将启动春季征兵:士兵不会被派前线执行任务。波兰总理警告:欧洲已进入“战前时代“;【微语】只要路是对的,就不害怕遥远。只要认准是值得的,就不在乎沧桑变化。
美国警方示警:盗车团伙日益猖獗,滥用苹果 AirTag 追踪目标车辆
3 月 30 日消息,美国佛蒙特州当局近日发出示警,表示该州居民如果近期有前往加拿大,那么请尽快检查车上是否有隐藏苹果 AirTag。 美国佛蒙特州当局表示已经收到多起车主报告,偷车团队开始滥用苹果的 AirTag,标记想要偷窃的汽车目标,追踪到目标汽车之后偷窃转运到其它国家和地区实现销赃。 当地媒体 WCAX 近日报道了马萨诸塞州居民 Ethan Yang 的遭遇,Yang 经常需要往返蒙特利尔探亲。 在最近一次从蒙特利尔回来的旅行中,苹果公司的“Find My”安全功能启动,提醒他发现 AirTag 正在随身移动。 Yang 表示: 我在返回途中即将越过边境时,我的手机提醒我有一个跟踪装置。当我意识到这一点时,我用手机进行了确认,手机发出了 AirTag 的提示音。 Yang 随后在汽车的前格栅中发现了 AirTag。 IT之家援引佛蒙特州伯灵顿警方报告,这已经不是第一次发生这种情况了。他们收到了大量报告,称有人在前往加拿大旅行后在汽车中发现了 AirTags。归根结底,这是犯罪分子利用 AirTags 追踪汽车的位置,最终偷走汽车。 佛蒙特州情报中心的网络分析师 Ryan McLiverty 说: 盗车团伙可以利用 AirTag 识别和追踪目标车辆,在得手后部分会运往国外销赃。我们注意到这种情况已经发生有一段时间了,但近期越发猖獗,出现了新的高峰,蒙特利尔的犯罪分子利用这项技术追踪汽车,偷窃汽车,然后出售。
京东小时达免运费门槛降低至 29 元,最快 30 分钟送达
3 月 30 日消息,京东今日宣布,小时达业务免运费门槛降低至 29 元,并且已覆盖近 9 成门店(预计指平台店铺),最快 30 分钟送货上门。 用户打开京东 App 进入“小时达”业务板块,在带有“满¥29 免运费”标识的商店下单,即可使用这项服务,目前已经覆盖永辉超市、Ole 精品超市、好特卖等门店(以当地为准)。 据官方介绍,京东小时达是京东旗下的即时零售服务品牌,沃尔玛、永辉超市等超过 40 万家线下门店已入驻,涵盖超市便利、生鲜果蔬、3C 数码、家电家居、个护美妆、服饰运动、酒水母婴、鲜花绿植、蛋糕美食等多个零售业态,目前已覆盖全国超 2000 个县区市。
资源搜索PHP系统源码,后台支持批量导入数据
我在上次的代码发完之后,觉得挺多人应该不会使用这个接口,所以我就以此为原则,开发了一个带前端展示的搜索界面以及一个后台 可用作资源搜索分享以及个人口令等等。 使用教程 1.修改config.php里的数据库信息 2.修改admin.php的账号密码信息 3.后台地址:/admin
国内哪家CDN服务商有俄罗斯节点?
