最终评选出 2024 年与开源项目和信息安全相关的最重要和最引人注目的事件:
- 冲突:NixOS 项目危机。Sonny Pearce 被逐出 GfNOME 基金会董事会。BacheFS 作者被暂时停职,并遭到 Linus Torvalds 的批评。一位关键 Python 开发人员被撤职。冲突 WordPress WP Engine 发展壮大,最终取代了 ACF 插件。Malibal 对 CoreBoot 发起攻击。向欧洲监管机构投诉 Mozilla。uBlock Origin Lite 被屏蔽。Apache 因与美洲原住民有关而更名。
- 制裁与封禁:11名内核维护者被排除在外 Linux与俄罗斯相关。Spring拒绝接受俄罗斯开发者的修改。Mozilla满足了俄罗斯联邦通信、信息技术和大众传媒监管局(Roskomnadzor)的要求,随后解除封锁并处以罚款。Docker Hub暂时封锁俄罗斯。禁止俄罗斯访问OpenTofu代码库。GitHub上OpenXRay被错误封锁。GitLab上BPC浏览器插件被封锁。
- 分支:FreeNginx 是 Nginx 的一个分支,Valkey 和 Redict 是 Redis 数据库管理系统的一个分支,Flock 是 Flutter 的一个分支,Apache Cloudberry 是 Greenplum 数据库管理系统的一个分支。OpenTofu 的第一个版本,它是 Terraform 的一个分支。OpenSearch,Elasticsearch 的一个分支,迁移到…… Linux 基金会。
- 收购、合并和合作:微软将 Mono 交给了 Wine 社区。 IBM 收购 HashiCorp。 Mozilla 收购了 Anonym。合并 Tor 和 Tails。重组 OpenSSL 并与 Bouncy Castle 和 Cryptlib 库合并。 x86 架构倡议。
- 专利和版权:任天堂攻击开发游戏机模拟器的项目:Yuzu、Suyu、Ryujinx、Yuzu forks。 OS Zone 倡议使 54 项专利无效。应 AMD 的要求删除了一些 ZLUDA 代码。 HDMI 论坛不允许在开放驱动程序中实现 HDMI 2.1。
- 法律法规:封锁内核开发者的可能性 Linux违反行为准则。美国联邦通信委员会(FCC)恢复了网络中立性规则。Rust 商标使用指南。NetBSD 和 Gentoo 禁止使用人工智能系统生成的代码。GitHub 禁止托管用于创建深度伪造内容的项目。
- 许可:开放许可草案发布后,Redis、CockroachDB 和 ScyllaDB 数据库管理系统将过渡到专有许可。Elasticsearch 恢复为开源许可。Greenplum 数据库管理系统停止作为开源产品进行开发。Zabbix 的许可从 GPLv2 变更为 AGPLv3,Forgejo 的许可从 MIT 变更为 GPLv3。 OpenVPN 从 GPLv2 到 GPLv2(有例外情况)。Tuxedo 驱动程序的许可问题。
- 发布 Winamp 源代码。 Winamp 代码中违反了 GPL 许可证。删除 Winamp 代码。
- 引入开放人工智能系统的定义和废除它的倡议。生成式人工智能模型的开放性评级。
- 开发平台和应用程序目录:Forgejo 与 Gitea 完全分离。从 Fedora 过渡到 Forgejo。来自 SberTech 的 GitVerse。 P2P平台Radicle 1.0。托管 Git 存储库 Game of Trees Hub。 PyPI 中的强制双因素身份验证和新的包身份验证系统。 Flathub 上的下载量达到 2 亿次,用户达到 XNUMX 万。
- 编程语言和编译器:GCC 14、LLVM 18/19、Java SE 22/23、Go 1.22/1.23、.NET 9、Perl 5.40、Julia 1.11、PHP 8.4、Ruby 3.4、V 0.4.8、Snek 1.10、 Tcl/Tk 9.0、斯威夫特 6.0、 Clojure 1.12,Mojo 24.3。
- 新语言和编译器:Borgo(结合了 Go 和 Rust 的最佳功能)。 TrapC(类 C 内存安全语言)。 Hare(来自 Sway 的创建者的一种接近 C 的语言)。 Pkl(配置语言)。 Vcc - Vulkan 的 C/C++ 编译器。 Bend 是一种用于 GPU 上并行计算的语言。
- 开发工具:Meson 1.6、Automake 1.17、GNU Mes 0.27。 Gittuf 用于 Git 存储库的加密保护。 Eclipse Theia 开发环境。 Zed 代码编辑器已打开。
- Python:Python 已经将 JavaScript 从 GitHub 排名第一的位置上拉了下来。内置 JIT 编译器。 Python 1。 NumPy 3.13。 Nuitka 2.0.0 编译器。
- 安全编码:提升 C++ 内存安全性。一种缓解漏洞的策略 AndroidFil-C 是一个内存安全的 C/C++ 编译器。评估 MiraclePtr 在 C++ 中的有效性。Hyperlight 是一个用于隔离单个函数的虚拟机管理程序。
- Rust:用于用 Rust 重写 C 代码的 AI 翻译器。用于使用 Rust 开发高度可靠系统的联盟。 Rust 包中 unsafe 的使用分析。 Rust 标准库的验证。改进了 C++ 和 Rust 之间的可移植性。
- 系统组件:systemd 256/257、Glibc 2.39/2.40、GNU Shepherd 1.0.0。减少 libsystemd 依赖性。 run0 是 sudo 的系统集成替代品。基于 Musl 的 systemd 端口。
