乍一看,你可能不认为最新的一组OpenSSL的安全补丁是非常重要的。当然,还有一两个更严重的问题,但他们真的那么糟吗?是的,其实他们不只是很严重,甚至是可怕的。
诚然,有些操作系统,如Red Hat Linux企业(RHEL),不大大这些最新问题的影响。但是,如果你使用一个使用OpenSSL的1.0.2或OpenSSL的版本,任何操作系统:1.0.1,1.0.0和0.9.8,又是另一回事。
OpenSSL中1.0.2的情况下,第一个问题是孩子“的ClientHello sigalgs DOS(CVE-2015-0291)。”有了这个错误客户端,同时看上去好像它试图通过谈判传输层安全(TLS)或安全套接字层(SSL)连接,可竟招来一个NULL指针结果。由于任何人谁是曾经做过很多编程可以猜测,NULL指针可以反过来,用来敲目标程序关闭服务器。典型地,这将被用作Web服务器上的拒绝服务(DoS)攻击。
没有黑客利用此漏洞......呢。至少有一个研究员大卫·拉莫斯曾报道说,“我有[一]利用工作为即将到来的CVE-2015-0291 1.0.2服务器的拒绝服务攻击。据我所知,没有活跃在野外。”
其他几个问题也得到修复,可导致DoS攻击。诚然,这是很难作出对这些secuirty孔这样的攻击,还等什么呢?饼干爱无非是工作难点问题。为了避免被其最新的玩物,无论是什么版本的OpenSSL您正在使用,现已修补它。
其他严重的错误,“RSA默默地降级为EXPORT_RSA [客户](CVE-2015-0204),”是一样丑陋,更阴险。这个建立在FREAK / SMACK OpenSSL的安全漏洞上。
FREAK造成了许多Web服务器上时,被攻破,加密的出口可追溯至20世纪90年代代码调用。一旦FREAK攻击了有漏洞的Web服务器握手了易碎暗号,这是破解代码和服务器的“安全”通信只是一个问题是开了黑客的阅读快感。通常情况下,这种攻击是一个人在这方面的中间人(中间人)攻击进行。
但FREAK安全漏洞进行了修补,对不对?嗯,是的,但事实证明,由于OpenSSL的开发人员所说的那样,而他们“本来以为服务器RSA密码套件出口的支持是罕见的:一个客户端只易受打击,它支持的RSA密码套件出口服务器的MITM攻击。最近的研究已经表明,RSA密码组出口支持更为普遍。“
换句话说,如果你使用任何的下方的功能,那么你应该立即升级。
在NCC集团和Linux基金会的核心基础架构计划(CII)都在努力改善OpenSSL的安全性。但是,随着这个最新的OpenSSL补丁指出,FREAK已被证明是远远超过只是一个OpenSSL的问题。无论什么样的网络服务器或操作系统,你正在使用,你必须做出一定的措施免受FREAK侵害。
好文章,需要你的鼓励
本文评测了六款控制台平铺终端复用器工具。GNU Screen作为老牌工具功能强大但操作复杂,Tmux更现代化但学习曲线陡峭,Byobu为前两者提供友好界面,Zellij用Rust编写界面简洁易用,DVTM追求极简主义,Twin提供类似TurboVision的文本界面环境。每款工具都有各自特点和适用场景。
韩国汉阳大学联合高通AI研究院开发出InfiniPot-V框架,解决了移动设备处理长视频时的内存限制问题。该技术通过时间冗余消除和语义重要性保留两种策略,将存储需求压缩至原来的12%,同时保持高准确性,让手机和AR眼镜也能实时理解超长视频内容。
网络安全公司Snyk宣布收购瑞士人工智能安全研究公司Invariant Labs,收购金额未公开。Invariant Labs从苏黎世联邦理工学院分拆成立,专注于帮助开发者构建安全可靠的AI代理工具和框架。该公司提供Explorer运行时观察仪表板、Gateway轻量级代理、Guardrails策略引擎等产品,并在工具中毒和模型上下文协议漏洞等新兴AI威胁防护方面处于领先地位。此次收购将推进Snyk保护下一代AI原生应用的使命。
纽约大学研究团队通过INT-ACT测试套件全面评估了当前先进的视觉-语言-动作机器人模型,发现了一个普遍存在的"意图-行动差距"问题:机器人能够正确理解任务和识别物体,但在实际动作执行时频频失败。研究还揭示了端到端训练会损害原有语言理解能力,以及多模态挑战下的推理脆弱性,为未来机器人技术发展提供了重要指导。