最近有同学问我,国内哪家云服务商提供俄罗斯节点,目前来看,国内各大云服务商都没有俄罗斯的节点,原因可能是俄罗斯并没有开放其它国家运营电信网络,不过如果你想要俄罗斯访问快的话,可以看看隔壁白俄罗斯的,华为云的海外CDN有白俄罗斯的节点。 大区 节点分布(以华为内部业务划分区域) 亚洲 中国香港、中国澳门、中国台湾、日本、韩国、越南、印度、印尼、泰国、菲律宾、新加坡、马来西亚、柬埔寨、老挝、吉尔吉斯斯坦、文莱、缅甸、尼泊尔、孟加拉、蒙古、斯里兰卡、哈萨克斯坦、格鲁吉亚、亚美尼亚、乌兹别克斯坦、塞浦路斯、阿塞拜疆 欧洲 英国、德国、法国、荷兰、西班牙、意大利、 爱尔兰、瑞典、比利时、奥地利、波兰、罗马尼亚、白俄罗斯、葡萄牙、土耳其、摩尔多瓦、保加利亚、拉脱维亚、瑞士、捷克、匈牙利、卢森堡、希腊、克罗地亚、塞尔维亚、芬兰 中东&非洲 阿联酋、沙特、巴基斯坦、卡塔尔、阿曼、科威特、巴林、伊拉克、南非、埃及、肯尼亚、坦桑尼亚、马达加斯加、吉布提、毛里求斯、加纳、安哥拉、尼日利亚、约旦、也门、以色列、塞内加尔 北美洲 美国、加拿大、墨西哥 大洋洲 澳大利亚、新西兰、斐济 南美洲 巴西、智利、阿根廷、秘鲁、哥伦比亚、厄瓜多尔
Win10 操作系统开启 DoH(DNS over HTTPS)加密DNS
Win11 已原生支持 DoH 加密 DNS,就不多赘述了,因为讨厌圆角,以及繁琐的右键,所以回滚到 Windows 10 操作系统,结果发现 Win10 系统不支持加密 DNS 的设置,经过网上查询资料结合自己的实际操作,特此记录一下,以便自己查询同时供小伙伴们参考。 本文 Win10 配置加密 DNS 使用 Cloudflared 实现。版本低于 Windows 10 build 19628 的均可使用。 使用的项目 https://github.com/cloudflare/cloudflared 从 https://github.com/cloudflare/cloudflared/releases 下载对应的系统版本,酷酷下载的是cloudflared-windows-amd64.exe 进入存放 cloudflared-windows-amd64.exe 的目录,管理员权限开启 powershell 运行:.\cloudflared-windows-amd64.exe service install 新建一个配置文件D:\dujin\config.yml(任意位置都可以),内容如下: proxy-dns: true proxy-dns-upstream: - https://223.5.5.5/dns-query - https://doh.pub/dns-query - https://1.1.1.1/dns-query - https://doh.opendns.com/dns-query - https://dns.google/dns-query 这里由于自建了加密 DNS 服务,所以并没有使用上述常用的加密 DNS,如果你也自建了,请改成自己的地址。 修改注册表,注册表路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cloudflared 在 ImagePath 后面添加 yml 文件位置,如 --config D:\dujin\config.yml 以管理员权限运行 powershell,执行 Start-Service Cloudflared 运行之后,将网络的 DNS 改为127.0.0.1即可。
03日30日,星期六,在这里每天60秒读懂世界!
