有用户发现自己冷钱包中的数字货币不翼而飞。经过调查后,研究者发现 Libbitcoin Explorer 的 3.x 及 2.x 版本均存在使用非 CSPRNG 生成公私钥对的问题:不同用户可能会生成相同的公私钥对。已经有使用 Libbitcoin Explorer 3.x 版本生成公私钥对用户的钱包被窃。
漏洞研究者和 Libbitcoin 团队联系时,后者认为这并非一个漏洞,因为相关命令在文档中明确被标记为不应用于生成安全的钱包公私钥。研究者还发现,从 1.x - 3.x 间,Libbitcoin 使用了不同种类的随机数生成实现,而 3.x 使用的实现相比 2.x 反而更容易被攻击。
CVE: CVE-2023-39910
https://milksad.info
linksrc: https://www.tg-me.com/bupt_moe/1913
#Cryptography #Crypto
漏洞研究者和 Libbitcoin 团队联系时,后者认为这并非一个漏洞,因为相关命令在文档中明确被标记为不应用于生成安全的钱包公私钥。研究者还发现,从 1.x - 3.x 间,Libbitcoin 使用了不同种类的随机数生成实现,而 3.x 使用的实现相比 2.x 反而更容易被攻击。
CVE: CVE-2023-39910
https://milksad.info
linksrc: https://www.tg-me.com/bupt_moe/1913
#Cryptography #Crypto
Telegram
bupt.moe
#security
Libbitcoin Explorer 使用了 PRNG 而非 CSPRNG 作为随机数初始源,导致私钥强度不够可能被攻击者猜出。
Libbitcoin Explorer 开发者否认这是一个bug。
编者评:开发者行为很奇怪,据披露文件说在 v2.3.0 (2017年) 的时候还是使用的 std::random_device + std::uniform_int_distribution 来作为随机数源的(也不安全), v3.0.0 之后就改成 get_clock_speed()…
Libbitcoin Explorer 使用了 PRNG 而非 CSPRNG 作为随机数初始源,导致私钥强度不够可能被攻击者猜出。
Libbitcoin Explorer 开发者否认这是一个bug。
编者评:开发者行为很奇怪,据披露文件说在 v2.3.0 (2017年) 的时候还是使用的 std::random_device + std::uniform_int_distribution 来作为随机数源的(也不安全), v3.0.0 之后就改成 get_clock_speed()…
🐳29🤔9🎉7🤨3⚡2
除了欧洲之外 [1],沙特阿拉伯也开始要求电子设备拥有 Type-C 接口。2025 年开始,手机及外设将需要有 Type-C 接口;对于笔记本电脑和平板电脑设备等,这个时间则是 2026 年 4 月。
https://9to5mac.com/2023/08/09/saudi-arabia-usb-c-mandatory/
1. www.europarl.europa.eu/~
#SA #EU #TypeC
https://9to5mac.com/2023/08/09/saudi-arabia-usb-c-mandatory/
1. www.europarl.europa.eu/~
#SA #EU #TypeC
9to5Mac
Saudi Arabia makes USB-C mandatory for electronic devices
iPhone 15 is coming next month, and multiple rumors suggest Apple will finally switch from its proprietary Lightning connector to...
👍46👎3❤1
环球音乐集团 (UMG)、索尼音乐娱乐 (SME) 及多家音乐厂牌起诉 Internet Archive,称后者的 Great 78 Project 归档侵犯了其 2749 首歌曲的版权,或为其造成了高达 4.12 亿美元的损失。
Great 78 Project [1] 是一个旨在通过物理及数字方式保存 78 转黑胶唱片资料的项目。这种唱片盛行于 20 世纪初至 20 世纪 50 年代。
www.reuters.com/~
1. https://great78.archive.org/
#Sony #UMG #Copyright #Music #Archive
Great 78 Project [1] 是一个旨在通过物理及数字方式保存 78 转黑胶唱片资料的项目。这种唱片盛行于 20 世纪初至 20 世纪 50 年代。
www.reuters.com/~
1. https://great78.archive.org/
#Sony #UMG #Copyright #Music #Archive
Reuters
Music labels sue Internet Archive over digitized record collection
Universal Music Group , Sony Music Entertainment and other record labels on Friday sued the nonprofit Internet Archive for copyright infringement over its streaming collection of digitized music from vintage records.
