欢迎阅读 OSCHINA 编辑部出品的开源日报,每天更新一期。
# 2024.9.27
今日要闻
警惕Unix系列CUPS多个安全漏洞最终可导致远程代码执行
CUPS(Common UNIX Printing System)是一个开源的打印架构,广泛用于类 UNIX 操作系统,CUPS 采用互联网打印协议(IPP,Internet Printing Protocol)作为其核心协议,这使得它能够在网络环境中高效地管理打印任务和打印机资源。
近日有国外安全研究者宣称发现多个关于CUPS的多个安全漏洞(CVE-2024-47176/CVE-2024-47076/CVE-2024-47175/CVE-2024-47177),影响广泛并可导致远程代码执行。攻击者可远程(无需认证)通过cups-browsed进程监听(默认631端口)发送恶意UDP数据包,最终在目前系统上实现任意命令执行。
值得注意该系列漏洞可通过互联网进行攻击,通过知道创宇旗下全球著名网络空间搜索引擎ZoomEye统计有大量的曾经有大量(百万级)的系统对外开放了CUPS服务,近一年也将近约18万资产对互联网开放了CUPS服务。
另外该漏洞细节存在提前泄露可能,所以建议大家注意排查相关服务器安全,修复防御漏洞。
临时防御:目前各操作系统官方补丁还在开发中,目前可通过临时停止相关服务(cpus-browsed)进行缓解。
PostgreSQL 17 发布
PostgreSQL 17 现已发布。公告称 “这是世界上最先进的开源数据库的最新版本。”
PostgreSQL 17 在适应新兴数据访问和存储模式的同时,提高了性能和可扩展性显著提高了整体性能,包括彻底改进的 vacuum 内存管理实现、存储访问优化和高并发工作负载改进、批量加载和导出加速以及索引查询执行改进。PostgreSQL 17 具有使全新工作负载和关键系统都受益的功能,例如,增加了使用 SQL/JSONJSON_TABLE 命令的开发人员体验,增强了逻辑复制从而简化了高可用性工作负载和主要版本升级的管理。
PostgreSQL 核心团队成员 Jonathan Katz 表示:“PostgreSQL 17 凸显了推动 PostgreSQL 发展的全球开源社区如何构建增强功能,帮助用户完成数据库之旅的各个阶段。无论是大规模操作数据库的改进,还是建立在令人愉悦的开发人员体验基础上的新功能,PostgreSQL 17 都将增强您的数据管理体验。”
脚本语言 Tcl 与 Python 使用的那个 GUI 包 Tk 发布 9.0 版本
Tcl/Tk 9.0 已经发布,它具有许多新功能,但与 Tcl/Tk 8 存在一些不兼容性。
Tcl(最早称为 “工具命令语言”"Tool Command Language",但是目前已经不是这个含义,不过我们仍然称呼它为 TCL)是一种 脚本语言。由 John Ousterhout 创建。 TCL 很好学,功能很强大。TCL 经常被用于快速原型开发,脚本编程,GUI 和测试等方面。TCL 念作 “踢叩”(tickle)。
使用最广泛的 TCL 扩展是 Tk,Tk 提供了各种 OS 平台下的图形用户界面 GUI。连强大的 Python 语言都不单独提供自己的 GUI,而是提供接口适配到 Tk 上。是的,Python 上用的那个 Tk。
RWKV-7 架构已发布预览版,真正超越 attention 范式
RWKV-7(代号 Goose 雁)预览版 RWKV-7 "Goose" x070.rc2-2409-2r7a-b0b4a
现已推出。
RWKV-7 超越了 attention /linear attention 范式,它的状态演化很灵活,可以解决在相同算力消耗下 attention 无法解决的问题。
相对 RWKV-6 Finch ,RWKV-7 Goose 的训练 Loss 更低,且训练非常稳定:
今日观察
社交观察
开源许可证选择器
开源许可证选择器,用大白话和选择项来选择你想要的许可证 http://t.cn/A6E5FcIp。
- 知乎 蚁工厂
中国AI公司通过巧妙创新、调整软件,来绕过美国的芯片禁令
据《经济学人》报道,中国AI公司通过巧妙创新、调整软件,来绕过美国的芯片禁令。
- 微博 萌音新视界
原声音模拟诈骗技术可能来源于2019年的谷歌AI算法
- 微博 少年伯爵
“三只羊”录音门案件告破,AI音视频伪造风险敲警钟
- 第一财经
媒体观察
人工智能能力建设普惠计划
为弥合数字和智能鸿沟,特别是帮助全球南方在人工智能发展进程中平等受益,中方认为要坚持联合国在国际发展合作中的统筹协调作用,坚持真正多边主义,基于主权平等、发展导向、以人为本、普惠包容、协同合作原则,通过南北合作、南南合作和三方合作等形式,切实落实联大加强人工智能能力建设国际合作决议(A/RES/78/311),推动落实联合国2030年可持续发展议程。为此,中国提出“人工智能能力建设普惠计划”,并呼吁各方对人工智能能力建设加大投入。
- 中华人民共和国外交部
打完“价格战”,大模型还要比什么?
