微软:许多攻击者仍对 Log4j 漏洞加以利用;VS 2022 新版发布 |开源日报

2022 年 1 月 7 日 CSDN

开源吞噬世界的趋势下,借助开源软件,基于开源协议,任何人都可以得到项目的源代码,加以学习、修改,甚至是重新分发。关注「开源日报」,一文速览国内外的开源大事件吧!


整理 | 苏宓
出品 | CSDN(ID:CSDNnews)


一分钟速览新闻点!


  • 微软:许多攻击者开始对 Log4j 漏洞加以利用

  • 研究人员发现 70 个 Web 缓存中毒漏洞,涉及 GitHub、GitLab、HackerOne 和Cloudflare

  • Linux 上的 Firefox 与 Chrome 浏览器性能对比揭秘

  • SQLite 3.37.2 修复了潜在的数据库损坏问题

  • Rails 7.0.1 发布,支持 Ruby 3.1

  • Visual Studio 2022 17.1 Preview 2 发布:带来 Git、C++ 和 .NET 增强功能

  • webfunny——开源前端监控系统


开源大新闻


微软:许多攻击者开始对 Log4j 漏洞加以利用

近日,微软表示,攻击者仍然正在积极利用 Log4j 漏洞,而且在 12 月的最后几周,利用的尝试仍然很多。微软提到,许多现有的攻击者在他们现有的恶意软件工具包和战术中增加了对这些漏洞的利用,扩大利用 Log4j 漏洞的可能性很大。为此,其更新了预防、检测和解决 Log4j 2 漏洞的指南,向客户给出了解决和预防方案,包括鼓励客户利用脚本和扫描工具来评估其风险和影响、建议客户对发现有漏洞的设备进行额外审查,以及微软表示,由于受影响的软件和服务很多,而且考虑到更新的速度,预计这将有一个很长的补救过程,一段时间内需要对该漏洞加以持续不断的警惕。

研究人员发现 70 个 Web 缓存中毒漏洞,涉及 GitHub、GitLab、HackerOne 和 Cloudflare

在对许多网站(包括一些高流量在线服务)广泛研究中,安全研究员 Iustin Ladunca(Youstin)最近发现了 70 个具有各种影响的缓存中毒漏洞。Web 缓存中毒攻击是以 Web 服务器和客户端设备之间的中间存储点为目标。中间商通过存储本地版本的 Web 内容来加快向 Web 客户端的传送速度,从而帮助提高网站的性能。Web 缓存中毒攻击操纵了缓存服务器的行为,以及它们如何响应客户的特定 URL 请求。Iustin Ladunca 透露,一些主流的网站都存在一定的 Web 缓存漏洞,其中包括 Apache Traffic Server、GitHub、GitLab、HackerOne 和 Cloudflare 等服务器。

Linux 上的 Firefox 与 Chrome 浏览器性能对比揭秘

近日,外媒 phoronix 在 Linux 平台上对 Mozilla Firefox 和 Google Chrome 浏览器进行了性能测试,以了解这两种主流浏览器的竞争情况。其中以 Chrome 97 与 Firefox 95 为例, 基准测试是在配备 Radeon RX 6800 XT 显卡的 AMD Ryzen 9 5950X 台式机上进行,该显卡基于最新的开源驱动程序堆栈。其中在 JetStream、ARES-6、老化的 Octane 等基础测试中,Chrome 在 Linux 平台上的性能表现要远高于 Firefox,不过在 CanvasMark HTML5 画布基准测试、CSS 样式 StyleBench 测试以及 WebAssembly (WASM) 性能方面,Firefox 比 Chrome 更为突出。

SQLite 3.37.2 修复了潜在的数据库损坏问题

SQLite 团队发布警告,SQLite 3.35.0 (2021-03-12) 到 3.37.1 (2021-12-30) 版本中存在可能导致数据库损坏的错误,建议用户升级到 3.37.2 (2022-01-06) 或更高版本。在排查该 Bug 存在的原因时,SQLite 团队回应称此前在数据库中对内存日志重复使用 SAVEPOINT 和 ROLLBACK TO 导致内存使用过多,而后采取了在 ROLLBACK TO 之后“截断”内存中的日志,以控制内存增长。10 个月后,清华大学 Wingtecher 实验室的研究人员首次发现了该漏洞,并在论坛上向 SQLite 团队反馈了该漏洞。1 月 6 日,SQLite 紧急发布了 3.37.2 版本:https://www.sqlite.org/releaselog/3_37_2.html


