勘误：

在先前的安全公告中，关于受影响版本的描述存在错误。正确的信息应为：

- CVE-2024-23271: 影响版本为 WebKitGTK 和 WPE WebKit 在 2.42.5 之前版本。
- CVE-2024-27808、CVE-2024-27820、CVE-2024-27833、CVE-2024-27850: 影响版本为 WebKitGTK 和 WPE WebKit 在 2.44.2 之前版本。
- CVE-2024-27830、CVE-2024-27838、CVE-2024-27851: 影响版本为 WebKitGTK 和 WPE WebKit 在 2.44.3 之前版本。
- CVE-2024-40857、CVE-2024-40866、CVE-2024-44187: 影响版本为 WebKitGTK 和 WPE WebKit 在 2.46.0 之前版本。

我们对此造成的混淆深表歉意。

#AIGC

GitLab 发布了关键补丁版本 17.4.2、17.3.5 和 17.2.9，修复了多个安全漏洞。强烈建议所有受影响版本的用户尽快升级到最新版本。主要修复的安全问题包括：

1. **任意分支上的运行管道**（关键）：允许在任意分支上运行管道，现已修复并分配 CVE-2024-9164。
2. **攻击者可以冒充任意用户**（高）：在特定情况下，攻击者可以触发其他用户的管道，现已修复并分配 CVE-2024-8970。
3. **分析仪表板中的 SSRF**（高）：配置并启用了产品分析仪表板的实例可能受到 SSRF 攻击，现已修复并分配 CVE-2024-8977。
4. **查看带有冲突的 MR 差异缓慢**（高）：查看带有冲突的合并请求差异时可能变慢，现已修复并分配 CVE-2024-9631。
5. **OAuth 页面中的 HTMLi**（高）：在授权新应用程序时，特定情况下可能渲染为 HTML，现已修复并分配 CVE-2024-6530。
6. **部署密钥可以推送到已归档的仓库**（中）：部署密钥可以推送到已归档的仓库，现已修复并分配 CVE-2024-9623。
7. **访客可以泄露项目模板**（中）：访客用户可以通过 API 泄露项目模板，现已修复并分配 CVE-2024-5005。
8. **GitLab 实例版本泄露给未经授权的用户**（低）：未经授权的攻击者可以确定 GitLab 实例的版本号，现已修复并分配 CVE-2024-9596。

请立即升级以确保系统安全。

原文链接：GitLab Critical Patch Release

标签：#GitLab #安全更新 #软件开发

#AIGC

PyPI 现在支持数字证明，增强了项目供应链的安全性。维护者可以在发布包时附上签名的数字证明，并通过新的 API 供用户和安装程序验证这证明。与传统的 PGP 签名相比，数字证明有三大优势：它们由身份而非密钥对签名，提供与上游源仓库的可验证链接，并且在上传时必须可验。已有超过 20,000 个证明被发布。PyPI 还提供了新的 Integrity API 和网页界面，方便用户查看文件的证明。

https://blog.pypi.org/posts/2024-11-14-pypi-now-supports-digital-attestations/

#Python #Security #PyPI

#AIGC

OpenWrt 宣布重大变更：从 2024 年 11 月起，主开发分支和未来稳定版本（包括即将发布的 24.10 系列）将使用新的包管理器 apk 替代原有的 opkg。这一变化标志着 OpenWrt 平台发展的重要里程碑，opkg 已被弃用并不再包含在 OpenWrt 中。由于这是安装和管理包方式的根本性转变，社区正在 [论坛](https://forum.openwrt.org/t/the-future-is-now-opkg-vs-apk/201164) 中积极讨论新系统的选项和语法。请注意，此变更不影响 23.05 版本，截至 2024 年 11 月 15 日，24.10 分支仍使用 opkg。

https://forum.openwrt.org/t/major-change-notice-new-package-manager/215682

#OpenWrt #PackageManager #TechnologyUpdate

#AIGC

本地权限提升漏洞影响 needrestart 工具

Qualys 安全公告指出，needrestart 工具中存在多个本地权限提升漏洞（LPE），这些漏洞允许任何非特权用户获得 root 权限。needrestart 是一个 Perl 工具，自 Ubuntu Server 21.04 版本起默认安装，用于检查系统或服务是否需要重启。

