6月11日,OpenSSL发布了安全补丁,僵局被证明并非是正在酝酿中的灾难,但聪明的服务器管理员仍然希望尽快更新其OpenSSL的程序。这要归功于Linux基金会的核心基础设施倡议(CII)和NCC集团的帮助,终于其安全问题得到了解决。 OpenSSL也许是世界上最重要的与安全套接字层(SSL)和传输层安全(TLS)的支持Web安全库。
另一半打修复,最显著之一是为僵局。从AA问题的Diffie-Hellman密钥交换僵局窜出。的Diffie-Hellman是一种用于SSL和TLS商定一个共享密钥,并创建一个安全的连接流行的算法。从理论上讲,僵局攻击允许一个人在这方面的中间人(MITM)攻击者的网络降级到一个易受攻击的512位出口级暗号脆弱的TLS连接。在实践中,出现一直很少,如果有的话,成功僵局的攻击。
如果你今天更新的OpenSSL,你会不会担心明天的僵局。与此修复程序,OpenSSL的已通过拒绝握手与DH参数短于768位加保护TLS的客户。这个限制将提高到1,024位在将来的版本。在此期间,OpenSSL的1.0.2的用户应升级到1.0.2b和OpenSSL 1.0.1的用户应升级到1.0.1n。
所有这些问题都在Heartbleed或FREAK的水平。仍然,其中大部分可用于导致拒绝服务的攻击。此外,他们中的一个,它可以用来攻击老版本的OpenSSL,可能会导致内存损坏。
这种潜在的内存问题影响较旧版本的OpenSSL 1.0.1,1.0.0和0.9.8。此内存缓冲区命中问题的OpenSSL以下版本:
OpenSSL的0.9.8 DTLS用户应该升级到0.9.8za
OpenSSL的1.0.0 DTLS用户应该升级到1.0.0m
OpenSSL的1.0.1 DTLS用户应该升级到1.0.1h
其他的漏洞,虽然不严重,还是可以引起拒绝服务攻击,因而也应尽快修补。
展望未来,OpenSSL的问题提醒我们,对于OpenSSL的版本1.0.0和0.9.8支持将在2015年12月31日终止,这意味着这些版本将在该日期之后没有任何安全更新的支持。因此,这些过时版本的用户应尽快升级到一个新版的OpenSSL。
好文章,需要你的鼓励
最新研究发现,AI搜索引擎在引用新闻源时存在严重缺陷,不仅会捏造引用,还会减少原发布者的流量。这一问题对新闻业和公众对新闻的信任度有重大影响。研究显示,付费版AI聊天机器人表现比免费版更差,给出的错误答案更加自信。这些AI工具还经常伪造链接或引用文章的重印版本,而不是直接链接到原始来源。研究人员呼吁AI开发者提高透明度和引用准确性。
人工智能正在彻底改变软件开发方式。"氛围编码"是一种新兴的编程方法,它侧重于软件的整体"氛围"而非具体代码。开发者通过概念性指导与AI互动,迭代完善功能。这种方法可能会显著提高开发速度,增加客户端功能,但也带来了一些关于代码理解、测试和质量保证的新挑战。企业需要密切关注并适应这一趋势,以保持竞争力。
OpenAI为ChatGPT用户添加了期待已久的内部知识源引用功能。ChatGPT Team用户现可在测试期间直接连接内部知识库,引入公司特定信息。这项功能将使ChatGPT能够理解公司内部术语,执行语义搜索,直接链接内部资源,并提供最相关、最新的上下文信息,从而更好地回答企业用户的问题。
Google 最新旗舰语言模型 Gemini 2.5 Pro 发布后被其他 AI 热点掩盖。然而,实际测试表明,它在长文本处理、多模态推理和数据分析等方面表现出色,可能是目前最佳的推理模型。其百万级别的上下文窗口、强大的代码能力和详细的推理过程,为企业级应用打开了新的可能性,有望推动 Google 在生成式 AI 竞赛中领先。