一个克制的、理性的关注互联网科技和人文的频道,也谈谈美食和电影,发现和分享一切有趣有价值的内容,啰哩啰嗦周刊主持人。
OpenSSH 服务端中发现远程未经身份验证代码执行漏洞
7月1日消息,Qualys 的威胁研究部门在基于 glibc 的 Linux 系统中发现了 OpenSSH 服务端 (sshd) 中存在一个远程未经身份验证的代码执行 (RCE) 漏洞。该漏洞影响 8.5p1 到 9.7p1 之间的版本。分配给此漏洞的编号为 CVE-2024-6387,评分 8.1,严重性为高。通过使用 Censys 和 Shodan 进行搜索发现,超过 1400 万个可能存在漏洞的 OpenSSH 服务器实例暴露在互联网上。
该漏洞是 OpenSSH 服务端 (sshd) 中的一个信号处理程序竞争条件,允许在基于 glibc 的 Linux 系统上以 root 身份进行未经身份验证的远程代码执行 (RCE);这会带来重大的安全风险。此竞争条件会影响默认配置下的 sshd。
如果 sshd 无法更新或重新编译,请在配置文件中将 LoginGraceTime 设置为 0。这会通过用完所有 MaxStartups 连接将 sshd 暴露在拒绝服务中,但它可以防止远程代码执行风险。
注1:意味着几乎所有主流系统的版本都在漏洞范围内
注2:32位系统需要耗时6-8小时以完成攻击,64位系统预计得打一周。更新时间很充裕,别忘了就行
—— Qualys
7月1日消息,Qualys 的威胁研究部门在基于 glibc 的 Linux 系统中发现了 OpenSSH 服务端 (sshd) 中存在一个远程未经身份验证的代码执行 (RCE) 漏洞。该漏洞影响 8.5p1 到 9.7p1 之间的版本。分配给此漏洞的编号为 CVE-2024-6387,评分 8.1,严重性为高。通过使用 Censys 和 Shodan 进行搜索发现,超过 1400 万个可能存在漏洞的 OpenSSH 服务器实例暴露在互联网上。
该漏洞是 OpenSSH 服务端 (sshd) 中的一个信号处理程序竞争条件,允许在基于 glibc 的 Linux 系统上以 root 身份进行未经身份验证的远程代码执行 (RCE);这会带来重大的安全风险。此竞争条件会影响默认配置下的 sshd。
如果 sshd 无法更新或重新编译,请在配置文件中将 LoginGraceTime 设置为 0。这会通过用完所有 MaxStartups 连接将 sshd 暴露在拒绝服务中,但它可以防止远程代码执行风险。
注1:意味着几乎所有主流系统的版本都在漏洞范围内
注2:32位系统需要耗时6-8小时以完成攻击,64位系统预计得打一周。更新时间很充裕,别忘了就行
—— Qualys
达里奥·福放了一个屁,
崩到莫斯科,
来到意大利,
意大利的国王正在看戏,
闻到这个屁,
很不满意,
找来科学家,
研究分析,这个屁一股气,在人的肚子里窜来窜去……
一不小心打开后门溜了出去。 放屁的人,欢天喜地,
闻屁的人,垂头丧气,
有屁不放,憋坏心脏,
没屁硬挤,锻练身体,
屁放得响,能当校长,
屁放得臭,能当教授,
不响不臭,思想落后。
Source: 1998年孟京辉导演话剧《一个无政府主义者的意外死亡》
崩到莫斯科,
来到意大利,
意大利的国王正在看戏,
闻到这个屁,
很不满意,
找来科学家,
研究分析,这个屁一股气,在人的肚子里窜来窜去……
一不小心打开后门溜了出去。 放屁的人,欢天喜地,
闻屁的人,垂头丧气,
有屁不放,憋坏心脏,
没屁硬挤,锻练身体,
屁放得响,能当校长,
屁放得臭,能当教授,
不响不臭,思想落后。
Source: 1998年孟京辉导演话剧《一个无政府主义者的意外死亡》
Navicat Premium Lite 免费版重现
众所周知,Navicat Premium Lite 免费版消失很多年了,如今官方再次推出免费版。
免费版相比收费版缺少了数据同步/结构同步 等功能。
公众号链接: https://mp.weixin.qq.com/s/5e41u1vtt5ia7eRnxRJeZg
下载地址:https://www.navicat.com.cn/products/navicat-premium-lite
免费版相比收费版缺少了数据同步/结构同步 等功能。
公众号链接: https://mp.weixin.qq.com/s/5e41u1vtt5ia7eRnxRJeZg
下载地址:https://www.navicat.com.cn/products/navicat-premium-lite
谁动了我的 DNS 解析?
