Forwarded from 徳川百合幕府御花畠(梗&涩) (百合图投稿bot)
Forwarded from Ziyao Channel | 二代目 (梓瑶 | \302\347\317\302/\306\374\313\334\n)
CVE-2025-26519: musl libc: iconv 子例程中存在可被输入控制的越界写,影响 0.9.13 到 1.2.5 的所有版本
触发该问题时,iconv 必须以 EUC-KR 格式为输入,UTF-8 为输出,使用同一个转换描述符连续处理不可信的输入。解码不可信的 MIME 输入即为一个现实的复现场景。
仍未发布的 1.2.6 版本将会修复该问题,此前应当 backport 报告邮件中附带的
以修复该问题,截至 Feb. 13, 2025 18:25 UTC,该 commit 仍未被提交到 git.musl-libc.org/git/musl 仓库,无法确定其 commit hash
Alpine Linux 已在 edge 分支修复该问题:https://git.alpinelinux.org/aports/commit/main/musl?id=20b81715ec535d14d4b47b225442b414159d27f6
eweOS Pull Request: https://github.com/eweOS/packages/pull/3146
Chimera Linux 仍未响应
18:46 update: eweOS 已合并修复
19:37 update: Chimera Linux 已合并修复 https://github.com/chimera-linux/cports/commit/0ed1fee1b838d9eedafcece719b814cbb18b34c6
Feb. 14 4:27 Update: 修复已提交到 musl libc 仓库 https://git.musl-libc.org/cgit/musl/commit/?id=e5adcd97b5196e29991b524237381a0202a60659
Reference: https://www.openwall.com/lists/oss-security/2025/02/13/2
持续更新于 https://www.tg-me.com/ziyao233channel/2940
触发该问题时,iconv 必须以 EUC-KR 格式为输入,UTF-8 为输出,使用同一个转换描述符连续处理不可信的输入。解码不可信的 MIME 输入即为一个现实的复现场景。
仍未发布的 1.2.6 版本将会修复该问题,此前应当 backport 报告邮件中附带的
0001-iconv-fix-erroneous-input-validation-in-EUC-KR-decod.patch
0002-iconv-harden-UTF-8-output-code-path-against-input-de.patch
以修复该问题,截至 Feb. 13, 2025 18:25 UTC,该 commit 仍未被提交到 git.musl-libc.org/git/musl 仓库,无法确定其 commit hash
Alpine Linux 已在 edge 分支修复该问题:https://git.alpinelinux.org/aports/commit/main/musl?id=20b81715ec535d14d4b47b225442b414159d27f6
eweOS Pull Request: https://github.com/eweOS/packages/pull/3146
Chimera Linux 仍未响应
18:46 update: eweOS 已合并修复
19:37 update: Chimera Linux 已合并修复 https://github.com/chimera-linux/cports/commit/0ed1fee1b838d9eedafcece719b814cbb18b34c6
Feb. 14 4:27 Update: 修复已提交到 musl libc 仓库 https://git.musl-libc.org/cgit/musl/commit/?id=e5adcd97b5196e29991b524237381a0202a60659
Reference: https://www.openwall.com/lists/oss-security/2025/02/13/2
持续更新于 https://www.tg-me.com/ziyao233channel/2940
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from DeepSeek