下一步,北京将以“平台、项目、人才、合作”为工作主线,大力推动开源领域发展,打造开发者、资金、技术等要素的引力场,助力提升我国在国际开源界的影响力和话语权。要夯实开源基础设施,加快建设北京国际开源社区,大力支持开源软件和技术创新,鼓励高校、科研机构与企业联合开展开源教育,培养更多具有开源意识的创新者。要加速开源项目孵化,支持建设开源创业孵化器,推动优质国内开源项目在重点场景应用落地,鼓励开源硬件与软件同步开放。要深化开源国际合作,完善开源企业出海服务体系,参与全球重要开源项目建设和标准规则制定,提升开源创新国际化水平。
- 伯虎财经
院士称华为搞封闭垄断难对抗西方:众网友反击华为模式足够成功
在网友看来,华为并没有搞垄断,华为的供应链是开放的,华为的手机里绝大部分都是采用的国内供应商的零部件,这都是肉眼可见的助力国产。此外,更多的网友也表示,鸿蒙系统也有开源的版本(纯血鸿蒙更是中国人真正的移动操作系统),华为在美国的持续打压下不仅没有趴下,反而还越来越强大了,证明了华为模式的成功。
在孙凝晖院士看来,自己也并未否定华为模式的优势和作用,而是强调国内的技术发展和突破,仅仅依靠华为模式是不够的,还需要更开放的生态模式,需要更多的企业来发挥他的力量。
- 快科技
中国开源者数量居世界前列 从开源大国迈向开源强国
目前我国开源参与者数量、增长速度均位居世界前列;开源欧拉社区汇聚贡献者2万余人,用户数量超过350万人;开源鸿蒙项目吸引340余家生态单位共建,搭载设备数量超过9亿台;木兰中文开源许可协议实现国际通用。
- 中国经营网
金融业要如何迎接大模型下半场?
如今,金融业正在迎接大模型的“下半场”,从早期的技术探索转向全面的业务应用。在这场技术变革中,金融机构如何借助大模型提质增效,如何在智能化的浪潮中抢占先机,成为业内关注的焦点。
- 九卦金融圈
谁能解AI开发者的渴?
在技术落地与创新中,AI开发者的角色无可替代。无论是那些拥有名校背景的明星团队,还是独立开发者和高校学生,他们都凭借热忱和胆识投入其中。然而,面对的挑战同样尖锐,资源匮乏、市场竞争白热化、技术迅速迭代等问题一一袭来。
- 市象
今日推荐
开源项目
garden-io/garden
https://github.com/garden-io/garden
Garden 是一款可自动完成工作流的开发工具,使 Kubernetes 应用的开发和测试变得快捷,无需在笔记本电脑上运行 Docker 或 Kubernetes,快速的集群内构建、对 dev 和 CI 使用相同的命令和配置。
每日一博
从数据库发展历程到数据结构设计探析
起初,数据的管理方式是文件系统,数据存储在文件中,数据管理和维护都由程序员完成。后来发展出树形结构和网状结构的数据库,但都存在着难以扩展和维护的问题。直到七十年代,关系数据库理论的提出,以表格形式组织数据,数据之间存在关联关系,具有了良好的结构化和规范化特性,成为主流数据库类型。
开源之声
用户观点
谷歌搜索快照功能“死透透”
- 观点 1:好了,这下互联网真的没有记忆了
- 观点 2:合订本制作工具-1
- 观点 3:其实挺可惜的,有些不错的小站悄无声息地没入尘烟,有快照至少还能留住一部分互联网的记忆
- 观点 4:防止别有用心的人恶意翻合订本
- 观点 5:就是失去了“过去二十余年间积累的快照” 数据 导致本土ai训练材料严重不足
- 观点 6:ai搜索的效果就是依托。它效果那么好你干嘛不在所有文本编辑器里也搞这样子的搜索?1200000000条结果只给你返回最前面的100条
- 观点 7:Google给Web Archive捐款了没
- 观点 8:看来以后想网页留档只能靠自己建一个快照站了
- 观点 9:就算不用,搜索引擎也是会存一份快照的,不然怎么匹配网页中的关键字
淘宝官宣:正式支持「微信支付」
- 观点 1:微信啥时候支持支付宝支付呢,开发项目对接支付宝跳来跳去,很麻烦了
- 观点 2:那么,京东什么时候支持支付宝
- 观点 3:我替大家试了一下,它显示说余额不足,看来还要继续完善啊。
- 观点 4:大家都是开放共享的,不是某部门要求的
Linux创始人:C很简单,但易犯错,而Rust不是
- 观点 1:我们编程界原神是这样的(
- 观点 2:等等,Linus 这个类比… 先分清楚 rust 和 c 谁是 vi 谁是 emacs,分好之后,好了,大家可以各自加入自己的阵营开始互喷了
- 观点 3:不知道rust难不难学
- 观点 4:前面一般难,后面非常难。
- 观点 5:rust写熟了很高效
- 观点 6:刚怼完zig……底层编程需要的是对计算机体系有充分认知的人,而不是一个“提供狗屁安全性的工具”——你都可以自己吃螃蟹海鲜了,居然不能自己上厕所拉屎……听听,这符合逻辑吗!
- 观点 7:谁说用rust写内核不需要懂底层了?你不需要提供安全性的工具,你咋不把c的类型检查给扬了?
- 观点 8:因为rust太难了,所以才不会犯错吗
- 观点 9:抬高了风险代码的编写成本。我发现我曾经无意中写的内存相关BUG,在Rust里真的要用unsafe才能编译通过。
- 观点 10:对于linux内核是c好还是rust语言好,还有待争论。但是,编辑器领域必须是Emacs最好,不接受反驳
- 观点 11:只能说,还好祖师爷不是老顽固,冥顽不化。不然linux内核未来真的药丸💊。 毕竟总不能让生生世世的年轻人都去玩c对吧。时代在发展毕竟。大人,时代变了。
---END---