开源日报 | xz后门投毒黑客身份成谜;知名开源前端框架「威优易」;自研RISC-V内核,MCU最后的出路

来源: OSCHINA
编辑:
2024-04-01 18:40:00

欢迎阅读 OSCHINA 编辑部出品的开源日报,每天更新一期。

# 2024.4.1

今日要点

NetBSD 10.0 正式发布

与之前的 9.3 版本相比,10.0 版本带来了许多改进、新功能和修复。首先也是最重要的,当涉及多核和多处理器系统上的计算和文件系统绑定应用程序时,性能得到了巨大的改进。NetBSD 10.0 还带来了与其他系统上的实现兼容的 WireGuard 支持,不过目前尚处于实验阶段。

天工 3.0 即将公测,同步开源 4000 亿参数 MoE 超级模型

「天工3.0」采用4千亿级参数MoE混合专家模型,并将同步选择开源,是全球模型参数最大、性能最强的MoE模型之一。

相较于上一代「天工2.0」MoE大模型,「天工3.0」在模型语义理解、逻辑推理、以及通用性、泛化性、不确定性知识、学习能力等领域拥有惊人的性能提升,其模型技术知识能力提升超过20%,数学/推理/代码/文创能力提升超过30%。

统信 UOS:各版本均不受 liblzma/xz 影响

统信软件发布公告称,在开源软件 liblzma/xz 5.6.0 及 5.6.1 版本存在安全漏洞的消息被披露后,已对旗下所有产品完成了排查,确认包括统信 UOS 桌面操作系统与服务器操作系统各版本均不受其影响,各位用户可放心使用。


今日观察

「开源软件 xz 被植入后门」

今天以及未来一段时间网络安全的焦点话题应该都是开源软件 xz 被植入后门事件。

整个事情还是比较复杂的,我尽量说简单一点:一个自称 Jia Tan 的开发者,向开源软件 xz 加入了一个后门。该后门可以让攻击者无需有效账号也可以从 SSHD 访问系统。目前已知最新的 v5.6.0 和 v5.6.1 两个版本中都存在该后门。

由于发现的还算及时,目前只有类似 Debian sid、Fedora Rawhide、openSUSE Tumbleweed 这样比较追新的发行版分支受到了该后门的影响。然而,如果该后门没有被及时发现,当存在后门的 xz 被广泛引入各 Linux 发行版后,掌握后门的人就可以轻易入侵这些 Linux 系统。

- 微博 t0mbkeeper

「雷军&林纳斯,同龄同工不同命」

雷军顺势而为之后,创立了小米手机,算是一个相对意义上的成功,但还没有达到他心中的世俗意义上的成功。现在又创立了小米汽车,为的还是要实现世俗意义上的成功。

但无论是小米手机,还是小米汽车,实际上都还似有似无的透露着一些理工男、中关村劳模的影子。人很难跳脱自己的出身影响。

跟雷军同岁的林纳斯现在干什么呢?

- 微信 正言智驾

「今年内我们将发布一款全新的 AVG 游戏引擎」

今年内我们将发布一款全新的 AVG 游戏引擎,其采用近年流行的 Rust 语言编写,并适配三大桌面操作系统、两大移动操作系统和网页端;并能让你使用最新世代的 UI 编程方式来构建你的游戏交互和动效;最后,引擎将以商业友好的许可证持续开源且免费使用。

- 微博 BKEngine面包引擎

「XZ恶意代码潜伏三年,差点引发核末日?后门投毒黑客身份成谜」

尽管具体的内容仍在分析当中,但初步分析表明,它的设计相当复杂:

后门代码被注入到OpenSSH服务器(sshd进程),因为liblzma(含有恶意代码)是某些OpenSSH版本的依赖项。

后门劫持了RSA_public_decrypt函数,这个函数原本用于验证RSA签名。

恶意代码会检查RSA结构中传入的公共模数(「N」值),这个模数完全受到攻击者控制。

恶意代码使用硬编码的密钥(采用ChaCha20对称加密算法)对「N」值进行解密。

解密后的数据通过Ed448椭圆曲线签名算法进行有效性验证。由于这是一种非对称签名算法,后门只包含了公钥,这意味着只有攻击者能够为后门生成有效载荷。此外,这个签名与主机的公钥绑定,因此一个主机上的有效签名不能在其他主机上使用。

