7-Zip 安全漏洞;FASTJSON 2.0 釋出;程式設計師延壽指南…|叨資訊
哈嘍,大家好,我是強哥。
GitHub停用俄羅斯公司開發者賬號;7-Zip 安全漏洞;Git 2.6釋出;甲骨文修復 Java “年度加密漏洞”;FASTJSON 2.0 釋出;Node.js 18 釋出;星星(start)的失而復得;計算機類PDF電子書下載;程式設計師延壽指南;30 秒的程式碼;山姆搶購。
科技資訊
GitHub停用俄羅斯公司開發者賬號
據俄媒Habr報道,從4月13日起,GitHub開始遮蔽受美國製裁公司的俄羅斯開發者賬戶,其中包括俄羅斯銀行Sberbank、俄羅斯最大的私人銀行Alfa-Bank和其他公司的賬戶,以及個人個體開發商的賬戶。
據悉,被停用的個人賬號與被制裁實體有關聯,即使是已經離開了這些公司的人,也可能會遭到GitHub封鎖,因此,俄羅斯開發者賬號可能隨時會面臨被停用風險,賬號下面的專案被抹除、暫停等情況。
而就封鎖俄羅斯開發者賬號一事,GitHub在回覆外媒Bleeping Computer時表示:
與在美國開展業務的任何公司一樣,GitHub 可能必須限制被認定為特別指定國民 (SDN)或根據美國和其他適用的制裁法律被拒絕或被阻止的使用者和客戶,或者可能代表被阻止使用 GitHub 的使用者和客戶團體。
同時,GitHub 的願景是成為開發者協作的全球平臺,無論開發者居住在哪裡。我們會徹底審查政府制裁,以確保使用者和客戶不會受到超出法律要求的影響。
7-Zip 安全漏洞
7-Zip 是一款開源的解壓縮軟體,主要應用在微軟 Windows 作業系統上。7-Zip 的作者曾在去年 3 月釋出了首個針對 Linux 的官方版本,讓 Linux 使用者可以使用官方開發的 7-Zip 替換掉年久失修的 p7zip。
近日,研究人員 Kağan Çapar 在 7-Zip 中發現了一個漏洞,該漏洞可能導致黑客被賦予更高的許可權以及執行任意指令。該漏洞的 CVE ID 為 CVE-2022-29072,漏洞影響 7-Zip 所有版本,其中也包括目前最新的 21.07 版本。
漏洞是由於 7z.dll 的錯誤配置和堆疊溢位所導致的。在軟體安裝後,「幫助 > 內容」區域中的檔案通過 Windows HTML Helper 進行工作,但在進行命令注入後,7zFM.exe 下會出現一個子程序,由於 7z.dll 檔案存在記憶體互動,調出的 cmd.exe 子程序會被授予管理員模式。
7-Zip 的開發者暫時還沒提供軟體更新來修復該漏洞,也尚不清楚 7-Zip 何時會解決該問題。雖然官方還沒有提供更新來修復該漏洞,但該漏洞是由安裝資料夾中包含的 7-zip.chm 檔案所引起的,因此目前的臨時解決方案就是刪除這個受影響的檔案。
為了刪除該檔案,必須首先開啟壓縮程式的資料夾。一般情況下,該檔案可以在 C:\Programs\ 下找到。調出 "7-Zp" 資料夾後,可以簡單地通過右鍵點選刪除 7-zip.chm 檔案。除了刪除 7-zip.chm 檔案,使用者還可以撤銷 7-Zip 程式的寫入許可權,讓 7-Zip 只能執行和讀取檔案。
Git 2.6釋出
分散式版本控制工具Git 2.6正式釋出,該版本由717個非合併提交完成,該版本修復了向後相容缺陷、對UI、Workflow&功能、效能、內部實施、開發支援進行了修復與功能開發,其中* "git name-rev --stdin "已被棄用,使用時會發出警告。
更多詳情可檢視:https://lore.kernel.org/git/[email protected]/T/#u
甲骨文修復 Java “年度加密漏洞”
甲骨文於近日推送了安全更新修復了一個漏洞,該漏洞允許攻擊者偽造某些種類的 SSL 證書和握手、雙因素認證資訊,以及由一系列廣泛使用的開放標準產生的授權憑證。這使得攻擊者可以輕鬆地對檔案和其他資料進行數字簽名。
該漏洞影響了 Java 15 及以上版本中對 ECDSA(橢圓曲線數字簽名演算法)的實現。ECDSA 是一種利用橢圓曲線密碼學原理對資訊進行數字認證的演算法。與 RSA 或其他加密演算法相比,ECDSA 的一個關鍵優勢是它生成的金鑰較小,非常適合用於包括基於 FIDO 的 2FA、SMAL 和 OpenID 等標準。
這個漏洞的 CVE ID 為 CVE-2022-21449,最初是由 ForgeRock 安全研究員 Neil Madden 所發現的,他在漏洞說明中寫道:
如果你在這些安全機制中使用 ECDSA 簽名,並且如果你的伺服器在 2022 年 4 月關鍵補丁更新(CPU)之前執行任何 Java 15、16、17 或 18 版本,攻擊者就可以輕而易舉地完全繞過它們。 如今幾乎所有的 WebAuthn/FIDO 裝置(包括 Yubikeys)都使用 ECDSA 簽名,許多 OIDC 提供商也在使用 ECDSA 簽名的 JWT。
FASTJSON 2.0 釋出
FASTJSON 2.0 是 FASTJSON 專案的重要升級,目標是為下一個十年提供一個高效能的 JSON 庫,同一套 API 支援 JSON/JSONB 兩種協議,JSONPath 是一等公民,支援全量解析和部分解析,支援 Java 服務端、客戶端 Android、大資料場景。
FASTJSON 2 效能有了很大提升,具體效能資料看這: https://github.com/alibaba/fastjson2/wiki/fastjson_benchmark
Node.js 18 釋出
Node.js 18 已釋出,該版本的亮點包括將 V8 JavaScript 引擎更新到 10.1、預設啟用全域性 Fetch API 以及核心測試執行器模組。Node.js 18 是未來 6 個月的“當前”版本,然後在 2022 年 10 月升級為 LTS ,升級為 LTS 後將支援到 2025 年 4 月。
這個版本包含了如下修改:
- 新的瀏覽器相容 API
- 全域性 Fetch API(實驗性)
- Web Streams API(實驗性)
- 其他全域性 API
- 測試執行器模組(實驗性)
- 工具鏈和編譯器升級
- V8 更新到 10.1
完整更新列表如下:https://github.com/nodejs/node/releases/tag/v18.0.0
AlmaLinux 9 測試版釋出
美東時間 4 月 19 日,AlmaLinux 團隊今天宣佈了他們 9.0 測試版的里程碑。該團隊表示,AlmaLinux 9.0 Beta 目前適用於所有受支援的架構,包括 x86_64、AArch64、PPC64LE 和 s390x。
在過去的一年中,AlmaLinux 已經證明了自己有能力成為一個受歡迎的、基於社群的 RHEL 替代品,它是在紅帽宣佈將停止零成本的 CentOS Linux 下游版本後開始發展的,最初由 CloudLinux 建立,提供一個社群支援的生產級企業作業系統。AlmaLinux 的第一個穩定版本於 2021 年 3 月 30 日釋出。
紅帽為什麼要停用 CentOS 專案?
