Log4j 漏洞引发全球修补漏洞行动;KeePassX 停止开发;.NET 6 网络改进 | 开源日报

Posted 开源头条

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Log4j 漏洞引发全球修补漏洞行动;KeePassX 停止开发;.NET 6 网络改进 | 开源日报相关的知识,希望对你有一定的参考价值。

整理 | 宋彤彤
责编 | 屠敏

开源吞噬世界的趋势下,借助开源软件,基于开源协议,任何人都可以得到项目的源代码,加以学习、修改,甚至是重新分发。关注「开源日报」,一文速览国内外今日的开源大事件吧!


一分钟速览新闻点!

  • Apache Log4j 2.16.0 发布,增加默认禁用 JNDI 功能
  • CISA 为 Log4j 漏洞创建网页,积极维护
  • GitHub 存储库 GitHub 对 Log4j 漏洞 CVE-2021-44228 作出回应
  • openEuler、360 等企业对 Log4j 漏洞做出应急措施
  • Ubuntu 22.04 LTS 将放弃对 IBM POWER8 CPU 硬件平台的支持
  • KeePassX 停止开发,KeePassXC 成为其转移阵地
  • .NET 6 网络改进,HTTP 功能得到提升
  • Fedora 36 支持 OSTree Native Containers / CoreOS Layering
  • Linux 内核最终将淘汰 AMD“ 3DNow!”
  • Ionic 6 发布,改进 iosandroid 的设计
  • Wolfram 语言 和 Mathematica 13.0 版发布
  • Vitebook:Storybook 的一个轻量级替代品

Log4j 漏洞引发全球修补漏洞行动

Apache Log4j 2.16.0 发布,增加默认禁用 JNDI 功能

12 月 13 日,Apache Log4j 2 团队宣布 Log4j 2.16.0 发布。Apache Log4j 2 是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。Log4j 2 包含基于 LMAX Disruptor 库的下一代异步记录器,在多线程场景中,异步 Logger 的吞吐量比 Log4j 1.x 和 Logback 高 18 倍,延迟低几个数量级;同时 Log4j 2 API 将提供最佳性能,且 Log4j 2 提供对 Log4j 1.2、SLF4J、Commons Logging 和 java.util.logging (JUL) API 的支持。

Log4j 2.16.0 是 Log4j 的最新版本, 现已可用于生产。从 Log4j 2.13.0 开始,Log4j 2 在运行时需要 Java 8 或更高版本。此版本包含可在最新更改报告中找到的新功能和修复程序,同时多了默认禁用 JNDI 功能、删除消息查找等变化,官方还表示 Log4j 2.16.0 保持与以前版本的二进制兼容性。

下载地址:https://logging.apache.org/log4j/2.x/index.html

CISA 为 Apache Log4j 漏洞创建网页,积极维护 GitHub 存储库

近日,Apache Log4j 漏洞引起热议,美国网络安全和基础设施安全局(简称 CISA) 及其合作伙伴通过联合网络防御协作组织,正在跟踪和积极应对因广泛利用 Apache Log4j 软件库版本 2.0-beta9 至 2.14.1 的关键远程代码执行漏洞(CVE-2021-44228)而造成的影响。作为回应,CISA 创建了一个 Apache Log4j 漏洞指南网页,并将积极维护由社区提供的 GitHub 存储库,其中包含有关 Log4j 漏洞的公开信息和供应商提供的建议,CISA 也表示将持续更新网页和 GitHub 存储库。CISA 敦促组织查看 Apache Log4j 漏洞指南网页并升级到 Log4j 版本 2.15.0,或者督促其立即应用相关供应商推荐的缓解措施。随着更多有效信息的出现,CISA 表示将持续更新网页。 (CISA)

图片来源:CISA

GitHub 对 Log4j 漏洞 CVE-2021-44228 作出回应

12 月 13 日,GitHub 对 Log4j 漏洞一事做出了回应。12 月 9 日,GitHub 团队发现了 Log4j 日志框架中的漏洞 CVE-2021-44228 后,立即启动了事件响应流程,以确定他们对该框架的使用和该漏洞对 GitHub 以及其产品和基础设施的影响。为了帮助社区识别用户对易受攻击的 Log4j 库的使用,他们还发布了 GitHub 安全公告和 Dependabot 警报,其中包含一般漏洞详细信息。在公开漏洞披露后,他们于 12 月 10 日晚上立即采取行动,开始减轻对 GitHub.com 和 GitHub Enterprise Cloud 的任何影响。同时他们还审查了遥测并对额外的监控进行部署,但目前都没有检测到任何成功的利用。他们表示将继续关注局势的任何新发展。

