#PSA: xz 5.6.0/5.6.1 版本存在后门。请立即更新。
https://www.openwall.com/lists/oss-security/2024/03/29/4
CVE: CVE-2024-3094 (CVSS: 10.0 Critical)
#xz #Security #Backdoor
https://www.openwall.com/lists/oss-security/2024/03/29/4
CVE: CVE-2024-3094 (CVSS: 10.0 Critical)
#xz #Security #Backdoor
政策原因,Okta 的二步验证等 App 或将于 4/1 起于中国 App Store 不可用。
Okta 的文章还提到:
- 建议中国 iDevice 用户在 3/31 及之前将 App 升级至最新版本,或从其它地区的 App Store 继续获得软件更新。
- 没有办法使用外区 App Store 的 iDevice 用户请考虑换用其它平台的 App,或在组织层面支持基于 WebAuthN 的验证方式。
- Android 及桌面端用户不受影响。
support.okta.com/~
#Okta #AppStore #China
Okta 的文章还提到:
- 建议中国 iDevice 用户在 3/31 及之前将 App 升级至最新版本,或从其它地区的 App Store 继续获得软件更新。
- 没有办法使用外区 App Store 的 iDevice 用户请考虑换用其它平台的 App,或在组织层面支持基于 WebAuthN 的验证方式。
- Android 及桌面端用户不受影响。
support.okta.com/~
#Okta #AppStore #China
[旧闻] 新法庭文档展示 Meta 利用 Onavo 应用解密用户流量进行分析的细节。
关于 Onavo:
* Meta 付费给青少年用户安装 Onavo 并分析其网络数据。
* Onavo 软件会在用户设备上安装 CA,并借此分析 Snapchat、YouTube 及 Amazon 的遥测数据。
* 在 TechCrunch 2019 年发表对 Onavo 的调查后,Meta 关停了 Onavo。
techcrunch.com/~
#Meta #Privacy #Onavo
关于 Onavo:
* Meta 付费给青少年用户安装 Onavo 并分析其网络数据。
* Onavo 软件会在用户设备上安装 CA,并借此分析 Snapchat、YouTube 及 Amazon 的遥测数据。
* 在 TechCrunch 2019 年发表对 Onavo 的调查后,Meta 关停了 Onavo。
techcrunch.com/~
#Meta #Privacy #Onavo
TechCrunch
Facebook snooped on users' Snapchat traffic in secret project, documents reveal | TechCrunch
A secret program called "Project Ghostbusters" saw Facebook devise a way to intercept and decrypt the encrypted network traffic of Snapchat users to study their behavior.
网友发现 Reddit 全站开始屏蔽 VPN 访问。
之前数月, reddit.com 处于屏蔽 VPN 访问的状态,但 old.reddit.com 当时仍可使用。
https://news.ycombinator.com/item?id=39883747
#Reddit
之前数月, reddit.com 处于屏蔽 VPN 访问的状态,但 old.reddit.com 当时仍可使用。
https://news.ycombinator.com/item?id=39883747
美国总统在 Threads 开设帐号,Fediverse 用户也可关注。
https://www.threads.net/@potus (
theverge.com/~
#US #Fediverse #Threads
https://www.threads.net/@potus (
@[email protected])theverge.com/~
#US #Fediverse #Threads
层叠 - The Cascading
[#nsfw] DLSite 由于信用卡公司压力要求创作者停止使用部分词语。 - DLSite 发送给社团的公告称,DLSite 超过一半的交易通过信用卡结算,因而考虑到对大量用户及社团的影响,不得不接受信用卡公司的要求。 - DLSite 也给出了这些词语的「新话」版本供参考。 https://twitter.com/mttb2ccp_pt2/status/1772466120290693434 #DLSite #Payment
DLsite 暂停接受 Visa/MasterCard 信用卡支付。