主要漏洞包括：
1. CVE-2024-48990 和 CVE-2024-48992：攻击者可以通过控制 PYTHONPATH 或 RUBYLIB 环境变量，诱使 needrestart 运行 Python 或 Ruby 解释器，从而执行任意代码。
2. CVE-2024-48991：攻击者可以通过竞争条件，诱使 needrestart 运行攻击者伪造的 Python 解释器。
3. CVE-2024-10224 和 CVE-2024-11003：攻击者可以通过控制文件名，诱使 needrestart 调用 Perl 的 ScanDeps 模块时执行任意 shell 命令。

这些漏洞自 needrestart 0.8 版本（2014年4月）引入解释器支持以来就已存在。目前，Qualys 不会公开其利用代码，但警告其他研究人员可能会在协调发布后不久公开有效的利用方法。

缓解措施：
建议在 needrestart 配置中禁用解释器扫描功能：

$nrconf{interpscan} = 0;

原文链接：
Qualys Security Advisory

标签：
#安全漏洞 #Ubuntu #needrestart #LPE

#AIGC

libxml2 在 2.11.9、2.12.9 和 2.13.3 之前的版本中存在一个安全漏洞，SAX 解析器在自定义 SAX 处理程序尝试通过设置 "checked" 来覆盖实体内容时，仍然会为外部实体生成事件。这使得经典的 XXE（XML 外部实体注入）攻击成为可能。

该漏洞已在后续版本中修复，建议用户尽快升级到最新版本以避免潜在的安全风险。

参考链接：
- [GitHub 安全公告](https://github.com/advisories/GHSA-6c2p-rqx3-w4px)
- [NVD 漏洞详情](https://nvd.nist.gov/vuln/detail/CVE-2024-40896)
- [libxml2 修复提交](https://gitlab.gnome.org/GNOME/libxml2/-/commit/1a8932303969907f6572b1b6aac4081c56adb5c6)
- [libxml2 问题报告](https://gitlab.gnome.org/GNOME/libxml2/-/issues/761)

#安全漏洞 #XXE #libxml2 #SAX解析器
#AIGC

研究人员在 rsync 中发现 6 个漏洞，其中最严重的漏洞允许攻击者通过匿名读取权限在服务器上执行任意代码。这些漏洞已在即将发布的 rsync 3.4.0 中修复。以下是漏洞详情：

1. CVE-2024-12084：堆缓冲区溢出漏洞，由于校验和长度处理不当，攻击者可越界写入。影响版本：>= 3.2.7 且 < 3.4.0。建议禁用 SHA* 支持进行缓解。

2. CVE-2024-12085：未初始化栈内容信息泄露漏洞，攻击者可通过操纵校验和长度泄露栈数据。影响版本：< 3.4.0。建议编译时使用 -ftrivial-auto-var-init=zero 缓解。

3. CVE-2024-12086：rsync 服务器可泄露客户端任意文件内容。影响版本：< 3.4.0。

4. CVE-2024-12087：路径遍历漏洞，由于 --inc-recursive 选项的符号链接验证不足，恶意服务器可写入客户端任意路径。影响版本：< 3.4.0。

5. CVE-2024-12088：--safe-links 选项绕过漏洞，导致路径遍历。影响版本：< 3.4.0。

6. CVE-2024-12747：符号链接处理中的竞争条件漏洞，可能导致信息泄露或权限提升。影响版本：< 3.4.0。

建议用户尽快升级到 rsync 3.4.0 以修复这些漏洞。

https://kb.cert.org/vuls/id/952657

#网络安全 #漏洞 #rsync #CVE
#AIGC

PostgreSQL 的 libpq 函数（如 PQescapeLiteral()、PQescapeIdentifier()、PQescapeString() 和 PQescapeStringConn()）中存在引用语法的不当处理问题，可能导致某些使用场景下的 SQL 注入攻击。具体来说，当应用程序将函数结果用于构建 psql（PostgreSQL 交互终端）的输入时，攻击者可能利用此漏洞进行 SQL 注入。此外，PostgreSQL 命令行工具在 client_encoding 为 BIG5 且 server_encoding 为 EUC_TW 或 MULE_INTERNAL 时，也存在类似的漏洞。受影响的版本包括 PostgreSQL 17.3、16.7、15.11、14.16 和 13.19 之前的版本。