openEuler、360 等企业对 Log4j 漏洞做出应急措施

Log4j 漏洞席卷全球互联网。针对这一漏洞,国内诸多企业也迅速做出修复措施,如 openEuler 发布最新公告,表示用户可通过更新 openEuler 20.03 LTS SP1/SP2 Log4j 的安全补丁修复该漏洞;面对有黑客疑似利用 Apache Log4j 2 漏洞对 Minecraft(我的世界)Java 版发起大规模攻击后,360安全团队第一时间推出终端网络层拦截工具,率先对该漏洞进行拦截。

开源大新闻

Ubuntu 22.04 LTS 将放弃对 IBM POWER8 CPU 硬件平台的支持

12 月 9 日,Ubuntu 的维护者 Matthias Klose 在一则通知中提到了 Ubuntu 22.04“Jellyfish”的新规划,他们将采用 GCC 11 编译器、以将 PPC64EL 架构的基线要求来提升至 POWER9。由于开发商 Canonical 正在将其 PPC64EL 基线移至较新的 POWER9 架构来构建软件包,因此 Ubuntu 22.04 的长期支持(LTS)版本,预计将无法在 IBM POWER8 的旧硬件上运行。在近期的 PowerPC 编辑版本更新中,开发团队就已经开始使用“-march=power8 -mtune-power9”来构建软件包。现在,他们将更进一步地向“-march=power9”转进,以进一步优化 POWER9 处理器的代码生成。(cnBeta)

图片来源:cnBeta

KeePassX 停止开发,KeePassXC 成为其转移阵地

12 月 9 日,KeePassX 官方发布通知称,KeePassX 停止开发,同时官方表示基于 KeePassX 的项目需要切换到 KeePassXC 中。KeePassX 曾被描述为“适用于对安全个人数据管理有极高要求的人的应用程序”,它有一个跨平台的轻量级的界面,并在 GNU 通用公共许可证条款下发布,是安全和隐私类别中非常受欢迎的密码管理器。 KeePassX 最初是 KeePass 的 Linux 移植版,是 KeePass 的跨平台分支;而 KeePassXC 也是一个免费的开源密码管理器,其最初是 KeePassX 的社区分支。(KeePassX)

图片来源:KeePassX

.NET 6 网络改进,HTTP 功能得到提升

12 月 13 日,微软 .NET 团队发布博客介绍了 .NET 6 中的变化和改进。在最新版本中,.NET 6 的 HTTP/2 窗口缩放功能有所提升;简化了 Windows 和 Linux 上 MsQuic 的设置,大大提高了稳定性并实现了许多缺失的功能,QUIC 和 HTTP/3 的实验性也得以实现;同时 .NET 6 将 HTTP 请求重试逻辑更改为基于固定的重试次数限制。其次,在 .NET 6 中,SOCKS 代理支持得到改进,WinHTTP 也有新增的功能,通过利用 Windows 上的自动重用端口范围可以来处理端口耗尽,全局禁用 IPv6 的选项等,具体详情见附加链接。(Microsoft .NET 博客)
更多详情见:https://devblogs.microsoft.com/dotnet/dotnet-6-networking-improvements/

Fedora 36 支持 OSTree Native Containers / CoreOS Layering

12 月 13 日,Linux 软件工程师和开源分析师 Michael Larabel 发文称 Fedora 36 的功能工作将继续进行改进更新,以便在 4 月份提供一个令人激动的 Linux 更新发行版。Michael 还表示 Fedora 工程和指导委员会 (FESCo) 已批准一项更改,以增强 RPM OSTreee 堆栈,使其原生支持 OCI/Docker 容器作为操作系统内容的传输和交付机制。此功能是“CoreOS 分层”的基础,它允许从容器镜像中进行操作系统的更新,并从 CoreOS 基础镜像中轻松生成分层镜像。(Phoronix)

图片来源:Phoronix

Linux 内核最终将淘汰 AMD“ 3DNow!”