以前经常遇到 /etc/resolv.conf 被Network Manager 覆盖,最暴力的解决方式是用chattr 锁定这个文件。
这样做并没有搞清楚Linux的DNS优先级,对于复杂场景也解决不了问题。这个问题本质上是Network Manager,systemd-resolved等每个工具都有额外的策略并试图修改DNS解析配置。
大部分程序做 DNS 解析实际上是调用 glibc 里面 getaddrinfo 这个 API,所以在它后面我们就可以做一些工作。一个叫做 Name Service Switch 的东西发明出来就是干这个的,它是基于插件的,我们可以通过阅读 /etc/nsswitch.conf 里面的 hosts 这一行来理解。
source:
https://sh.alynx.one/posts/Who-Moved-My-DNS-Resolving-Remastered/
以前经常遇到 /etc/resolv.conf 被Network Manager 覆盖,最暴力的解决方式是用chattr 锁定这个文件。
这样做并没有搞清楚Linux的DNS优先级,对于复杂场景也解决不了问题。这个问题本质上是Network Manager,systemd-resolved等每个工具都有额外的策略并试图修改DNS解析配置。
大部分程序做 DNS 解析实际上是调用 glibc 里面 getaddrinfo 这个 API,所以在它后面我们就可以做一些工作。一个叫做 Name Service Switch 的东西发明出来就是干这个的,它是基于插件的,我们可以通过阅读 /etc/nsswitch.conf 里面的 hosts 这一行来理解。
source:
https://sh.alynx.one/posts/Who-Moved-My-DNS-Resolving-Remastered/
RTranslator端侧实时离线同传翻译
在 「端侧」上实现可离线的「实时同传」翻译,支持 29+ 语言的 RTranslator 开源一天飙升 1700 Star 。
- 号称世界上第一个开源实时翻译的 App
- Onnxruntime 端侧运行,Meta 开源的 SOTA NLLB 跑翻译,Whisper 244M 做 TTS/STT
- 3种模式解决快速、长对话、简单文本翻译
翻译模型使用 Facebook 的 NLLB(No Language Left Behind),支持 200+ 语言互相翻译,支持三种翻译模式:一问一答、对讲机模式、文本模式。
离线,不收集用户隐私,只需要下载 1.2GB 的翻译和语音识别模型即可使用。
目前只有 Android 端,有需要的朋友可以试试。
APP 下载地址:https://github.com/niedev/RTranslator/releases/
在 「端侧」上实现可离线的「实时同传」翻译,支持 29+ 语言的 RTranslator 开源一天飙升 1700 Star 。
- 号称世界上第一个开源实时翻译的 App
- Onnxruntime 端侧运行,Meta 开源的 SOTA NLLB 跑翻译,Whisper 244M 做 TTS/STT
- 3种模式解决快速、长对话、简单文本翻译
翻译模型使用 Facebook 的 NLLB(No Language Left Behind),支持 200+ 语言互相翻译,支持三种翻译模式:一问一答、对讲机模式、文本模式。
离线,不收集用户隐私,只需要下载 1.2GB 的翻译和语音识别模型即可使用。
目前只有 Android 端,有需要的朋友可以试试。
APP 下载地址:https://github.com/niedev/RTranslator/releases/
GitHub
Releases · niedev/RTranslator
Open source real-time translation app for Android that runs locally - niedev/RTranslator
Photok is a free Photo-Safe. It stores your photos encrypted on your device and hides them from others. It uses technologies like, AES-256 encryption standard or bcrypt, to keep your photos secure. Photok is completely free, open source, and contains no ads.
最大特色就是支持伪装成📞应用,然后使用暗码打开。
https://github.com/leonlatsch/photok
The Absolute Minimum Every Software Developer Must Know About Unicode in 2023
https://tonsky.me/blog/unicode/
很好很详细
https://tonsky.me/blog/unicode/
很好很详细
在浙江杨梅中,乒乓球大小的仙居东魁是每年最耀眼的存在。但实际上,浙江杨梅的产地不仅仅局限在仙居,品种也不只东魁一种,瓯海的丁岙杨梅、上虞的水晶杨梅、余姚荸荠杨梅和舟山的晚稻杨梅,浙江的杨梅从五月到八月,各种滋味精彩纷呈。
source: https://m.163.com/dy/article/J4SO251U0521AAG2.html
很多中国人老说外国人自己动手能力强,是因为国外人工贵。
难道中国就不贵吗?
