Forwarded from 科技圈🎗在花频道📮
地震了吗?安徽和江苏地区有震感。
09月18日20时08分在安徽合肥市肥东县附近(北纬32.00度,东经117.60度)发生5.0级左右地震,最终结果以正式速报为准。
09月18日20时08分在安徽合肥市肥东县附近(北纬32.00度,东经117.60度)发生5.0级左右地震,最终结果以正式速报为准。
🚨JUST IN: Guinness World Records has awarded the Israeli Mossad the record for "Most Vasectomies Completed at Once," surpassing the previous record holder, the 2024 Democratic National Convention.
https://fixupx.com/USMiniTru/status/1836134700165009510
(Satire)
https://fixupx.com/USMiniTru/status/1836134700165009510
(Satire)
FxTwitter / FixupX
U.S. Ministry of Truth (@USMiniTru)
🚨JUST IN: Guinness World Records has awarded the Israeli Mossad the record for "Most Vasectomies Completed at Once," surpassing the previous record holder, the 2024 Democratic National Convention.
Forwarded from 雨落今天看什么
Forwarded from AIGC
GitLab 发布了多个版本的紧急补丁,包括 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10,主要修复了关键的 SAML 认证绕过漏洞。建议所有自托管的 GitLab 安装立即升级到这些版本。 GitLab.com 已经运行了修复后的版本。
主要修复内容:
- SAML 认证绕过漏洞**:更新了依赖项 omniauth-saml 到 2.2.1 版本和 ruby-saml 到 1.17.0 版本,以缓解 CVE-2024-45409。此漏洞仅影响配置了 SAML 认证的实例。
**自托管 GitLab 的缓解措施:
- 启用 GitLab 的双因素认证(2FA)。
- 禁止 SAML 的双因素绕过选项。
检测和识别攻击尝试:
- 攻击尝试的证据将出现在 GitLab 的 application_json 和 auth_json 日志文件中。
CVE-2024-45409 详细信息:
- Ruby SAML 库在 1.12.2 及以下版本和 1.13.0 到 1.16.0 版本中未能正确验证 SAML 响应的签名,导致攻击者可以伪造 SAML 响应/断言,从而以任意用户身份登录系统。此漏洞已在 1.17.0 和 1.12.3 版本中修复。
更多详情请查看:
- GitLab 发布公告
- CVE-2024-45409 详情
- ruby-saml 安全公告
- omniauth-saml 安全公告
#GitLab #Security #CVE #AIGC
主要修复内容:
- SAML 认证绕过漏洞**:更新了依赖项 omniauth-saml 到 2.2.1 版本和 ruby-saml 到 1.17.0 版本,以缓解 CVE-2024-45409。此漏洞仅影响配置了 SAML 认证的实例。
**自托管 GitLab 的缓解措施:
- 启用 GitLab 的双因素认证(2FA)。
- 禁止 SAML 的双因素绕过选项。
检测和识别攻击尝试:
- 攻击尝试的证据将出现在 GitLab 的 application_json 和 auth_json 日志文件中。
CVE-2024-45409 详细信息:
- Ruby SAML 库在 1.12.2 及以下版本和 1.13.0 到 1.16.0 版本中未能正确验证 SAML 响应的签名,导致攻击者可以伪造 SAML 响应/断言,从而以任意用户身份登录系统。此漏洞已在 1.17.0 和 1.12.3 版本中修复。
更多详情请查看:
- GitLab 发布公告
- CVE-2024-45409 详情
- ruby-saml 安全公告
- omniauth-saml 安全公告
#GitLab #Security #CVE #AIGC
GitHub
SAML authentication bypass via Incorrect XPath selector
Ruby-SAML in <= 12.2 and 1.13.0 <= 1.16.0 does not properly verify the signature of the SAML Response. An unauthenticated attacker with access to any signed saml document (by the IdP) can thu...
Forwarded from 层叠 - The Cascading
研究者发现自己可以注册一些 TLD 的旧 Whois 服务域名,并利用其获得 TLD 下非由自己控制域名的 TLS 证书。
- watchTowr 的研究人员发现 .mobi 的旧 whois 服务域名过期,因而购买了此域名并在原有域名上架设了 whois 服务。
- 研究人员发现 CA 服务 GlobalSign 允许使用 whois 记录中的邮箱作为验证邮箱,并且仍使用旧 whois 服务域名进行证书注册相关查证,因此可以为他们所用来申请任意 .mobi 域名的 TLS 证书。
labs.watchtowr.com/~
seealso: HackerNews:41510252
#Whois #MOBI #PKI
- watchTowr 的研究人员发现 .mobi 的旧 whois 服务域名过期,因而购买了此域名并在原有域名上架设了 whois 服务。
- 研究人员发现 CA 服务 GlobalSign 允许使用 whois 记录中的邮箱作为验证邮箱,并且仍使用旧 whois 服务域名进行证书注册相关查证,因此可以为他们所用来申请任意 .mobi 域名的 TLS 证书。
labs.watchtowr.com/~
seealso: HackerNews:41510252
#Whois #MOBI #PKI
watchTowr Labs
We Spent $20 To Achieve RCE And Accidentally Became The Admins Of .MOBI
Welcome back to another watchTowr Labs blog. Brace yourselves, this is one of our most astounding discoveries.