如果数据有效,该有效载荷将以shell命令的形式被执行。

如果数据无效(有效载荷格式不正确或签名无效),则会透明地恢复到RSA_public_decrypt的原始实现。这意味着,除了攻击者之外,是无法通过网络发现易受攻击的机器的。

- 新智元


今日推荐

开源项目

trypromptly/LLMStack

https://github.com/trypromptly/LLMStack

LLMStack 是一个无代码平台,用于构建生成式 AI 应用程序、聊天机器人、代理并将它们连接到你的数据和业务流程。

它是一个构建新的人工智能体验或将人工智能集成到现有产品中的框架。LLMStack 被设计为模块化和可扩展的。它可以帮助你管理可连接到 LLM 应用程序的数据,以创建上下文感知的生成式 AI 应用程序。

推荐理由

LMStack 是一个功能强大、易于使用的无代码平台。支持多模型、数据集成,可云或本地部署,并提供 API 访问。通过 LLMStack,用户可以在无编程经验的情况下,利用多种数据源和 AI 模型,快速创建定制化的 AI 解决方案,非常适合希望探索 AI 潜力的开发者和企业。

每日一博

消息队列的七种经典应用场景

在笔者心中,消息队列缓存分库分表是高并发解决方案三剑客。

在职业生涯中,笔者曾经使用过 ActiveMQ 、RabbitMQ 、Kafka 、RocketMQ 这些知名的消息队列 。

这篇文章,笔者结合自己的真实经历,和大家分享消息队列的七种经典应用场景。


事件点评

谷歌 Rust 团队工作效率是 C++ 团队的两倍

谷歌 Android 工程总监 Lars Bergstrom 在近期举行的 Rust Nation 大会上,介绍了该公司将 Go 或 C++ 编写的项目迁移到 Rust 语言的经验。

Bergstrom 表示,采用 Go 和 Rust 构建系统所消耗的人力和时间是一样的;并且从 Go 转向 Rust 不会降低工作效率。

值得一提的是将 C++ 代码重写成 Rust 代码后的比较。“在每种情况下,我们都发现,无论是用 Rust 构建服务,还是维护和更新这些用 Rust 编写的服务,所需的工作量都减少了 2 倍以上。”

Bergstrom 称,这一发现对谷歌团队来说意义重大。因为 C++ 代码维护成本高昂,需要庞大的团队投入大量精力,并且存在诸多风险。

点评

谷歌对 Rust 语言的采纳和推广,体现了其在提高软件安全性和开发效率方面的追求。这一转变不仅反映了谷歌对 Rust 语言的认可,也凸显了 Rust 在企业级应用中的潜力。谷歌的决策将对全球技术社区和开源社区产生深远影响,特别是在推动 Rust 语言在企业级应用中的使用和提升软件安全性方面。

Ubuntu 24.04 将 Cheese 替换为 GNOME Snapshot

Ubuntu 24.04 计划将其默认网络摄像头应用程序从 Cheese 改为 Snapshot —— 一款现代 GTK4/libadwaita 摄像头工具,是 GNOME 核心应用程序集的一部分。自 2010 年以来,Cheese 一直是 Ubuntu 默认软件阵容的一部分;最初是在 Ubuntu 9.10 Netbook Remix 中被引入。

值得一提的是,这一更改只会影响那些选择安装完整版 Ubuntu 的用户。目前,Ubuntu 的标准、默认最小安装程序不会安装 Cheese,而且在 Ubuntu 24.04 中也不会安装 Snapshot。对于想要继续使用 Cheese 的用户,也可以从软件库中选择安装。

点评

Ubuntu 的这一决策体现了其对现代化和高效应用程序的追求。这不仅可能为用户带来更好的摄像头体验,也显示了 Ubuntu 在其生态系统中寻求创新和改进的决心。虽然这一变化主要影响 Ubuntu 用户,但它也可能对使用 GNOME 桌面环境的更广泛用户群体产生积极影响。对于开发者和开源社区来说,这是一个鼓励采用新技术和工具的积极信号,可能激励更多的开源项目和技术社区跟随 Ubuntu 的步伐。