在 Linux 5.17 周期内有关 AMD 的 x86/ 内核部分变化中,舍弃了 AMD 的“ 3DNow!”代码。“3DNow!”是由 AMD 开发的一套 SIMD 多媒体指令集,支持单精度浮点数的矢量运算,用于增强 x86 架构的电脑在三维图像处理上的性能。虽然“ 3DNow!”在 AMD 的 K6 和早期的 Athlon 处理器时代中留下了美好的印象,但 AMD 十年前弃用了这些指令,并且在较新的处理器中不再使用。作为代码改进的一部分,移除 “3DNow!”内核代码正在进行。

图片来源:Phoronix

移除“ 3DNow!”内核的支持可以释放大约 500 行代码,这些代码已经在内核中“躺平”了 20 多年。从 K6-2 开始,“3DNow!”就一直存在于 AMD 处理器中,直到 Bulldozer 退役。现在是时候让内核代码随着 Linux 5.17 周期的到来而消失了。

开源软件专区

Ionic 6 发布,改进 iOS 和 Android 的设计

12 月 13 日,Ionic 团队宣布 Ionic 6 发布,此版本中改进了桌面支持、对组件进行了大幅度改进以及修改了 iOS 和 Android 的设计等。官方表示,尽管此版本的 Ionic 确实有很多变化,但他们努力将这些变化保持在最低限度,因此与之前的 Ionic 4 和 Ionic 5 版本相比,Ionic 6 的重大更改反而较少。在 Ionic 6 中,发布节奏稳定快速,iOS 和 Android 的设计进行了变更,iOS 模式的刷新样式以及更新的工具栏和暗模式的样式进行了显著更改;同时 Android 中 Material Design 模式的输入样式得到了改进,以用来支持新的 filled 和 outline 变体。其他还有一些组件和性能工具的改变,具体详情见附加链接。(Ionic)

改进的 iOS 模态主题
图片来源:Ionic

更多详情见:https://ionicframework.com/blog/announcing-ionic-6/

Wolfram 语言 和 Mathematica 13.0 版发布

12 月 13 日,Wolfram 团队宣布最新成果 Wolfram 语言和 Mathematica 的第 13 版发布。距离上个 12.3 版已经 207 天,而在这个短短的时间内新版本取得了不可思议的大量研发成果:117 个全新功能,数百个更新和升级的功能、数千个错误修复和小的增强功能,以及许多新想法,令系统使用起来更容易、更顺畅。在 13.0 版中,现已可用初等函数来计算结果,同时 Abramowitz & Stegun 中的所有函数都可以在 Wolfram 语言中完全计算。在 13.0 版还具有许多特定的数学增强功能,也添加了新的矩阵函数、实体和结构力学,还可用图像函数来可视化列表插值函数的位移等,具体详情见附加链接。(Wolfram)

图片来源:Wolfram

具体详情见:https://blog.wolfram.com/2021/12/13/launching-version-13-0-of-wolfram-language-mathematica/


开源工具推荐

Vitebook:Storybook 的一个轻量级替代品

Vitebook 的核心是使用基于文件系统的静态站点生成器的路由方案,以及 Vite 带来的快速开发环境。Storybook 是用于独立构建 UI 组件和页面的开源工具,它简化了 UI 开发、测试和文档编制。而 Vitebook 旨在以更宽松、更轻量、更快和可配置的方式提供相同的功能,成为 Vite/Rollup 的自然扩展,同时在顶部提供一个最小的层,使用户可以更轻松地构建、记录和测试自己的组件。减小化、快速、简单化、主题化、可扩展性等是他们的总体设计目标,同时 Vitebook 受到了 VitePress、VuePress、Docusaurus、Storybook这些项目的启发。

图片来源:GitHub

更多详情见:https://vitebook.dev/introduction/what-is-vitebook.html#demos
GitHub 地址见:https://github.com/vitebook/vitebook

【欢迎来稿】源码面前,了无秘密。大家还有哪些推荐的开源工具或者开源软件,亦或是想了解的开源资讯,可以投稿至邮箱:tumin@csdn.net。开源世界的一切,由你我共同创造!


你参与开源有多长时间了?是否通过开源获得过收入?对亲身经历的开源世界有什么样的看法?
欢迎参与 CSDN 重磅推出的《2021 中国开源开发者年度有奖大调查》活动,惊喜礼品等你拿!

以上是关于Log4j 漏洞引发全球修补漏洞行动;KeePassX 停止开发;.NET 6 网络改进 | 开源日报的主要内容,如果未能解决你的问题,请参考以下文章

Apache Log4j 远程代码执行漏洞分析

在数百万的谷歌三星和LG手机中发现的高通芯片漏洞,已修补

史诗级漏洞爆发,Log4j 背后的开源人何去何从?

Log4j 第三次发布漏洞补丁,漏洞或将长存

Log4j 漏洞还没收拾完,新漏洞又来了……

安全警告十一长假网购有风险!Bash根本补不上