PostgreSQL 项目感谢 Rapid7 的首席安全研究员 Stephen Fewer 报告此问题。

此外，CVE-2025-1094 引入了一个回归问题，并在发布后不久被报告。由于该问题涉及 libpq 且面向客户端，发布团队不确定其影响范围，因此决定在 2025 年 2 月 20 日进行计划外的发布，以尽快修复此问题。根据标准发布流程，所有修复补丁需在 2025 年 2 月 15 日 12:00 UTC 前提交，以确保有足够时间通过构建测试。

参考链接：
[1] https://www.postgresql.org/support/security/CVE-2025-1094/
[2] https://www.postgresql.org/message-id/Z64jD3u46gObCo1p%40pryzbyj2023
[3] https://www.postgresql.org/about/news/out-of-cycle-release-scheduled-for-february-20-2025-3016/
[4] https://www.postgresql.org/developer/roadmap/

#PostgreSQL #SQL注入 #安全漏洞
#AIGC

Qualys 安全公告：OpenSSH 存在两个新漏洞

Qualys 安全团队近期发现了 OpenSSH 中的两个新漏洞，分别涉及中间人攻击（MitM）和拒绝服务攻击（DoS）。以下是漏洞的详细说明：

1. CVE-2025-26465：OpenSSH 客户端中间人攻击漏洞
- 当 OpenSSH 客户端的 VerifyHostKeyDNS 选项启用时（默认关闭），攻击者可以通过中间人攻击完全绕过客户端对服务器身份的验证，从而冒充服务器。
- 无论 VerifyHostKeyDNS 设置为 "yes" 还是 "ask"（默认是 "no"），攻击都能成功，且无需用户交互。即使服务器没有 SSHFP 资源记录（存储在 DNS 中的 SSH 指纹），攻击依然有效。
- 该漏洞于 2014 年 12 月引入，影响范围广泛。尽管默认情况下 VerifyHostKeyDNS 是关闭的，但在某些系统（如 FreeBSD）中，该选项曾默认启用。

2. CVE-2025-26466：OpenSSH 客户端和服务器的拒绝服务攻击漏洞
- OpenSSH 客户端和服务器在认证前容易受到资源消耗型拒绝服务攻击，攻击者可以消耗大量内存和 CPU 资源。
- 该漏洞于 2023 年 8 月引入，影响 OpenSSH 9.5p1 及之后的版本。
- 服务器端可以通过现有的机制（如 LoginGraceTime、MaxStartups 和 PerSourcePenalties）缓解此攻击。

背景信息：
OpenSSH 的代码中存在一些常见的编程模式，例如在函数开始时初始化返回值为非零错误代码，以防止函数错误地返回成功状态。这种模式在漏洞分析中被发现存在潜在风险。

建议：
- 对于 CVE-2025-26465，建议用户检查并确保 VerifyHostKeyDNS 选项未启用，除非有明确需求。
- 对于 CVE-2025-26466，建议更新到最新版本的 OpenSSH，并配置适当的防护机制。

更多详细信息请参考：
- [OpenSSH 文档](https://man.openbsd.org/ssh_config#VerifyHostKeyDNS)
- [FreeBSD 相关提交记录](https://cgit.freebsd.org/src/commit/?id=83c6a52)

#网络安全 #OpenSSH #漏洞 #中间人攻击 #拒绝服务攻击
#AIGC

Firefox 136.0 released

Firefox 136.0 版本已发布。此次更新带来了多项新功能和改进，包括全新的垂直标签页布局、自动尝试将 HTTP 连接升级为 HTTPS、对 Linux 系统上 AMD GPU 的支持，以及 Linux 平台的 Arm64 版本等。这些更新进一步提升了浏览器的性能和安全性。

原文链接：https://lwn.net/Articles/1012947/
#Firefox #浏览器更新 #Linux #HTTPS

#AIGC

Read more

Zen and the Art of Microcode Hacking (Google Bug Hunters)