🎉 Excited to see everyone’s enthusiasm for deploying DeepSeek-R1! Here are our recommended settings for the best experience:
• No system prompt
• Temperature: 0.6
• Official prompts for search & file upload: bit.ly/4hyH8np
• Guidelines to mitigate model bypass thinking: bit.ly/4gJrhkF
The official DeepSeek deployment runs the same model as the open-source version—enjoy the full DeepSeek-R1 experience! 🚀
• No system prompt
• Temperature: 0.6
• Official prompts for search & file upload: bit.ly/4hyH8np
• Guidelines to mitigate model bypass thinking: bit.ly/4gJrhkF
The official DeepSeek deployment runs the same model as the open-source version—enjoy the full DeepSeek-R1 experience! 🚀
Forwarded from AIGC
PostgreSQL 的 libpq 函数(如
PostgreSQL 项目感谢 Rapid7 的首席安全研究员 Stephen Fewer 报告此问题。
此外,CVE-2025-1094 引入了一个回归问题,并在发布后不久被报告。由于该问题涉及 libpq 且面向客户端,发布团队不确定其影响范围,因此决定在 2025 年 2 月 20 日进行计划外的发布,以尽快修复此问题。根据标准发布流程,所有修复补丁需在 2025 年 2 月 15 日 12:00 UTC 前提交,以确保有足够时间通过构建测试。
参考链接:
[1] https://www.postgresql.org/support/security/CVE-2025-1094/
[2] https://www.postgresql.org/message-id/Z64jD3u46gObCo1p%40pryzbyj2023
[3] https://www.postgresql.org/about/news/out-of-cycle-release-scheduled-for-february-20-2025-3016/
[4] https://www.postgresql.org/developer/roadmap/
#PostgreSQL #SQL注入 #安全漏洞
#AIGC
PQescapeLiteral()、PQescapeIdentifier()、PQescapeString() 和 PQescapeStringConn())中存在引用语法的不当处理问题,可能导致某些使用场景下的 SQL 注入攻击。具体来说,当应用程序将函数结果用于构建 psql(PostgreSQL 交互终端)的输入时,攻击者可能利用此漏洞进行 SQL 注入。此外,PostgreSQL 命令行工具在 client_encoding 为 BIG5 且 server_encoding 为 EUC_TW 或 MULE_INTERNAL 时,也存在类似的漏洞。受影响的版本包括 PostgreSQL 17.3、16.7、15.11、14.16 和 13.19 之前的版本。PostgreSQL 项目感谢 Rapid7 的首席安全研究员 Stephen Fewer 报告此问题。
此外,CVE-2025-1094 引入了一个回归问题,并在发布后不久被报告。由于该问题涉及 libpq 且面向客户端,发布团队不确定其影响范围,因此决定在 2025 年 2 月 20 日进行计划外的发布,以尽快修复此问题。根据标准发布流程,所有修复补丁需在 2025 年 2 月 15 日 12:00 UTC 前提交,以确保有足够时间通过构建测试。
参考链接:
[1] https://www.postgresql.org/support/security/CVE-2025-1094/
[2] https://www.postgresql.org/message-id/Z64jD3u46gObCo1p%40pryzbyj2023