👎65🔥3🎉3🐳1
在 iPhone 上,只通过控制中心操作是无法关闭设备的蓝牙的;用户需要在设置中关闭蓝牙。
一位黑客花 70 美元制作了一台设备,会在约 15 米近场内通过 BLE 向附近的 iPhone 设备不断弹窗提示配对设备。在今年的著名黑客大会 Def Con 中,许多游客可能发现自己的 iPhone 设备上不断弹窗请求链接自己的 Apple ID 至一台 Apple TV,或是向一台 Apple TV 共享密码,这都是这台设备引发的。
制作这台设备的黑客 Bochs 提到,这台设备并没有收集任何用户数据,但这不代表其它骇客不会收集;这个例子旨在提醒用户通过设置完全关闭 iPhone 上的蓝牙功能,而非只在控制中心进行操作。也有报告称,启用了 Lockdown Mode 的设备并不会受到影响。安全研究机构 Trail of Bits 的 CEO 则对此举感到不悦,认为这位黑客应该向 Apple 报告此漏洞,而非利用它来侵犯用户。
Apple 并未对此置评。
- techcrunch.com/~
- techcrunch.com/~
seealso: HackerNews:37154473
#iOS #Bluetooth #Privacy #Defcon
一位黑客花 70 美元制作了一台设备,会在约 15 米近场内通过 BLE 向附近的 iPhone 设备不断弹窗提示配对设备。在今年的著名黑客大会 Def Con 中,许多游客可能发现自己的 iPhone 设备上不断弹窗请求链接自己的 Apple ID 至一台 Apple TV,或是向一台 Apple TV 共享密码,这都是这台设备引发的。
制作这台设备的黑客 Bochs 提到,这台设备并没有收集任何用户数据,但这不代表其它骇客不会收集;这个例子旨在提醒用户通过设置完全关闭 iPhone 上的蓝牙功能,而非只在控制中心进行操作。也有报告称,启用了 Lockdown Mode 的设备并不会受到影响。安全研究机构 Trail of Bits 的 CEO 则对此举感到不悦,认为这位黑客应该向 Apple 报告此漏洞,而非利用它来侵犯用户。
Apple 并未对此置评。
- techcrunch.com/~
- techcrunch.com/~
seealso: HackerNews:37154473
#iOS #Bluetooth #Privacy #Defcon
TechCrunch
This $70 device can spoof an Apple device and trick you into sharing your password
A researcher built a $70 contraption designed to send pop-up prompts to nearby iPhones, which could trick targets into giving away their password.