https://info.eisys.co.jp/dlsite/69dd17c1c4b21c06?locale=zh_CN
thread: /4486
#DLSite #Visa #MasterCard
https://info.eisys.co.jp/dlsite/69dd17c1c4b21c06?locale=zh_CN
thread: /4486
#DLSite #Visa #MasterCard
info.eisys.co.jp
【重要】致使用Visa、Mastercard品牌信用卡的用户【4/4 追记】 | DLsite|服务信息
感谢您一直以来对DLsite的支持与信任。自2024年4月3日 (周三) 18时 (JST) 起,我们将暂时停止接受Visa、Mastercard品牌信用卡支付。对于因此给您带来的不便,我们深表歉意。敬请Visa、Mastercard品牌信用卡用户在结账时,考虑使用其他可用支付方式。--------------------4/4 追记自2024年4月4日(周四)18:30(JST)起,同时暂停接受American Express的使用,特此公告。-------------…
api7.ai 创始人在 PR 下评论称其部分由公司实习生在工作时间完成,知识产权属于公司,并要求关闭 PR。
关于此消息的背景:
- api7.ai 在官网自称是一家开源基础架构 (open-source infrastructure) 公司。 [1]
- 这位创始人同时也是 Apache APISIX 的 PMC (项目管理委员会,Project Management Committee)成员。
https://github.com/ccfos/nightingale/pull/1900#issuecomment-2027899190
1. https://api7.ai/about
linksrc: twitter.com/~
#OpenSource
关于此消息的背景:
- api7.ai 在官网自称是一家开源基础架构 (open-source infrastructure) 公司。 [1]
- 这位创始人同时也是 Apache APISIX 的 PMC (项目管理委员会,Project Management Committee)成员。
https://github.com/ccfos/nightingale/pull/1900#issuecomment-2027899190
1. https://api7.ai/about
linksrc: twitter.com/~
#OpenSource
GitHub
feat(builtin-metrics): add CRUD operations for entity classes by walter-mo · Pull Request #1900 · ccfos/nightingale
What type of PR is this?
new feature about builtin-metrics.
What this PR does / why we need it:
With a builtin-metrics management.
new feature about builtin-metrics.
What this PR does / why we need it:
With a builtin-metrics management.
ffmpeg 批评称,微软要求 ffmpeg 加急修复影响微软产品的 bug,却拒绝了 ffmpeg 提出的长期维护支持资助要求。
ffmpeg 在 Twitter 称,微软只愿提供数千美元的单次资助,而这是无法接受的。
1. https://trac.ffmpeg.org/ticket/10341#comment:4
2. twitter.com/~
3. twitter.com/~
linksrc: https://www.tg-me.com/plltxe/5593
#Microsoft #ffmpeg #OpenSource
ffmpeg 在 Twitter 称,微软只愿提供数千美元的单次资助,而这是无法接受的。
1. https://trac.ffmpeg.org/ticket/10341#comment:4
2. twitter.com/~
3. twitter.com/~
linksrc: https://www.tg-me.com/plltxe/5593
#Microsoft #ffmpeg #OpenSource
X (formerly Twitter)
FFmpeg (@FFmpeg) on X
The xz fiasco has shown how a dependence on unpaid volunteers can cause major problems. Trillion dollar corporations expect free and urgent support from volunteers.