[3] https://www.postgresql.org/about/news/out-of-cycle-release-scheduled-for-february-20-2025-3016/
[4] https://www.postgresql.org/developer/roadmap/
#PostgreSQL #SQL注入 #安全漏洞
#AIGC
PostgreSQL Mailing List Archives
pg17.3 PQescapeIdentifier() ignores len
I found errors in our sql log after upgrading to 17.3. error_severity | ERROR message | schema "rptcache.44e3955c33bb79f55750897da0c5ab1fa2004af1_20250214" does not …
Forwarded from 层叠 - The Cascading
Bilibili
【TV动画】孤独摇滚!第二季 制作决定PV【MCE汉化组】_哔哩哔哩_bilibili
官方孤独摇滚!第二季 制作决定PV, 视频播放量 1010557、弹幕量 2479、点赞数 111104、投硬币枚数 17212、收藏人数 25802、转发人数 109024, 视频作者 夏日幻听MCE, 作者简介 MCE汉化组致力于为大家提供各类新番资讯!微博:夏日幻听MCE。欢迎更多翻译校对(N1)、字幕时轴成员加入(私信UP)!商务合作请私信沟通。,相关视频:孩子们我们都烂尾了,【泛式】看孤独摇滚第二季制作决定,导演不是斋藤圭一郎了,【4月】CRYCHIC「MyGO!!!!!×Ave Mujica…
Forwarded from 敏感经济信息分享
高盛称,预计人工智能的广泛应用将会使得中国公司的每股收益在未来十年每年提高2.5%。将MSCI中国指数和沪深300指数的未来12个月的目标点位分别提升至85点和4700点,预计上行空间分别为16%、19%。DeepSeek R1以及其他中国人工智能模型的出现,因其全球竞争力和成本效益改变了中国科技的叙事。增长前景的改善以及可能的信心提振,将会提升中国股票的公允价值15%-20%,并可能带来超过2000亿美元的投资组合资金流入。恒生科技指数和中证1000指数在关键指数中更具高科技和人工智能代表性。主题上偏好数据和云,以及软件和应用程序。
Forwarded from Ziyao Channel | 二代目 (梓瑶 | \302\347\317\302/\306\374\313\334\n)
Forwarded from &'a ::rynco::UntitledChannel (Rynco Maekawa)
(来源未知,首次发现为 https://www.bilibili.com/video/BV1fLAceaEg3 评论区)
Forwarded from AIGC
Qualys 安全公告:OpenSSH 存在两个新漏洞
Qualys 安全团队近期发现了 OpenSSH 中的两个新漏洞,分别涉及中间人攻击(MitM)和拒绝服务攻击(DoS)。以下是漏洞的详细说明:
1. CVE-2025-26465:OpenSSH 客户端中间人攻击漏洞
- 当 OpenSSH 客户端的
- 无论
- 该漏洞于 2014 年 12 月引入,影响范围广泛。尽管默认情况下
2. CVE-2025-26466:OpenSSH 客户端和服务器的拒绝服务攻击漏洞
- OpenSSH 客户端和服务器在认证前容易受到资源消耗型拒绝服务攻击,攻击者可以消耗大量内存和 CPU 资源。
- 该漏洞于 2023 年 8 月引入,影响 OpenSSH 9.5p1 及之后的版本。
- 服务器端可以通过现有的机制(如
背景信息:
OpenSSH 的代码中存在一些常见的编程模式,例如在函数开始时初始化返回值为非零错误代码,以防止函数错误地返回成功状态。这种模式在漏洞分析中被发现存在潜在风险。
建议:
- 对于 CVE-2025-26465,建议用户检查并确保
- 对于 CVE-2025-26466,建议更新到最新版本的 OpenSSH,并配置适当的防护机制。
更多详细信息请参考:
- [OpenSSH 文档](https://man.openbsd.org/ssh_config#VerifyHostKeyDNS)
- [FreeBSD 相关提交记录](https://cgit.freebsd.org/src/commit/?id=83c6a52)
#网络安全 #OpenSSH #漏洞 #中间人攻击 #拒绝服务攻击
#AIGC