理发至少25元起,快剪10元不洗头,要是在杭州得50元起,上不封顶。
我现在自己买了电动理发器,70多块,用了一年半了,每次剃头5分钟搞定,早赚回来了。
换窗纱30元,我买了一块钱的压条和一块钱的窗纱(5元10米),成本两元搞定。
换墙壁里嵌入的开关找人敢开口要100,拼多多三四元的螺钉搞定。
刷墙要价300,我去建材市场买了十几块的腻子粉和刮刀,半小时搞定。
做防水1000一天起,换个厨房下水弯管这种小活100块不含材料费,工人还不乐意。现在中国的维修费三线城市都是150上门费起步了。
我现在已经买了电锤,热熔枪,各种卡钳和pc管,没事就看水电装修手册。
中国的人工费我觉得现在远比国外要贵,以后会更甚。
难道中国就不贵吗?
理发至少25元起,快剪10元不洗头,要是在杭州得50元起,上不封顶。
我现在自己买了电动理发器,70多块,用了一年半了,每次剃头5分钟搞定,早赚回来了。
换窗纱30元,我买了一块钱的压条和一块钱的窗纱(5元10米),成本两元搞定。
换墙壁里嵌入的开关找人敢开口要100,拼多多三四元的螺钉搞定。
刷墙要价300,我去建材市场买了十几块的腻子粉和刮刀,半小时搞定。
做防水1000一天起,换个厨房下水弯管这种小活100块不含材料费,工人还不乐意。现在中国的维修费三线城市都是150上门费起步了。
我现在已经买了电锤,热熔枪,各种卡钳和pc管,没事就看水电装修手册。
中国的人工费我觉得现在远比国外要贵,以后会更甚。
大量的普通打工人在补贴全世界消费者
中国流行的商业做法是先用低成本把老外卷死,然后再用更低的成本卷国内友商。最后活下来的 1-2 家头部可以过的不错,其他的企业全都趴下。
所有的商业逻辑就是用低成本抢市场占有率 - 把人熬死 - 做大规模 - 降低成本 - 把人熬死
在这个过程中,成本永远是第一考量因素。所有的目标都是为了降低成本而去。任何有助于降低成本的事都值得去做,比如降低员工薪资福利,减少不必要的投入,低成本零部件替代等。
这样做的好处是,终端产品的确便宜。但是整个价值链都很低。普通打工人也是这个低价链上的一环。
然后再把这些低价格的东西销售给全世界。换言之,其实就是大量的普通打工人在补贴全世界消费者。
所以每次你看到某个商品很便宜的时候,就不要奇怪自己为啥要加班了
Weibo@红帽笔记
中国流行的商业做法是先用低成本把老外卷死,然后再用更低的成本卷国内友商。最后活下来的 1-2 家头部可以过的不错,其他的企业全都趴下。
所有的商业逻辑就是用低成本抢市场占有率 - 把人熬死 - 做大规模 - 降低成本 - 把人熬死
在这个过程中,成本永远是第一考量因素。所有的目标都是为了降低成本而去。任何有助于降低成本的事都值得去做,比如降低员工薪资福利,减少不必要的投入,低成本零部件替代等。
这样做的好处是,终端产品的确便宜。但是整个价值链都很低。普通打工人也是这个低价链上的一环。
然后再把这些低价格的东西销售给全世界。换言之,其实就是大量的普通打工人在补贴全世界消费者。
所以每次你看到某个商品很便宜的时候,就不要奇怪自己为啥要加班了
Weibo@红帽笔记
1925年左琴科写了一篇小说《穷困》,是说城里有了电,家家户户有了电灯,房子的确亮堂了,但是烦恼也来了,电灯照到了每个犄角旮旯,那是白天都看不到的地方,发霉的墙角,皲裂的墙皮,还有晚上才出没的臭虫。
各家忙着打扫卫生,可是女房东却把电线揪断了,她说不想要电灯,因为这么寒碜的家底,连臭虫都会笑话。邻居要给她装修,她不愿意:“离开了灯,也照样过日子,从前不就是这样过的吗?”
当光照进来,有人不是让房间变得干净,而是恨那光,宁愿不见光。
各家忙着打扫卫生,可是女房东却把电线揪断了,她说不想要电灯,因为这么寒碜的家底,连臭虫都会笑话。邻居要给她装修,她不愿意:“离开了灯,也照样过日子,从前不就是这样过的吗?”
当光照进来,有人不是让房间变得干净,而是恨那光,宁愿不见光。
【年度最令人苦笑事件】一位推友办了一个网站 什么值得读,经营了4年,结果前几天自豪地说卖出去了,对方开价6位数,一群人就说你看,内容可以变现吧。读书网站还是有前途。
结果今天有人发现 https://shenmezhidedu.com 被买去做成了赌博网站,原来对方看上的是他的域名:什么值得赌
这不是段子😂
结果今天有人发现 https://shenmezhidedu.com 被买去做成了赌博网站,原来对方看上的是他的域名:什么值得赌
这不是段子😂