@Microsoft @MicrosoftTeams posted on a bug tracker full of volunteers that their issue is…
@Microsoft @MicrosoftTeams posted on a bug tracker full of volunteers that their issue is…
层叠 - The Cascading
DLsite 暂停接受 Visa/MasterCard 信用卡支付。 https://info.eisys.co.jp/dlsite/69dd17c1c4b21c06?locale=zh_CN thread: /4486 #DLSite #Visa #MasterCard
DLsite 亦暂停接受 AMEX 信用卡支付。
https://info.eisys.co.jp/dlsite/69dd17c1c4b21c06?locale=zh_CN
thread: /4493
#DLsite #AMEX
https://info.eisys.co.jp/dlsite/69dd17c1c4b21c06?locale=zh_CN
thread: /4493
#DLsite #AMEX
info.eisys.co.jp
【重要】致使用Visa、Mastercard品牌信用卡的用户【4/4 追记】 | DLsite|服务信息
感谢您一直以来对DLsite的支持与信任。自2024年4月3日 (周三) 18时 (JST) 起,我们将暂时停止接受Visa、Mastercard品牌信用卡支付。对于因此给您带来的不便,我们深表歉意。敬请Visa、Mastercard品牌信用卡用户在结账时,考虑使用其他可用支付方式。--------------------4/4 追记自2024年4月4日(周四)18:30(JST)起,同时暂停接受American Express的使用,特此公告。-------------…
Google 宣布由 Android 设备组成的众包 "Find My Device" 网络。
文章还提到:
- 设备的位置资料为端对端加密,Google 无法解密。
- Android 及 iOS 用户均可收取附近未知跟踪设备的警告,防止他人利用此功能追踪用户位置。
https://blog.google/products/android/android-find-my-device/
#Google #Privacy
文章还提到:
- 设备的位置资料为端对端加密,Google 无法解密。
- Android 及 iOS 用户均可收取附近未知跟踪设备的警告,防止他人利用此功能追踪用户位置。
https://blog.google/products/android/android-find-my-device/
#Google #Privacy
Google
5 ways to use the new Find My Device on Android
We’re sharing a few ways to use the new Find My Device experience on Android.
层叠 - The Cascading
#PSA: xz 5.6.0/5.6.1 版本存在后门。请立即更新。 https://www.openwall.com/lists/oss-security/2024/03/29/4 CVE: CVE-2024-3094 (CVSS: 10.0 Critical) #xz #Security #Backdoor
GitHub
GitHub - tukaani-project/xz: XZ Utils
XZ Utils. Contribute to tukaani-project/xz development by creating an account on GitHub.
6/6 起,Let's Encrypt 将换用新中间证书。
- Let's Encrypt 的新中间证书包括用于替代 R3/R4 的 R10-R14(RSA,其中 R12-R14 为备用)及用于替代 E1/E2 的 E5-E9(ECDSA,其中 E7-E9 为备用)。欲了解 LE 各证书的当前信任链,请参 [1]。
- LE 的 ECDSA 根证书 ISRG Root X2 已经在大量系统中被信任,它将可以不再依赖 ISRG Root X1 的 cross-sign。因此,用户将可以使用全 ECDSA 证书链(X2 -> E5/E6 -> 叶证书);这会进一步减小 TLS 握手体积。
letsencrypt.org/~
1. https://letsencrypt.org/certificates/
#LetsEncrypt
- Let's Encrypt 的新中间证书包括用于替代 R3/R4 的 R10-R14(RSA,其中 R12-R14 为备用)及用于替代 E1/E2 的 E5-E9(ECDSA,其中 E7-E9 为备用)。欲了解 LE 各证书的当前信任链,请参 [1]。
- LE 的 ECDSA 根证书 ISRG Root X2 已经在大量系统中被信任,它将可以不再依赖 ISRG Root X1 的 cross-sign。因此,用户将可以使用全 ECDSA 证书链(X2 -> E5/E6 -> 叶证书);这会进一步减小 TLS 握手体积。
letsencrypt.org/~
1. https://letsencrypt.org/certificates/
#LetsEncrypt
letsencrypt.org
Deploying Let's Encrypt's New Issuance Chains