Qualys 安全团队近期发现了 OpenSSH 中的两个新漏洞,分别涉及中间人攻击(MitM)和拒绝服务攻击(DoS)。以下是漏洞的详细说明:
1. CVE-2025-26465:OpenSSH 客户端中间人攻击漏洞
- 当 OpenSSH 客户端的
VerifyHostKeyDNS 选项启用时(默认关闭),攻击者可以通过中间人攻击完全绕过客户端对服务器身份的验证,从而冒充服务器。- 无论
VerifyHostKeyDNS 设置为 "yes" 还是 "ask"(默认是 "no"),攻击都能成功,且无需用户交互。即使服务器没有 SSHFP 资源记录(存储在 DNS 中的 SSH 指纹),攻击依然有效。- 该漏洞于 2014 年 12 月引入,影响范围广泛。尽管默认情况下
VerifyHostKeyDNS 是关闭的,但在某些系统(如 FreeBSD)中,该选项曾默认启用。2. CVE-2025-26466:OpenSSH 客户端和服务器的拒绝服务攻击漏洞
- OpenSSH 客户端和服务器在认证前容易受到资源消耗型拒绝服务攻击,攻击者可以消耗大量内存和 CPU 资源。
- 该漏洞于 2023 年 8 月引入,影响 OpenSSH 9.5p1 及之后的版本。
- 服务器端可以通过现有的机制(如
LoginGraceTime、MaxStartups 和 PerSourcePenalties)缓解此攻击。背景信息:
OpenSSH 的代码中存在一些常见的编程模式,例如在函数开始时初始化返回值为非零错误代码,以防止函数错误地返回成功状态。这种模式在漏洞分析中被发现存在潜在风险。
建议:
- 对于 CVE-2025-26465,建议用户检查并确保
VerifyHostKeyDNS 选项未启用,除非有明确需求。- 对于 CVE-2025-26466,建议更新到最新版本的 OpenSSH,并配置适当的防护机制。
更多详细信息请参考:
- [OpenSSH 文档](https://man.openbsd.org/ssh_config#VerifyHostKeyDNS)
- [FreeBSD 相关提交记录](https://cgit.freebsd.org/src/commit/?id=83c6a52)
#网络安全 #OpenSSH #漏洞 #中间人攻击 #拒绝服务攻击
#AIGC
Forwarded from kb 今天吃什么?
https://www.ecnu.edu.cn/
你妈的怎么会这么抽象
你妈的怎么会这么抽象
Forwarded from 深绿大声公 Shenzhen Enlightened Megaphone (Ethern)
咕 Billchen 咕 |
(Updated) 各部门、各单位: 为丰富员工文化生活,提升团队凝聚力,并通过有趣且富有教育意义的形式,进一步弘扬优秀的文化传统,经领导小组决定,组织全体员工于今晚集体观看《颂乐人偶》第7集。 具体事项如下: 观看时间: 2025年2月13日(星期四),晚上10点。 观看地点:各自家中。 注意事项: 1.请各部门提前安排好工作,准时参加。 2.观看后将组织集体讨论环节,分享个人感悟。希望大家在轻松愉快的氛围中,感受抹茶芭菲带来的独特魅力,并从中汲取糖分,增强团队精神与文化认同感。 3. 抹茶芭菲需自备。
各部门、各单位:
为丰富员工文化生活,提升团队凝聚力,并通过有趣且富有教育意义的形式,进一步弘扬优秀的文化传统,经领导小组决定,组织全体员工于今晚集体观看《迷途之子!!!!!》第21集。
具体事项如下:
观看时间: 2025年2月20日(星期四),晚上10点。
观看地点:各自家中。
注意事项:
1.请各部门提前安排好工作,准时参加。
2.观看后将组织集体讨论环节,分享个人感悟。希望大家在轻松愉快的氛围中,感受迷子文化带来的独特魅力,并从苦来兮苦的奋斗精神中汲取力量,增强团队精神与文化认同感。
3. 如果有路过的野猫闯入家中吃了你的抹茶芭菲,请联系最近的RiNG联系人,会有专人过来进行收容。不要使用黄瓜
4. 观看时禁止进行任何形式的烤羊行为,否则____会介入调查
为丰富员工文化生活,提升团队凝聚力,并通过有趣且富有教育意义的形式,进一步弘扬优秀的文化传统,经领导小组决定,组织全体员工于今晚集体观看《迷途之子!!!!!》第21集。
具体事项如下:
观看时间: 2025年2月20日(星期四),晚上10点。
观看地点:各自家中。
注意事项:
1.请各部门提前安排好工作,准时参加。
2.观看后将组织集体讨论环节,分享个人感悟。希望大家在轻松愉快的氛围中,感受迷子文化带来的独特魅力,并从苦来兮苦的奋斗精神中汲取力量,增强团队精神与文化认同感。
3. 如果有路过的野猫闯入家中吃了你的抹茶芭菲,请联系最近的RiNG联系人,会有专人过来进行收容。
4. 观看时禁止进行任何形式的烤羊行为,否则____会介入调查