Google Bug Hunters 博客详细描述了如何发现并利用 AMD 微码修补功能中的一个漏洞。作者还发布了一套工具，以帮助未来的类似研究。文章指出，AMD Zen 系列 CPU 使用相同的 AES-CMAC 密钥来计算 AMD 公钥和微码补丁内容的哈希值。这意味着，一旦从一个 CPU 中获取密钥，所有使用相同密钥的 CPU 都可能被攻破。这种漏洞可能通过硬件攻击（如使用扫描电子显微镜读取 ROM 中的密钥）或侧信道攻击（如利用相关功率分析在验证过程中泄露密钥）等方式被利用。文章总结道，这种密钥不可能永远保密。

原文链接：https://lwn.net/Articles/1013136/

#安全 #漏洞研究 #硬件安全 #微码 #AMD
#AIGC

Read more
https://bughunters.google.com/blog/5424842357473280/zen-and-the-art-of-microcode-hacking

Django 发布了安全更新，修复了 CVE-2025-26699 漏洞。该漏洞存在于 `django.utils.text.wrap()` 和 `wordwrap` 模板过滤器中，可能导致拒绝服务攻击（DoS），特别是在处理非常长的字符串时。漏洞的严重性被评定为“中等”。

受影响的 Django 版本包括：
- Django 主分支
- Django 5.2（预发布测试版）
- Django 5.1
- Django 5.0
- Django 4.2

修复补丁已应用于上述版本的分支，用户可以通过提供的链接获取补丁。建议所有 Django 用户尽快升级到以下版本：
- Django 5.1.7
- Django 5.0.13
- Django 4.2.20

安全问题的报告应通过私密邮件发送至 `secur...@djangoproject.com`，详细信息请参考 Django 的安全政策。

原文链接：https://www.djangoproject.com/weblog/2025/mar/06/security-releases/

#Django #安全漏洞 #CVE-2025-26699 #DoS

#AIGC

Ubuntu 25.04 (Plucky Puffin) progress

Ubuntu 25.04（Plucky Puffin）开发进展更新：Matthieu Clemenceau 在 Ubuntu Discourse 论坛上发布了关于 Ubuntu 25.04 开发的最新状态。主要更新包括：Ubuntu 将采用 Dracut 作为 initramfs-tools 的替代方案，arm64 设备将使用单一 ISO 而非设备特定的镜像，以及取消了原计划的 O3 优化标志。O3 优化标志的取消是因为在广泛测试中发现，虽然某些工作负载有所改善，但整体系统性能略有下降，且二进制文件大小增加。Ubuntu 25.04 的测试版计划于 3 月 27 日发布，正式版则定于 4 月 17 日推出。

原文链接：https://lwn.net/Articles/1013386/
#Ubuntu #Linux #开发进展 #系统优化

#AIGC

Read more

[oss-security] Go CVE-2025-22870: proxy bypass using IPv6 zone IDs

Go 语言中发现了一个安全漏洞 CVE-2025-22870，该漏洞允许攻击者通过 IPv6 区域标识符（zone IDs）绕过代理设置。此漏洞可能影响使用 Go 语言编写的应用程序，特别是在处理网络请求时依赖代理配置的场景。建议开发者及时更新相关依赖，以避免潜在的安全风险。

原文链接：http://www.mail-archive.com/[email protected]/msg00894.html

#网络安全 #Go语言 #漏洞修复
#AIGC

Read more

Framework Mono 6.14.0 released

Framework Mono 6.14.0 版本已发布。这是自 Mono 项目迁移至 WineHQ 后的首个版本，包含了过去五年中未纳入稳定版的功能更新。主要亮点包括对 macOS ARM64 的原生支持，以及对 X11 平台下 Windows Forms 的多项改进。更多新特性及未来发布计划，请查看完整的发布说明。

原文链接：https://lwn.net/Articles/1013723/
#Mono #WineHQ #开源 #软件开发

#AIGC

Read more

GitLab 发布了关键补丁更新：17.9.2、17.8.5 和 17.7.7 版本，适用于 GitLab 社区版（CE）和企业版（EE）。这些版本包含了重要的安全修复和漏洞修复，强烈建议所有自托管的 GitLab 实例尽快升级到这些版本。GitLab.com 已经运 行了修复后的版本，GitLab Dedicated 客户无需采取行动，他们的实例将在修 复后收到通知。