开源软件专区


Rails 7.0.1 发布,支持 Ruby 3.1

Rails 7.0.1 已正式发布,值得关注的是,该版本支持了于去年圣诞节期间(2021年12月25日)发布的 Ruby 3.1。另外,Rails 7.0.1 还带来了一些错误修复和文档改进:

  • 修复 Class#descendants and DescendantsTracker#descendants

  • 允许命名表达式索引是可逆的;

  • 更改 QueryMethods#in_order_of 以删除值中未列出的记录

更多更新内容详见:https://github.com/rails/rails/releases/tag/v7.0.1

Visual Studio 2022 17.1 Preview 2 发布:带来 Git、C++ 和 .NET 增强功能

微软发布了 Visual Studio 2022 17.1 的第二个预览版本,首先是能够更轻松地在并排视图中,比对当前 Git 和其它分支。其次是支持增强的 Detached Head,开发者能够在其中检查提交、导航到存储库中的旧点并运行。此外 Preview 2 现可相对更快地评估查询请求和团队更新,增强多存储库体验,且集成开发环境(IDE)可灵活地开展轻量级的分支管理操作。

更多更新内容详见:https://docs.microsoft.com/en-us/visualstudio/releases/2022/release-notes-preview#17.1.0-pre.2.0


开源工具推荐


webfunny——开源前端监控系统

webfunny 是一款开源的轻量级前端 Web 监控系统,遵守 Apache 开源协议,可实时分析前端项目健康状态,并生成数据概览。拥有无埋点监控前端日志、程序错误定位、用户行为记录及排查、性能分析等功能。主要功能包括数据概览、错误分析、用户细查、用户连线、性能分析、自定义埋点等等。

GitHub 地址:https://github.com/a597873885/webfunny_monitor

【欢迎投稿】源码面前,了无秘密。大家还有哪些推荐的开源工具或者开源软件,亦或是想了解的开源资讯,可以投稿至邮箱:tumin@csdn.net。开源世界的一切,由你我共同创造!

     
     
       


云以致用·智效合一 | 第四届 Techo TVP 开发者峰会强势来袭!

七成清华毕业生进入体制内就业,华为腾讯等科企受青睐;苹果M1首席芯片设计师跳槽至英特尔|极客头条

被苹果“分手”后,英特尔华丽逆袭:新款酷睿 i9 碾压 M1 Max?


登录查看更多
0

相关内容

SQLite 是遵守 ACID 的关系数据库管理系统,它包含在一个相对小的C库中。
【AI与工业】2022最新发布《工业物联网AI框架》59页PDF
专知会员服务
142+阅读 · 2022年3月30日
【AAAI2021】组合对抗攻击
专知会员服务
50+阅读 · 2021年2月17日
斯坦福2020硬课《分布式算法与优化》
专知会员服务
118+阅读 · 2020年5月6日
【书籍推荐】简洁的Python编程(Clean Python),附274页pdf
专知会员服务
179+阅读 · 2020年1月1日
【强化学习】深度强化学习初学者指南
专知会员服务
179+阅读 · 2019年12月14日
【电子书】Flutter实战305页PDF免费下载
专知会员服务
22+阅读 · 2019年11月7日
Log4j 漏洞还没忙完,新的漏洞又出现了!
国家自然科学基金
2+阅读 · 2015年12月31日
国家自然科学基金
1+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
2+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2009年12月31日
Arxiv
0+阅读 · 2022年4月20日
Arxiv
0+阅读 · 2022年4月14日
Arxiv
17+阅读 · 2021年3月29日
Arxiv
25+阅读 · 2018年1月24日
VIP会员
相关VIP内容
【AI与工业】2022最新发布《工业物联网AI框架》59页PDF
专知会员服务
142+阅读 · 2022年3月30日
【AAAI2021】组合对抗攻击
专知会员服务
50+阅读 · 2021年2月17日
斯坦福2020硬课《分布式算法与优化》
专知会员服务
118+阅读 · 2020年5月6日
【书籍推荐】简洁的Python编程(Clean Python),附274页pdf
专知会员服务
179+阅读 · 2020年1月1日
【强化学习】深度强化学习初学者指南
专知会员服务
179+阅读 · 2019年12月14日
【电子书】Flutter实战305页PDF免费下载
专知会员服务
22+阅读 · 2019年11月7日
相关基金
国家自然科学基金
2+阅读 · 2015年12月31日
国家自然科学基金
1+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
2+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2012年12月31日
国家自然科学基金
1+阅读 · 2009年12月31日
Top
微信扫码咨询专知VIP会员