开源之声

媒体观点

对AI技术滥用风险要提高警惕

技术的运用是把双刃剑,用之为善可以造福社会,不当滥用则会造成社会风险和损害。对此,需要有关方面不断完善法律法规,进一步细化AI技术滥用的侵权类型,明确各个环节的主体责任,确立媒介平台的技术检测义务和过滤删除责任,以法律为AI技术应用框定红线;同时,引导技术开发、应用者自觉遵守法律规定和科技伦理道德,培育积极健康、向上向善的研发、应用环境,保护和鼓励新兴智能技术的有益探索。

作为社会公众,对疑似AI生成的信息内容应保持警惕,不要对此类生成信息进行盲目传播、扩散,在利用AI技术生成相关内容时要获得权利人同意,尊重社会公德和伦理道德。

- 法治日报

AI程序员Devin独角兽,半年估值20亿美元?业内曝AI泡沫:买卡500亿,收入30亿

今年AI赛道的初创公司融资和估值的疯狂水平,和去年相比更加疯狂了。

但是迄今为止,几乎没有AI初创公司的财务表现能够兑现大额融资的期待。在红杉最近的一次分享之中提到,现在AI赛道的各家公司在购买英伟达GPU的花费就已经超过了500亿美元,而目前为止产生的收入却只有30亿美元左右。

DeepMind创始人Hassiabis也在最近的采访中警告:「现在资本对于AI赛道的投入已经有点当初加密币的味道了,而真正的AI带来的可以改变人类的科学突破却没有得到应有的重视。」

- 新智元

自研RISC-V内核,MCU最后的出路?

世界苦Arm久矣,不是因为它不够强大,而是开源更具性价比。RISC-V作为x86、Arm后第三大指令集,备受我国半导体厂商的喜爱。尤其是在MCU领域,过去几年出现过很多RISC-V+Arm双核或纯自研RISV-C内核的MCU产品。

前几天,Renesas(瑞萨电子)宣布,推出基于内部自研CPU内核构建的通用32位RISC-V微控制器(MCU)——R9A02G021。

这意味着,行业的风向开始变了,MCU巨头的战略也开始向RISC-V倾斜。

- 电子工程世界

用户观点

知名开源前端框架「威优易」,你们学吗?

  • 观点1:抱着试试看的心态,学了一个疗程。现在腰也不酸了,腿也不疼了,就连走路啊,都有劲儿了!
  • 威威优优又易易。学了之后我看代码一目百行,我电脑编译项目一秒十个项目。非常好用!
  • 还在学?时间差不多喽
  • 10几年终于汉化了
  • 逼格瞬间降低999999档😂😂
  • 是愚人节整蛊?

xz活跃维护者“潜伏”三年——添加恶意代码、植入SSH后门

  • 观点1:该拿到报酬的人没有拿到报酬,圈外的人很难想像互联网的基础设施中的很多螺丝钉是别人做慈善的结果吧
  • 观点2:功夫不到家[捂脸] 这么处心积虑的搞了个后门,结果是个bug[破涕为笑]
  • 观点3:我看tk还是谁说到了jia tan这个名字像中国人所以已经有开始针对中国开发者的一些不友好评论? 还说什么在中美对抗的大背景下 以后开源项目中国开发者的境遇可能会变差?
  • 观点4:处心积虑的黑客会给自己起个中文拼音名字吗?这根本就是自导自演的炒作

NetBSD 10.0 正式发布

  • 观点1:FreeBSD 的 Linux 图形驱动同步到 6.1 LTS 了,只能说 NetBSD 这种发行版太分散,整合到一起把 FreeBSD 做强做大多好。

  • 观点2:NETBSD对比freebsd,发展还是太慢了些

程序员梗图

up-03d3c4862992aa74ea8cabb62d009019ec1.png

---END---

展开阅读全文
点击引领话题📣 发布并加入讨论🔥
0 评论
0 收藏
分享
返回顶部
顶部