🔥26🤔11👍7🎉7❤2🐳2🤨2
8/5 起,OONI 检测到 Telegram 在伊拉克的可用性降低。有机构监测到伊拉克当局利用 BGP 劫持将 Telegram 的 IP 地址劫持到 Bitbucket 的 AS。不过由于 Telegram 所在 AS 有配置 ROA (Route Origin Authoriations),此劫持并未影响伊拉克以外的用户。当局称原因是有用户在 Telegram 频道公开伊拉克公民个人资料,而 Telegram 并未回应当局要求。
数日后,伊拉克当局解除国内对 Telegram 的屏蔽,称原因是 Telegram 公司回应了当局的请求。Telegram 告知 Reuters 记者,称其不允许用户在其平台上未经允许发布个人信息,也并未向伊拉克当局透露用户个人信息。
- https://www.kentik.com/blog/iraq-blocks-telegram-leaks-blackhole-bgp-routes/
- techcrunch.com/~
#Iraq #Telegram #BGP
数日后,伊拉克当局解除国内对 Telegram 的屏蔽,称原因是 Telegram 公司回应了当局的请求。Telegram 告知 Reuters 记者,称其不允许用户在其平台上未经允许发布个人信息,也并未向伊拉克当局透露用户个人信息。
- https://www.kentik.com/blog/iraq-blocks-telegram-leaks-blackhole-bgp-routes/
- techcrunch.com/~
#Iraq #Telegram #BGP
Kentik
Iraq Blocks Telegram, Leaks Blackhole BGP Routes
This past weekend, the government of Iraq blocked the popular messaging app Telegram, citing the need to protect Iraqi’s personal data. However, when an Iraqi government network leaked out a BGP hijack used for the block, it became yet another BGP incident…
🔥15👎6🤨6❤1🎉1
SUSE 公司最大股东 Marcel 计划将 SUSE 转为私有化,从法兰克福交易所退市。
Marcel 出价每股 16 欧回购 SUSE 之股份,消息发布前 SUSE 公开股价约为每股 10 欧元。
https://www.phoronix.com/news/SUSE-Going-Private
#SUSE
Marcel 出价每股 16 欧回购 SUSE 之股份,消息发布前 SUSE 公开股价约为每股 10 欧元。
https://www.phoronix.com/news/SUSE-Going-Private
#SUSE
Phoronix
SUSE To Be Taken Private By Its Largest Shareholder
The SUSE organization has changed hands many times over the years..
🤔24🎉3👎1
法国计划通过 SREN 法案,法案的第六条强制浏览器厂商根据政府要求在浏览器中屏蔽特定站点。Mozilla 正在举行请愿活动,号召互联网用户在其请愿书上签名,反对此法案的的这一部分立法。
- https://blog.mozilla.org/netpolicy/2023/06/26/france-browser-website-blocking/
- foundation.mozilla.org/~
EDIT 8/23: 修正一个 typo。
#France #Browser
- https://blog.mozilla.org/netpolicy/2023/06/26/france-browser-website-blocking/
- foundation.mozilla.org/~
EDIT 8/23: 修正一个 typo。
#France #Browser
Open Policy & Advocacy
France’s browser-based website blocking proposal will set a disastrous precedent for the open internet
Article 6 (para II and III) of the SREN Bill would force providers to create the means to mandatorily block websites on a government provided list encoded into the browser.
👎60🤨6🔥5❤1🎉1
从昨天 (8/24) 早上起,有用户发现部分软件(例如 ERP 软件金蝶)无法打开,原因是其代码签名所用根证书 "thawte Primary Root CA" [1] 被 Windows 平台停止信任(iOS/mac 平台或早已停止信任 (Distrust) 相关证书 [2])。这可能也会影响其它(但不是所有)通过此根证书下证书签名的软件。
Windows 的这一更改可能和停止信任 Symantec 相关证书的工作有关。目前尚未注意到微软或其它 PKI 组织/平台就此情况发布的详细信息。