Summary
What started out as a bit of fun between colleagues while avoiding the Vegas heat and $20 bottles of water in our Black Hat hotel rooms…
Summary
What started out as a bit of fun between colleagues while avoiding the Vegas heat and $20 bottles of water in our Black Hat hotel rooms…
Forwarded from TMFW
Forwarded from 竹新社
日本驻华大使金杉宪治19日与中国外交部副部长孙卫东通电话。双方就日籍男童遇袭事件表示遗憾。
金杉宪治强烈要求中方尽快与日方共享案件详情、保护在华日本人安全、强化日本人学校警备、采取措施杜绝此类事件再度发生。
孙卫东表示中方将尽最大努力保障包括日本人在内的在华外国人安全,他还表示事件是有犯罪前科者引发的个案。
涉事的深圳日本人学校本周停课一周,下周也将进行线上授课。校外亦有当地人前去献花。
在学校和案发现场附近,最晚19日早晨启动了增设监控摄像头的作业,有大人带着孩子等驻足观看。
《深圳特区报》记者从深圳市公安局了解到,案发后,犯罪嫌疑人钟某被当场抓获。经审查,钟某,男,44岁,汉族,无固定职业,2015年因涉嫌破坏公用电信设施被东莞警方取保候审,2019年因涉嫌虚构事实扰乱公共秩序被深圳警方行政拘留。钟某对持刀伤害该学生的行为供认不讳。经调查,该案属偶发个案,钟某为单人作案。
(日本驻华大使馆,NHK 1 ,2,共同社,每日新闻,深圳特区报)
金杉宪治强烈要求中方尽快与日方共享案件详情、保护在华日本人安全、强化日本人学校警备、采取措施杜绝此类事件再度发生。
孙卫东表示中方将尽最大努力保障包括日本人在内的在华外国人安全,他还表示事件是有犯罪前科者引发的个案。
涉事的深圳日本人学校本周停课一周,下周也将进行线上授课。校外亦有当地人前去献花。
在学校和案发现场附近,最晚19日早晨启动了增设监控摄像头的作业,有大人带着孩子等驻足观看。
《深圳特区报》记者从深圳市公安局了解到,案发后,犯罪嫌疑人钟某被当场抓获。经审查,钟某,男,44岁,汉族,无固定职业,2015年因涉嫌破坏公用电信设施被东莞警方取保候审,2019年因涉嫌虚构事实扰乱公共秩序被深圳警方行政拘留。钟某对持刀伤害该学生的行为供认不讳。经调查,该案属偶发个案,钟某为单人作案。
(日本驻华大使馆,NHK 1 ,2,共同社,每日新闻,深圳特区报)
Forwarded from hayami's blog|日常人间观察 (hayami)
「2019年,社会稳步发展,充满了积极向上的氛围,人们对未来充满希望。」
「2022年,封城结束后,社会似乎恢复了正常,但这种“正常”让我感到极度不适。」
「影响最大的一刻发生在2023年排水事件,每当在社交媒体上看到极端言论,我的心都在一点一点死去。」
「我感觉已经到了极限。无论用什么理由……一个容忍对特定民族的仇恨,容忍有杀意的人袭击特定国家儿童的社会,显然是不正常的。」
「的确,有一部分人真的疯了,这让人非常害怕。」
翻译了一个在沪日本人的推特。我认为在中文互联网上还原「个体叙事」是有意义的 —— 在仇恨包围之下,在滋长的恐惧氛围下,一个生活在中国的普通日本人的一手感受。它不仅关乎日本人,更是你,是我。因为「人」在这中间是被抹杀的,一切都变成了一个靶子。仇恨像箭一样穿过气流,狠狠刺在靶心上。它们擅长寻找弱者,老的,小的,女人,孩子,把愤怒喷射在弱者身上,再像寄生虫一样源源不断寻找新的靶子,刺杀新的猎物。again, 没有任何一个人能独善其身,所有人都在一辆贵州大巴上。
ps:改了100次违禁词,删了很多句子,打了很多码,终于能在墙内发出来了(但不知道会存活多久)。心累,大家且看且珍惜吧。
https://mp.weixin.qq.com/s/vFnS9QA0l2czcMgOYd00Ww
「2022年,封城结束后,社会似乎恢复了正常,但这种“正常”让我感到极度不适。」
「影响最大的一刻发生在2023年排水事件,每当在社交媒体上看到极端言论,我的心都在一点一点死去。」
「我感觉已经到了极限。无论用什么理由……一个容忍对特定民族的仇恨,容忍有杀意的人袭击特定国家儿童的社会,显然是不正常的。」
「的确,有一部分人真的疯了,这让人非常害怕。」
翻译了一个在沪日本人的推特。我认为在中文互联网上还原「个体叙事」是有意义的 —— 在仇恨包围之下,在滋长的恐惧氛围下,一个生活在中国的普通日本人的一手感受。它不仅关乎日本人,更是你,是我。因为「人」在这中间是被抹杀的,一切都变成了一个靶子。仇恨像箭一样穿过气流,狠狠刺在靶心上。它们擅长寻找弱者,老的,小的,女人,孩子,把愤怒喷射在弱者身上,再像寄生虫一样源源不断寻找新的靶子,刺杀新的猎物。again, 没有任何一个人能独善其身,所有人都在一辆贵州大巴上。
ps:改了100次违禁词,删了很多句子,打了很多码,终于能在墙内发出来了(但不知道会存活多久)。心累,大家且看且珍惜吧。
https://mp.weixin.qq.com/s/vFnS9QA0l2czcMgOYd00Ww
Forwarded from YCombinator News
Real-time Linux is officially part of the kernel
301 points by jonbaer 14 hours ago | 94 comments
https://news.ycombinator.com/item?id=41594862
301 points by jonbaer 14 hours ago | 94 comments
https://news.ycombinator.com/item?id=41594862
Forwarded from 浮生东京
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from YCombinator News
Hy 1.0 – Lisp dialect for Python
300 points by Kodiologist 9 hours ago | 66 comments
https://news.ycombinator.com/item?id=41617431
300 points by Kodiologist 9 hours ago | 66 comments
https://news.ycombinator.com/item?id=41617431