2020 年,紅帽公司宣佈,將在 2021 年 12 月 31 日和 2024 年 6 月 30 日分別終止對 CentOS 8 和 CentOS 的服務支援,把 CentOS 專案的工作和投資集中在 CentOS Stream 上。
紅帽全球副總裁兼大中華區總裁曹衡康表示,過往,很多客戶和開發者基於 CentOS 加了很多功能以後不會回饋上游社群,就變成了一個分支,久而久之這些分支因為無人維護又變成了社群裡的“孤兒”,紅帽希望可以改變這種現狀,恢復社群上游優先的概念,把 CentOS Stream 放在 RHEL 的前面,生態夥伴可以將創新記錄在 CentOS Stream 中。
當然,作為使用者來說,面對 CentOS 的停服,選擇當然不只是 CentOS Stream 一個,除了 AlmaLinux,CentOS 創始人 Gregory Kurtzer 以及社群希望開源能繼續造福社會,也發起了 Rocky Linux 專案。相對來說,Rocky Linux 釋出時間是較晚的。上線三天內,Rocky Linux 便吸引了 8 萬人下載。
開源熱點
星星(start)的失而復得
HTTPie(發音為aitch-tee-tee-pie)是一個命令列 HTTP 客戶端。它的目標是使 CLI 與 Web 服務的互動儘可能人性化。HTTPie 設計用於測試、除錯以及通常與 API 和 HTTP 伺服器互動。http&https命令允許建立和傳送任意 HTTP 請求。它們使用簡單自然的語法,並提供格式化和彩色輸出。
不過,這個專案最近GitHub倉庫上的星星數卻經歷了一次U型過山車。起因是作者不小心將這個倉庫設為私有,而 GitHub 刪除了他們專案花了十年時間建立的社群和倉庫的星星。
也就是說,如果你是下游維護者或以前watch httpie/httpie專案以獲取通知的任何人,你將需要重新訂閱倉庫。start也是一樣,如果你是在過去十年中的任何時候為專案倉庫加註星標的54K的人之一,那麼 repo 不再是你加星標的專案之一。不過,在作者發出相應的申明部落格之後,還好,專案的星星還是很快的恢復了上來,網友還是很喜歡這個專案的啊。
地址:https://github.com/httpie/httpie
計算機類PDF電子書下載
計算機類的書籍非常貴,天天買紙質書是不可能的了,所以對電子書的需求量還是挺多的。同時很多小夥伴不知道哪些書是經典,哪些是辣雞,現在有了這個專案,大家就可以直接去下載。
作者已經把電子書同步到了百度網盤上,書籍很多,且都是經典書籍。
由於不知道具體是否違規,所以強哥就不直接放地址了,大家可以:
後臺輸入「PDF」來獲取專案地址
。
程式設計師延壽指南
哈哈,繼上次程式設計師炒菜指南之後,現在關於這種非主流的專案真是層出不窮啊。
這次「程式設計師延壽指南」衝上熱搜,專案目標也很明確:穩健的活得更久。關鍵結果:
- 降低66.67%全因死亡率
- 增加~20年預期壽命
具體延壽行動如下:
怕死的小夥伴可以關注下這個專案,可能真的能延壽哦~
地址:https://github.com/geekan/HowToLiveLonger
30 秒的程式碼
滿足你所有開發需求的簡短 JavaScript 程式碼片段:專案網站提供了非常豐富的我們在開發過程中可能會用到的程式碼片段。你可以按名稱、標籤、語言或使用片段的描述進行搜尋。只需開始輸入一個術語,看看會發生什麼。
額,不過強哥個人感覺網站用處不大,畢竟很少會以這種方式去查想要的程式碼,還是Google方便點
地址:https://github.com/30-seconds/30-seconds-of-code
山姆搶購
嗯,不用多說了,這個和之前強哥推的叮咚買菜搶購如出一轍,也是個搶購的工具。
由go編寫,具體執行應該也挺簡單:
有需要的可以自行獲取。地址: https://github.com/robGoods/sams