为了使这些程序能够运行,目前的临时解决方案是使用 Signtool 工具移除相关程序的数字签名。
- https://www.tg-me.com/CE_Observe/29071
- https://www.landiannews.com/archives/99913.html
1. https://crt.sh/?caid=14
2. https://support.apple.com/en-au/HT208860
#Symantec #Windows #PKI
Windows 的这一更改可能和停止信任 Symantec 相关证书的工作有关。目前尚未注意到微软或其它 PKI 组织/平台就此情况发布的详细信息。
为了使这些程序能够运行,目前的临时解决方案是使用 Signtool 工具移除相关程序的数字签名。
- https://www.tg-me.com/CE_Observe/29071
- https://www.landiannews.com/archives/99913.html
1. https://crt.sh/?caid=14
2. https://support.apple.com/en-au/HT208860
#Symantec #Windows #PKI
Telegram
每日消费电子观察
突发!Thawte 根证书被吊销 金蝶等部分软件无法打开 附临时解决方案
https://www.landiannews.com/archives/99913.html
附金蝶 KIS 下载地址,IT 测试可用
https://vip.kingdee.com/article/43091086030733326
Reddit 上也有人开始报告同一批被吊销的根证书开始影响软件运行
https://www.reddit.com/r/sysadmin/comments/15zbpfc/root_ssl_re…
https://www.landiannews.com/archives/99913.html
附金蝶 KIS 下载地址,IT 测试可用
https://vip.kingdee.com/article/43091086030733326
Reddit 上也有人开始报告同一批被吊销的根证书开始影响软件运行
https://www.reddit.com/r/sysadmin/comments/15zbpfc/root_ssl_re…
🤔8
Backblaze 宣布自 10/3 起将 pay-as-you-go 计划的存储价格从 $5/TB 涨价到 $6/TB;同时,pay-as-you-go 及 reserve 计划的用户自 10/3 起,每月有高至所用存储空间三倍的免费下载流量(API 调用费另计)。
面向 Fastly、Cloudflare、Vultr、CacheFly 及 bunny.net 的下载流量依旧保持免费。
https://www.backblaze.com/blog/2023-product-announcement/
#Backblaze
面向 Fastly、Cloudflare、Vultr、CacheFly 及 bunny.net 的下载流量依旧保持免费。
https://www.backblaze.com/blog/2023-product-announcement/
#Backblaze
Backblaze Blog | Cloud Storage & Cloud Backup
Backblaze Product and Pricing Updates
On October 3, 2023, Backblaze is making some updates and upgrades to our products and pricing. Read the full announcement here.
🤔21👍1🕊1
Unity 中国发布 Unity 中国版引擎「团结引擎」。
https://mp.weixin.qq.com/s/CRkiHHgrbrqv0nXY5_Ytow
linksrc: https://www.tg-me.com/TestFlightCN/19869
[感谢 夜坂雅 提供此消息。]
#Unity #China
https://mp.weixin.qq.com/s/CRkiHHgrbrqv0nXY5_Ytow
linksrc: https://www.tg-me.com/TestFlightCN/19869
[感谢 夜坂雅 提供此消息。]
#Unity #China
👎76🤨14🤔5🐳5🎉4⚡1👍1
2023 年第七届挺好萌落下帷幕。《BanG Dream! It's MyGO!!!!!》的长崎素世以无可撼动而史无前例的高投票数荣获本届挺王称号。
有评论称本次的挺好萌是 MyGO!!!!! 企划的独角戏:除了长崎素世夺冠外,MyGO!!!!! 的丰川祥子及千早爱音也分别拿下亚季军;企划中同样参加本届挺好萌的角色椎名立希及高松灯则分别于 48 进 16 及 16 进 8 被同企划的长崎素世及丰川祥子淘汰;高松灯则在 48 进 16 中淘汰了同企划的三角初华。
- https://tieba.baidu.com/p/8569747751?pn=180 *
- zh.moegirl.org.cn/~
* 请见 2801 楼。
#挺 #MyGO #春日影 #today
有评论称本次的挺好萌是 MyGO!!!!! 企划的独角戏:除了长崎素世夺冠外,MyGO!!!!! 的丰川祥子及千早爱音也分别拿下亚季军;企划中同样参加本届挺好萌的角色椎名立希及高松灯则分别于 48 进 16 及 16 进 8 被同企划的长崎素世及丰川祥子淘汰;高松灯则在 48 进 16 中淘汰了同企划的三角初华。