On Thursday, June 6th, 2024, we will be switching issuance to use our new intermediate certificates. Simultaneously, we are removing the DST Root CA X3 cross-sign from our API, aligning with our strategy to shorten the Let’s Encrypt chain of trust. We will…
#CVE:PuTTY 使用 ECDSA p-521 密钥对的方式不安全;攻击者或能从大量签名中还原私钥。
建议立即废弃使用有任何被 PuTTY 0.68-0.80 版本等软件使用过的 ECDSA NIST p-521 密钥;更新软件不能保护已存在风险的私钥。
- 受影响的软件还包括 FileZilla 3.67.0 前、WinSCP 6.3.3 前、TortoiseGit 2.15.0.1 前、TortoiseSVN 1.14.6 前等。在这些软件上使用过的 ECDSA p-521 密钥均受影响。
- 在 SSH 中,此类密钥对的公钥通常以
- 其它类别密钥,包括尺寸更小的 ECDSA p-256/p-384 等及 Ed25519 等不受影响。
- 出现此问题的原因是 PuTTY 对密钥对的使用方式不标准,不过这也无可厚非:PuTTY 在 2001 年就存在此类使用例,而标准 RFC6979 在 2013 年才发布。 [1]
CVE: CVE-2024-31497
fixed-in: 0.81
cve.mitre.org/~
1. www.chiark.greenend.org.uk/~
#CVE #PuTTY
建议立即废弃使用有任何被 PuTTY 0.68-0.80 版本等软件使用过的 ECDSA NIST p-521 密钥;更新软件不能保护已存在风险的私钥。
- 受影响的软件还包括 FileZilla 3.67.0 前、WinSCP 6.3.3 前、TortoiseGit 2.15.0.1 前、TortoiseSVN 1.14.6 前等。在这些软件上使用过的 ECDSA p-521 密钥均受影响。
- 在 SSH 中,此类密钥对的公钥通常以
ecdsa-sha2-nistp521 识别名开头。- 其它类别密钥,包括尺寸更小的 ECDSA p-256/p-384 等及 Ed25519 等不受影响。
- 出现此问题的原因是 PuTTY 对密钥对的使用方式不标准,不过这也无可厚非:PuTTY 在 2001 年就存在此类使用例,而标准 RFC6979 在 2013 年才发布。 [1]
CVE: CVE-2024-31497
fixed-in: 0.81
cve.mitre.org/~
1. www.chiark.greenend.org.uk/~
#CVE #PuTTY
cve.mitre.org
CVE -
CVE-2024-31497
CVE-2024-31497
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
DebConf24 将于 7/28-8/4 在韩国釜山举行,现已开放报名。
debconf24.debconf.org/~
EDIT 4/17: 修正日期;7/21-7/27 为 DebCamp。
#Debian
debconf24.debconf.org/~
EDIT 4/17: 修正日期;7/21-7/27 为 DebCamp。
#Debian
DebConf 24
DebConf24 registration and CfP are open — DebConf 24
None
Musk 称 Twitter 计划向注册三个月内希望发布内容的用户收费。
TechCrunch 还提到:
- Musk 称此举是为了阻止机器人账户,目前的 AI 可以轻松通过人机验证。
- 2023 年 10 月,Twitter 已经开始在新西兰和菲律宾向希望点赞/回复/发文的新账户收取 $1 的年费。
techcrunch.com/~
#Twitter
TechCrunch 还提到:
- Musk 称此举是为了阻止机器人账户,目前的 AI 可以轻松通过人机验证。
- 2023 年 10 月,Twitter 已经开始在新西兰和菲律宾向希望点赞/回复/发文的新账户收取 $1 的年费。
techcrunch.com/~
TechCrunch
Elon Musk plans to charge new X users to enable posting
Elon Musk is planning to charge new X users a small fee to enable posting on social networks and curb the bot problem.
层叠 - The Cascading
Tik Tok 向用户发送推送通知,呼吁用户致电其议员反对封禁 Tik Tok。 - 美国众议院一委员会全票通过要求 Tik Tok 与字节跳动剥离的法案。此法案下周将交于众议院投票。 - Tik Tok 称此损害言论自由与创作者生计,呼吁用户联系议员。 - 有议员称自己收到大量来自儿童的来电。 1. theverge.com/~ 2. politico.com/~ #TikTok #US
美国众议院通过法案,要求 Tik Tok 一年内从字节跳动分离,否则将禁止其运作。
美国总统 Joe Biden 此前称,如果法案在议院获通过,他将签署此法案。 [1]
theverge.com/~
1. apnews.com/~
thread: /4468
#US #TikTok
美国总统 Joe Biden 此前称,如果法案在议院获通过,他将签署此法案。 [1]
theverge.com/~
1. apnews.com/~
thread: /4468
#US #TikTok
The Verge
House bundles TikTok ‘ban’ in a foreign package
The TikTok divest-or-ban bill is going to the Senate again