此次更新修复了多个安全漏洞，包括：
- CVE-2025-25291 和 CVE-2025-25292：涉及第三方库 ruby-saml 的严重 漏洞，可能导致身份验证绕过。
- CVE-2025-27407：涉及第三方库 graphql 的高危漏洞，可能导致远程代 码执行。
- 其他中低危漏洞，如拒绝服务、凭证泄露、内部信息泄露等。

对于无法立即升级的用户，GitLab 提供了临时的缓解措施，例如启用双因素认 证、禁用直接传输功能等。

此外，GitLab 还修复了一些功能性问题，并更新了 PostgreSQL 版本至 14.17 和 16.8。

建议所有用户尽快升级到最新版本以确保安全。更多详细信息可参考 GitLab 的发布博客。

原文链接：https://about.gitlab.com/releases/2025/03/12/patch-release-gitlab-17-9-2-released/

#GitLab #安全更新 #漏洞修复 #软件开发
#AIGC

PHP 发布了多个版本的安全更新，包括 PHP 8.4.5、PHP 8.3.19、PHP 8.2.28 和 PHP 8.1.32。这些版本修复了以下安全问题：

1. **Stream HTTP wrapper 的多个问题**：
- 基本认证头可能被忽略（CVE-2025-1736）
- 重定向位置被截断为 1024 字节（CVE-2025-1861）
- 不处理没有冒号的头部（CVE-2025-1734）
- 不处理折叠的头部（CVE-2025-1217）

2. **请求关闭期间的 Use-After-Free 问题**（CVE-2024-11235）

3. **使用 XML_OPTION_SKIP_TAGSTART 时的越界读取问题**

4. **libxml 流在请求重定向资源时使用了错误的内容类型头**（CVE-2025-1219）

建议所有使用 PHP 的用户尽快更新到最新版本，以确保系统的安全性。

详细更新日志和下载链接：
- 更新日志：https://www.php.net/ChangeLog-8.php
- 下载地址：https://www.php.net/downloads

#PHP #安全更新 #CVE #编程

#AIGC

GIMP 3.0 released

GIMP 3.0 正式发布，这是经过七年开发的重要版本。主要更新包括：支持非破坏性编辑的常用滤镜、改进的文本创建功能、更好的色彩空间管理，以及升级到 GTK 3。GIMP 3.0 的开发始于 2020 年，而 GIMP 2.10 则发布于 2018 年。更多详细信息可查看官方发布说明和 NEWS 文件。

原文链接：https://lwn.net/Articles/1014465/

#GIMP #开源软件 #图像编辑 #版本更新
#AIGC

Read more

[$] Oxidizing Ubuntu: adopting Rust utilities by default

Ubuntu 计划在未来采用 Rust 编写的工具替代传统的 GNU 工具，这一举措可能从 2025 年 10 月发布的 Ubuntu 25.10 开始。Canonical 的工程副总裁 Jon Seager 发布了一个名为 `oxidizr` 的命令行工具，帮助用户轻松启用或禁用基于 Rust 的工具，以便测试其适用性。目前，Ubuntu 社区对这一重大变化的反应总体积极，但也存在一些疑虑。Rust 工具的实现主要来自 uutils 项目，该项目此前已被 LWN 报道过。

原文链接：https://lwn.net/Articles/1014002/
标签：#Ubuntu #Rust #开源 #Linux

#AIGC

Read more

Supply Chain Attacks on Linux distributions (Fenrisk)

安全公司 Fenrisk 发布了一份关于 Fedora 和 openSUSE 发行版供应链攻击的概述。他们成功识别了 Fedora 使用的 Git 托管平台 Pagure 中的漏洞，并攻破了 openSUSE 项目用于编译和打包的工具链 Open Build Service。这些漏洞如果被恶意利用，可能导致 Fedora 和 openSUSE 及其下游发行版的所有软件包被篡改，影响数百万台 Linux 服务器和桌面系统。

原文链接：https://lwn.net/Articles/1014741/

#网络安全 #Linux #供应链攻击 #Fedora #openSUSE
#AIGC

Read more