- https://tieba.baidu.com/p/8569747751?pn=180 *
- zh.moegirl.org.cn/~
* 请见 2801 楼。
#挺 #MyGO #春日影 #today
Baidu
【图片】回复:【第七届挺好萌】决赛!【萌战吧】_百度贴吧
【第七届挺好萌】决赛..恭迎挺王
❤23🤔4👍3🎉3
CEC-IDE 是一款由数字广东开发的 IDE,宣称「国企品牌,自主研发」、并「兼容 vscode 插件」。软件另提供用户登录及会员订阅功能 [1]。数字广东 (Digital Guangdong) 是由中国电子等公司共同投资成立的科技公司,是「粤省事」等平台的开发者 [2]。
由于 UI 演示图及实际软件文件结构与 Visual Studio Code 高度一致,大量网友怀疑 CEC-IDE 是套壳 Visual Studio Code 的软件,并且未有添加协议声明,违反了 MIT 协议。也有用户在 microsoft/vscode 发 issue 询问 vscode 与之的关系。
昨日,数字广东发文致歉 [3],称 CEC-IDE 的开发工具部分「使用开源VSCode,进行了少量改造」,而未有添加协议声明的原因是「版本迭代更新中出现疏忽」。
- https://cecide.digitalgd.com.cn/monorepo/app-front/home
- https://github.com/microsoft/vscode/issues/191229
1. https://www.zhihu.com/question/619023882/answer/3181662297
2. https://www.digitalgd.com.cn/
3. https://www.digitalgd.com.cn/news/12846/
#VSCode #CECIDE #China
由于 UI 演示图及实际软件文件结构与 Visual Studio Code 高度一致,大量网友怀疑 CEC-IDE 是套壳 Visual Studio Code 的软件,并且未有添加协议声明,违反了 MIT 协议。也有用户在 microsoft/vscode 发 issue 询问 vscode 与之的关系。
昨日,数字广东发文致歉 [3],称 CEC-IDE 的开发工具部分「使用开源VSCode,进行了少量改造」,而未有添加协议声明的原因是「版本迭代更新中出现疏忽」。
- https://cecide.digitalgd.com.cn/monorepo/app-front/home
- https://github.com/microsoft/vscode/issues/191229
1. https://www.zhihu.com/question/619023882/answer/3181662297
2. https://www.digitalgd.com.cn/
3. https://www.digitalgd.com.cn/news/12846/
#VSCode #CECIDE #China
GitHub
Vscode, have you collaborated with China? · Issue #191229 · microsoft/vscode
请大家不要在这里发无关的issue了,这是对开发者的骚扰。 我们在这里的issue已经给开发者造成了诸多麻烦,请大家不要再去提交issue了。 我也很理解大家的心情,当初看到这玩意儿的时候我也是很震惊很不爽的,毕竟这玩意就加个vip套皮然后就宣称国产自研,你说这些不如信我是秦始皇。 确实国产cec-ide很垃圾就是个套壳,丢国人的脸。但我们在这里乱提交issue不也是很丢脸的事情吗? 这里是...
👎68🤨4🔥2🎉2👍1🤔1
层叠 - The Cascading
从昨天 (8/24) 早上起,有用户发现部分软件(例如 ERP 软件金蝶)无法打开,原因是其代码签名所用根证书 "thawte Primary Root CA" [1] 被 Windows 平台停止信任(iOS/mac 平台或早已停止信任 (Distrust) 相关证书 [2])。这可能也会影响其它(但不是所有)通过此根证书下证书签名的软件。 Windows 的这一更改可能和停止信任 Symantec 相关证书的工作有关。目前尚未注意到微软或其它 PKI 组织/平台就此情况发布的详细信息。 为了使这些…
此停止信任操作于 8/24 被回滚。微软称此更新原本是例行证书废弃过程的一部分,但它让部分特定配置的用户出现了问题,因而进行了回滚。
- arstechnica.com/~
- https://www.tg-me.com/CE_Observe/29128
thread: /4295
#Symantec #Windows #PKI
- arstechnica.com/~
- https://www.tg-me.com/CE_Observe/29128
thread: /4295
#Symantec #Windows #PKI
Ars Technica
Renegade certificate removed from Windows. Then it returns. Microsoft stays silent.
The certificate, originally spawned by Symantec, was scheduled to be banished years ago.