1、29日凌晨,河北邢台一煤矿发生事故2人被困,涉事煤矿2月份曾因多项违规被罚17万;2、29日,江西信丰县一汽车撞倒多名路人,目击者:有孕妇受伤,车辆撞人后没减速继续开,直到开不动,司机疑逃逸。官方:已致2死4伤;3、近期,多名中国留学生、企业人员等在入境美国时遭到无端盘查,外交部:已向美方提出严正交涉;4、小米汽车:主动锁单不可退,共有三次提示,上市24小时大定超8.8万台;威马汽车负债超203亿元,据悉多位高层因合同诈骗、职务侵占等被抓;比亚迪董事长王传福:比亚迪5月推出第五代DM-i混动、续航2000公里;5、华为发布2023年年度报告:销售收入7042亿元,车BU收入同比大增128%;6、哈尔滨:鼓励外地户籍人员购房,最高按购房款3%给予一次性补贴;7、台“海军司令“被曝下周访美,讨论海军合作,外交部:中方坚决反对美台军事勾连;8、金价再创历史新高,国内黄金饰品价格涨破688元/克,多家银行宣布:上调金额。业内:金饰价格未来一个月内有望突破700元/克;9、美被曝制定“禁止接收关键技术的中国芯片企业名单“。外交部:敦促美方立即纠正错误,停止对中国企业实施非法单边制裁和长臂管辖;10、日媒:已有5人服用小林制药保健品后死亡,日本政府:全力回收!中消协:关注有关产品风险,请立即停止服用,配合召回;11、叙军方:当地29日凌晨,叙北部遭以色列和恐怖组织袭击致多人死伤;12、南非发生严重车祸:一大巴失控与桥梁护栏相撞,随后翻滚,已致45死1重伤;13、乌克兰:当地29日凌晨,俄罗斯对乌能源基础设施发动大规模打击;俄外长拉夫罗夫:“5月21日后,或不再承认泽连斯基为乌总统“;14、俄罗斯重启FAB-3000超级炸弹的生产,重量达3吨。乌军总司令:战场形势艰难!泽连斯基:美须迅速通过对乌援助;15、俄方:已证实恐袭嫌犯收到的大量资金来自乌克兰,被用于准备犯罪。美国否认:无稽之谈。塔吉克斯坦9人因涉嫌与恐袭参与者有关联被拘留;【微语】努力最大的动力在于,你可以选择你想要的生活,而不是被生活选择。
百度云加速控制台下线公告
尊敬的云加速客户: 百度云加速已经完成智能云升级改造,新产品为百度云防护,原百度云加速控制台将于2024年4月30日停止对外提供服务。如您有正在使用的产品套餐服务,建议您提前做好规划,完成升级迁移。 具体安排: 4月30日,关闭控制台中我的工单、资源包管理功能,仅保留我的网站中基本配置信息,以及订单管理、消息中心、账户中心和账单管理的基本信息。 4月30日,开启退费通道,并正式停止对外提供服务。 5月30日,关闭服务器,仅保留官网首页通知。届时及以后将无法登录,您在云加速的个人账户信息、产品配置信息、订单记录、开票记录不再能查询到,如有需要请您提前保存。 2024年4月30日停止对外服务后,如您有剩余费用未及时申请退费的,我们保留了客服通道,您依然可以通过客服【 企业QQ ,电话 4008188856】联系我们。5月30日之后,除法律法规另有规定外,我们将对您的个人信息进行删除处理。
北京移动用户可免费领取一年云手机
云手机专业版体验年包,用户领取云手机专业版体验年包,订购立即生效、资费:0元,有效期365天,生效期间不可退订,云手机专业版权益到期自动失效,到期前发提醒短信。到期后云手机使用时长结束,不保留数据,请及时续订或备份数据。 手机号出现停机、换号、注销等情况,导致无法领取的,视为客户主动放弃。若发现用户参与活动过程中存在可疑异常行为或通过非正常方式参与活动(包括不限于恶意违法词,机器作弊等),云手机将有权取消该用户活动资源。 领取地址:https://andmarket.bmcc.com.cn/static/pages/vgop/mkt/#/cloudPhoneYear 此产品仅限北京移动用户办理! 活动截止时间:2024年3月31日
21.59 万元起,小米汽车 SU7 正式发布
“科技昨夜今晨”时间,大家好,现在是 2024 年 3 月 29 日星期五,今天的重要科技资讯有: 1、小米汽车 SU7 / Pro / Max 正式发布并上市,售价 21.59 万元-29.99 万元 3 月 28 日晚小米首款汽车小米汽车 SU7 正式发布并上市,新车定位于“C 级高性能生态科技轿车”,提供双电机版本和单电机版本车型选择,并提供容量为 73.6 千瓦时以及 101 千瓦时电池可选,售价 21.59 万元-29.99 万元。 