PyPI 现在支持数字证明，增强了项目供应链的安全性。维护者可以在发布包时附上签名的数字证明，并通过新的 API 供用户和安装程序验证这证明。与传统的 PGP 签名相比，数字证明有三大优势：它们由身份而非密钥对签名，提供与上游源仓库的可验证链接，并且在上传时必须可验。已有超过 20,000 个证明被发布。PyPI 还提供了新的 Integrity API 和网页界面，方便用户查看文件的证明。

https://blog.pypi.org/posts/2024-11-14-pypi-now-supports-digital-attestations/

#Python #Security #PyPI

#AIGC

PEP 740:
https://peps.python.org/pep-0740/
web UI:
https://pypi.org/project/sampleproject/#sampleproject-4.0.0.tar.gz

https://www.bilibili.com/video/av113484746462689

我去，小孩姐！！

Lyy与眼罩 - 微博

不小心的

https://weibo.com/7521361627/OoVd9FaOX
老图新发（

“问，东方龙没有翅膀怎么飞呀。”
东方龙：

via 两仪式 ♪ 🐈

巴基斯坦早教机构称使用 VPN 违反了伊斯兰教法

2024-11-17 21:41 by 寻找时间的人

巴基斯坦宗教事务最高机构伊斯兰意识形态委员会（Council of Islamic Ideology）周五宣布，使用 VPN 访问被屏蔽内容违反伊斯兰教法。在此番声明发表前，政府已经部署了国家防火墙，以加强网络安全和打击恐怖主义的名义要求用户与媒体监管机构登记 VPN。VPN 允许用户访问被屏蔽内容，隐藏身份和位置，保护隐私和安全。委员会主席 Raghib Naeemi 表示使用 VPN 属于教唆犯罪。使用包括互联网在内的任何技术，去访问根据伊斯兰原则被认为是不道德或非法活动都是被禁止的。巴基斯坦内政部已要求封锁非法 VPN，宣称恐怖分子正在使用该工具。

https://www.siasat.com/pakistani-religious-body-faces-backlash-over-anti-vpn-decree-3132982/

#审查

OpenWrt 宣布重大变更：从 2024 年 11 月起，主开发分支和未来稳定版本（包括即将发布的 24.10 系列）将使用新的包管理器 apk 替代原有的 opkg。这一变化标志着 OpenWrt 平台发展的重要里程碑，opkg 已被弃用并不再包含在 OpenWrt 中。由于这是安装和管理包方式的根本性转变，社区正在 [论坛](https://forum.openwrt.org/t/the-future-is-now-opkg-vs-apk/201164) 中积极讨论新系统的选项和语法。请注意，此变更不影响 23.05 版本，截至 2024 年 11 月 15 日，24.10 分支仍使用 opkg。

https://forum.openwrt.org/t/major-change-notice-new-package-manager/215682

#OpenWrt #PackageManager #TechnologyUpdate

#AIGC

武汉 2024 年 12 月 IFS 活动将于 2024 年 12 月 7 日 16:00 在光谷步行街进行。

🗺 地点：洪山区 光谷步行街 意大利步行街 [高德地图]
🕞 时间：2024 年 12月 7 日 16:00

📌 签到 Portal：意大利步行街·精致的小喷泉
📌 补仓 Portal：意大利步行街·精致的小喷泉

🔗 活动链接：fevgames
🔗 RSVP 表单链接：Google 表格

👥 频道链接：@ifswuhan

⚠️ 注意事项
此次 IFS 不是 线上 IFS！
拿牌需要满足以下条件：
- 在签到和签退间获得至少 10000 AP
- 本场活动合照需要至少 10 有效人数
- 本场活动的 Passcode 需要被协助解出，具体方式参考下方“活动 passcode”
参加者请尽快RSVP以免活动取消

✍️ 签到/签退方式
Hack base portal，然后打开本场活动的签到/签退表单，提交数据

⏳ 活动时间
16:00 - 18:00 : 探员签到，投放 Media
17:00 : 在签到 Portal 处进行合照
18:00 - 19:00 : 补仓 Portal 激活
16:00 - 19:00 : 满足 IFS 要求的探员可以签退
21:00 : Passcode 过期

Passcode：
🔎 活动 Passcode
本场活动需要参与者配合解出 Passcode，如有获得相关 media 请发至本群或 Leader 处。passcode 投放方式如下：
- 通过提供的链接中的图片包含的信息，找到签到 Portal 附近的 11 个 Portal
- 入侵这些 Portal，在每个 Portal 均可获得一种 media，务必记住对应的 portal
- 每种 media 包含 passcode 中的一个数字/字母/Glyph
- 组合获得的信息以得到 passcode

ℹ️ 活动 Leader
绿军 Leader: @Halfte_des_Lebens
蓝军 Leader: @zombieP378

今天没有筷子架火箭
六点起结果给我们看有效载荷=一根大香蕉
退钱

本地权限提升漏洞影响 needrestart 工具

Qualys 安全公告指出，needrestart 工具中存在多个本地权限提升漏洞（LPE），这些漏洞允许任何非特权用户获得 root 权限。needrestart 是一个 Perl 工具，自 Ubuntu Server 21.04 版本起默认安装，用于检查系统或服务是否需要重启。

主要漏洞包括：
1. CVE-2024-48990 和 CVE-2024-48992：攻击者可以通过控制 PYTHONPATH 或 RUBYLIB 环境变量，诱使 needrestart 运行 Python 或 Ruby 解释器，从而执行任意代码。
2. CVE-2024-48991：攻击者可以通过竞争条件，诱使 needrestart 运行攻击者伪造的 Python 解释器。
3. CVE-2024-10224 和 CVE-2024-11003：攻击者可以通过控制文件名，诱使 needrestart 调用 Perl 的 ScanDeps 模块时执行任意 shell 命令。

这些漏洞自 needrestart 0.8 版本（2014年4月）引入解释器支持以来就已存在。目前，Qualys 不会公开其利用代码，但警告其他研究人员可能会在协调发布后不久公开有效的利用方法。

缓解措施：
建议在 needrestart 配置中禁用解释器扫描功能：

$nrconf{interpscan} = 0;

原文链接：
Qualys Security Advisory

标签：
#安全漏洞 #Ubuntu #needrestart #LPE

#AIGC

【慢报】你们的猩猩把我们扫的po训练成了大模型
https://readhacker.news/s/6ieE8