LibreOffice 7.6 发布,并宣布从预计 2024 年二月的发布下一版本开始,使用年份+月份的版本号命名方式。也就是说,下一个 LibreOffice 版本将为 24.2。
https://www.phoronix.com/news/LibreOffice-24.2-Up-Next
linksrc: https://www.tg-me.com/chicaomei/3822
#LibreOffice
https://www.phoronix.com/news/LibreOffice-24.2-Up-Next
linksrc: https://www.tg-me.com/chicaomei/3822
#LibreOffice
Phoronix
LibreOffice 24.2 Will Succeed LibreOffice 7.6
One nugget of information in the LibreOffice 7.6 release announcement for those who missed it and deserves calling out specifically..
👍25🤔11👎1
有 Windows 用户近期见到弹窗,建议用户将 Chrome 中的默认搜索引擎改为 Bing。此弹窗不会出现在通知中心中,并且即使在全屏游戏游玩过程中也可能出现。分析表明此弹窗并非一般的通知弹窗,而是来自一个由微软签名的可执行文件。
微软发言人回应称已经暂停了此通知的投放,并对其预期外的特性进行调查。
theverge.com/~
#Windows
微软发言人回应称已经暂停了此通知的投放,并对其预期外的特性进行调查。
theverge.com/~
#Windows
The Verge
Microsoft is using malware-like pop-ups in Windows 11 to get people to ditch Google
Microsoft has paused its latest pop-ups, for now.
👎66🤨8🤔2👍1
腾讯向多款通过辅助功能控制等方法提供自动跳过广告的软件开发商发送律师函,称其侵害前者权益并涉嫌违反《反不正当竞争法》,要求这些软件下架。
宣称收到腾讯律师函并被要求下架的软件包括「李跳跳」、「大圣净化」、「一指禅」、「叮小跳」等。
https://www.williamlong.info/archives/7268.html
#Tencent #Ads
宣称收到腾讯律师函并被要求下架的软件包括「李跳跳」、「大圣净化」、「一指禅」、「叮小跳」等。
https://www.williamlong.info/archives/7268.html
#Tencent #Ads
👎65🤨5🎉2👍1
X (Twitter) 发布新版隐私政策。新版隐私政策表明,X 或会收集用户的生物识别信息用作安全用途,以及受教育/工作历史信息用作工作推荐之用途。新版隐私政策将于 9/29 生效。
arstechnica.com/~
#Twitter
arstechnica.com/~
Ars Technica
X (née Twitter) wants to collect your biometric data and employment history
X to collect more user data as Musk teases plan to offer video and audio calls.
👎74🤨6
GJS (GNOME for JavaScript) 是为 GNOME 插件开发者等提供的,用于开发 GNOME 周边组件的 JavaScript 环境。
从 GNOME 45 起,GJS 将使用 ESM 替代原有的 GJS 自制模块系统。因此,GNOME 45+ 的插件和旧插件将不能兼容。开发者可以在 extensions.gnome.org 同时上传新旧版本的插件以供各版本的用户使用。
https://blogs.gnome.org/shell-dev/2023/09/02/extensions-in-gnome-45/
#GNOME #JavaScript #ESM
从 GNOME 45 起,GJS 将使用 ESM 替代原有的 GJS 自制模块系统。因此,GNOME 45+ 的插件和旧插件将不能兼容。开发者可以在 extensions.gnome.org 同时上传新旧版本的插件以供各版本的用户使用。
https://blogs.gnome.org/shell-dev/2023/09/02/extensions-in-gnome-45/
#GNOME #JavaScript #ESM
🎉21🤔9👎2🤨2
Vandim M 在 YouTube 上发布了一条视频,提到 Rockstar 在 Steam 上发布的游戏 Manhunt 几乎不可玩,原因则与 Rockstar 设计的反盗版措施及游戏破解有着密不可分的联系。