其他内容包括: 蔚小理创始人再聚首,三人共同亮相小米汽车 SU7 发布会 紫蓝橙灰黑白:雷军官宣小米 SU7 车型六款新增配色,另有四款内饰 小米 SU7 车型拥有 32 个收纳位,自带 1/4 螺纹接口支持手机支架 小米发布全景天幕遮阳帘、米家前风挡遮阳伞:SU7 专属定制 小米 SU7 车型 56 英寸 HUD 至高亮度 13000 尼特,对焦距离 7.7m 小米 SU7 车型支持自定义驾驶模式,可通过参数调节实现漂移状态 小米 SU7 车型第三方充电桩兼容性 99% 以上,将在北上杭开建 600kW 液冷超充站 小米汽车 SU7 补能信息公布:标准版基于 486V 高压平台,15 分钟增加续航 350km 小米智能驾驶 Pro / Max 高低配技术同源,城市 NOA 官宣 4 月开测 小米汽车 SU7 展示“智能生活”:在家用小爱音箱即可备车,在车内可与门铃对讲 小米汽车 SU7 海量配件发布:支持苹果 iPad 上车,拓展物理按键、氛围灯、无线充支架等 可“识别前车型号”,小米 SU7 车型内置全新小爱 AI 大模型智能语音 2、OPPO Find X7 系列手机将行业首发支持 5.5G OPPO Find 系列产品负责人周意保 3 月 28 日宣布:“和大家一起进入 5.5G 新移动网络时代”,并晒出手机截图,可以清晰地看到 5G-A 标志。博主 @数码闲聊站 透露,OPPO Find X7 系列手机即将行业首发支持 5G-A。 3、宇通集团与宁德时代合作发布 15 年 150 万公里长寿命电池 在 3 月 28 日上午的宇通新能源商用车全系新品发布会上,宇通集团与宁德时代合作发布 15 年 150 万公里长寿命电池,能够满足客车、轻卡、重卡等不同细分市场,未来将用于宇通客车和宇通重工等相关产品。 4、西门子否认“彻底撤离中国”:未来仍将继续坚定在中国发展 据“上海网络辟谣”微信公众号消息,近日,一条关于西门子公司将“彻底撤离中国”的消息在网络流传。西门子这样长期深耕中国市场、在中国家喻户晓的外企真要撤离中国? 上海辟谣平台求证后了解到,传言不实。西门子公司表示,企业也注意到了相关的传言,该信息与事实不符。中国是西门子全球最重要的市场之一,西门子从未发表过退出中国市场的消息,未来仍将继续坚定在中国发展。 5、号称全球最强开源 AI 模型,DBRX 登场:1320 亿参数,语言理解、编程能力等均超 GPT-3.5 初创公司 Databricks 近日发布公告,推出了开源 AI 模型 DBRX,声称是迄今为止全球最强大的开源大型语言模型,比 Meta 的 Llama 2 更为强大。 6、苹果 iPhone 12 用户福音:升级 iOS 17.4 后可体验 15W 无线充电 据 Macworld 报道,iOS 17.4 为 iPhone 12 带来了使用 Qi2 标准进行 15W 无线充电的功能。当 iPhone 12 更新到 iOS 17.4 后,使用 Qi2 无线充电器可以实现 15W 的充电速度。 7、兰博基尼发布全新 Logo,开启电气化新时代 意大利超级跑车制造商兰博基尼时隔二十余年首次更新品牌 Logo,旨在通过焕新设计更好地诠释品牌 “勇敢、意想不到和纯正” 的品牌价值。 新版 LOGO 的整体造型与旧版相比差别并不明显,主要变化在于将原本亮眼的金色色调改为更为低调的青铜色,兰博基尼的品牌名称也换上了更宽的字体,象征着品牌清晰的定位。 8、消息称苹果首款折叠屏 iPhone 推迟至 2027 年发布 据 Alpha Biz 报道称,由于难以寻获符合其高标准的折叠屏等部件,苹果已经将可折叠 iPhone 原定于 2026 年第四季度的发布计划调整至 2027 年第一季度。 9、智己全新车型 L6 将于 4 月 8 日国内亮相,5 月正式上市 据易车网报道,智己汽车的第三款车型 —— 智己 L6,将于 4 月 8 日在国内亮相。随后,新车将参展同月的 2024 北京国际汽车展览会,并于 5 月正式上市。 10、雷军称小米汽车 SU7 顶配版原定价 35 万元,因车企降价潮而调整 据财联社报道,雷军在接受采访时表示:“纯电汽车行业,除了特斯拉之外,我也不知道哪家还在赚钱。小米汽车 SU7 的定价既要让消费者觉得我们有诚意,同时其中的亏损也要我们能够扛得起。22.9 万(注:也有报道称是 23.9 万)是我们原来的定价,顶配版原来的定价是 35 万,但后来(车企降价)把我们搞蒙了,所以我们决定诚意做到底,标准版定价就比 学习版el 3 低 3 万,MAX 版就定在了 29.9 万元。” 今天就先聊到这里,科技昨夜今晨,咱们明天见。