Manhunt 曾经的版本包含两种 DRM 措施:防拷贝的 SecuROM 以及游戏内的一系列检测绕过 SecuROM 的盗版游戏并悄悄破坏其游玩体验的措施。Rockstar 在 2010 年发布游戏到 Steam 的时候,使用的是 Razor 1911 的破解版本,这个版本修正了这两种在 Steam 版无需存在的 DRM。在发布破解游戏到 Steam 被发现后,Rockstar 将 Steam 版本的游戏改成了移除了 SecuROM 的自有版本,但此版本并没有移除上述的第二种 DRM。因此,购买并游玩了此版本的游戏玩家会遭遇极差的游戏体验。直至今日,这个问题依然没有被解决。
有玩家发现,Rockstar 在 Steam 发布的另一款游戏 Midnight Club 2 也是 Razor 1911 的破解版本。
- https://www.youtube.com/watch?v=WfDg7BidsY4
- https://twitter.com/__silent_/status/1698345924840296801
seealso: HackerNews:37394665
#DRM #Rockstar #Razor1911
Manhunt 曾经的版本包含两种 DRM 措施:防拷贝的 SecuROM 以及游戏内的一系列检测绕过 SecuROM 的盗版游戏并悄悄破坏其游玩体验的措施。Rockstar 在 2010 年发布游戏到 Steam 的时候,使用的是 Razor 1911 的破解版本,这个版本修正了这两种在 Steam 版无需存在的 DRM。在发布破解游戏到 Steam 被发现后,Rockstar 将 Steam 版本的游戏改成了移除了 SecuROM 的自有版本,但此版本并没有移除上述的第二种 DRM。因此,购买并游玩了此版本的游戏玩家会遭遇极差的游戏体验。直至今日,这个问题依然没有被解决。
有玩家发现,Rockstar 在 Steam 发布的另一款游戏 Midnight Club 2 也是 Razor 1911 的破解版本。
- https://www.youtube.com/watch?v=WfDg7BidsY4
- https://twitter.com/__silent_/status/1698345924840296801
seealso: HackerNews:37394665
#DRM #Rockstar #Razor1911
YouTube
Manhunt - Hidden Anti-Piracy Measures - Feat. BadgerGoodger
In this video, we’ll be looking at the anti-piracy measures in Manhunt, ones left by Rockstar to protect their game from pirates.
But this is a very special case. Not only do these booby traps make the game a miserable experience to play, but ironically…
But this is a very special case. Not only do these booby traps make the game a miserable experience to play, but ironically…
🔥15🤔6🤨4
CVE-2020-19909 是一个近期公开的关于 curl 的漏洞。NVD 对此漏洞的 CVSS 评分是 9.8/10 (Critical),但是 curl 安全团队认为这只是一个 bug,而非可以被利用的漏洞。
这个有争议的漏洞是,在
bagder 提到,在联系过后,MITRE 拒绝撤下此 CVE,但将其标注为有争议;而 NVD 则重新分析了此 CVE 的严重程度,并将 CVSS 重新定为 3.3/10 (Low),虽然 badger 认为这对于一个本不成为漏洞的「漏洞」来说依然太高了。
- daniel.haxx.se/~
- https://daniel.haxx.se/blog/2023/09/05/bogus-cve-follow-ups/
- https://curl.se/docs/CVE-2020-19909.html
#curl #CVE
这个有争议的漏洞是,在
--retry-delay 中传入极大值会使其溢出,并使实际的重试时间变为较小值(而不是一个月或几亿年)。curl 在 2019 年就已经接到此 bug 的报告并将其修复。bagder 提到,在联系过后,MITRE 拒绝撤下此 CVE,但将其标注为有争议;而 NVD 则重新分析了此 CVE 的严重程度,并将 CVSS 重新定为 3.3/10 (Low),虽然 badger 认为这对于一个本不成为漏洞的「漏洞」来说依然太高了。
- daniel.haxx.se/~
- https://daniel.haxx.se/blog/2023/09/05/bogus-cve-follow-ups/
- https://curl.se/docs/CVE-2020-19909.html
#curl #CVE
🐳27🤨12🎉3👎1🤔1