- 硬件:OpenWrt 一台路由器。新的 Raspberry Pi 板:Pico 2、计算模块 5、Pico 2 W、500、监视器、媒体中心。 AI助理家庭助理语音。 Vortex 2.2(基于RISC-V的开源GPGPU)。创建与 Z80 兼容的开放处理器。 FuryGpu 是一款基于 FPGA 的 GPU。 PiDP-10(PDP-10 主机的克隆)。 OpenTitan 平台上的第一款芯片。
- 固件:Intel参与CoreBoot的开发。工具包 fwupd 2.0.0。 TI CC13XX 和 CC26XX 芯片的固件修改。
- 塞特瓦亚·伊恩什拉斯特鲁克塔拉:默认使用 TCP_NODELAY 的倡议(已在 OpenBSD 中实现)。特斯拉开源了 TTPoE 协议。垃圾流量占比上升至 6.8%。free5GC 用于构建 5G 核心网。Let's Encrypt 弃用了 OCSP 协议。Cloudflare 的 Pingora 框架。Netplan 1.0 配置系统。F-Stack 1.24 网络协议栈。hostapd/wpa_supplicant 2.11 支持 Wi-Fi 7。
- 标准:C23。伏尔甘 1.4。 POSIX 1003.1-2024。 BPF 标准化。 OpenMP 6.0。后量子加密算法的标准化。 FLAC 音频编解码器的 RFC。
- 安全机制:OpenPaX(类似于Grsecurity/PaX)。 IPE门禁系统。
- 新的操作系统和发行版:KDE 正在开发自己的发行版。ALDOS 是 Fedora 的一个变体,没有 systemd。Asterinas 和 Maestro 内核是用 Rust 编写的,并且部分兼容…… LinuxApertis 是 Collabora 公司开发的一款电子设备发行版。Chimera 是其内核。 Linux 使用 FreeBSD 环境。红帽企业版 Linux 人工智能。Fedora Atomic Desktops。Serpent OS。 AlmaLinux Kitten。Manjaro 的持续更新版本。Selectel OS。TileOS。Helios(基于 Illumos)。ExectOS(具有类似于……的微内核) Windows NT)。
- 发行版和操作系统更新: Ubuntu 24.04 / 24.10 Ubuntu 核心24 CentOS 第 10 流,红帽企业 Linux 10-beta/9.5/9.4、Fedora 40/41、openSUSE Leap 15.6、SUSE Linux Enterprise 15 SP6、openSUSE Leap Micro 6、ALT 10、elementary OS 8、Whonix 17.2、 Linux 薄荷绿 22,天蓝色 Linux 3.0、Proxmox VE 8.3、Tails 6、Alpine 3.21、Armbian 24.11、NixOS 24.11、Vanilla OS 2、Blend OS 4、Endless OS 6.0、LibreELEC 12.0、Manjaro 24.0、OpenMediaVault 7.0、Redox OS 0.9、Haiku R1-beta5、OpenIndiana 2024.04.
- 发行版变更:GNOME OS 转型为消费者发行版,并在 Arch Linux 中采用原子更新。 Linux (RISC-V 移植,Valve 参与)。Fedora(移除 X11 会话,DNF5 迁移,AI 工具,基于 Web 的安装程序,KDE 核心版本状态)。RHEL 中期版本变更。OpenSUSE(SLFO/ALP 迁移,Agama 安装程序,可重复构建,SUSE 品牌弃用)。全新内核 Ubuntu.
- OpenStreetMap 已从 Ubuntu 上 DebianLinkedIn 已从 CentOS 在 Azure 上 Linux.
- 实时操作系统:RISC OS 5.30,RT-Thread 5.1,内核中的实时模式支持 Linux. 可以免费使用 QNX 8.0。
- BSD:FreeBSD 14.2、NetBSD 10、OpenBSD 7.6、ravynOS(FreeBSD 风格版本) macOSNixBSD(基于 FreeBSD 内核的 NixOS)。讨论在 FreeBSD 上使用 Rust。改进 FreeBSD 上的笔记本支持。FreeBSD 的新一轮发布。FreeBSD 的图形安装程序。SmolBSD(创建 NetBSD 的微型版本)。
- 移动平台: Android 15/16-pre、LineageOS 22、KDE Plasma Mobile 6、Phosh 0.44、webOS 2.27、 Ubuntu Touch OTA-7 Focal、Bliss OS、postmarketOS 24.12、/e/OS 2.6。Mobifree 开源移动应用生态系统。PostmarketOS 基于 systemd 构建。Tizen 移植到 RISC-V。Droidian 是其一个变体。 Debian 适用于智能手机。GrapheneOS 支持破坏性 PIN 码。
- 将 Chrome OS 迁移到该平台 Android. 支持 Linux-应用程序 Android适用于虚拟机的 MicroFuchsia Android.
- 软件包管理:OpenWrt 迁移到 APK 软件包管理器。Pacstall(AUR 的类似工具) UbuntuGNU Mes 0.27。RPM 6 开发启动。Aura 4.0.0。Pacman 7.0。GNU Stow 2.4。APT 3.0 测试版。Arch 软件包管理现代化 Linux.
- 新的用户环境:Miracle、COSMIC alpha 测试、KDE 6、Theseus Ship(以前称为 KWinFT)。
- 更新用户环境:Xfce 4.20、GNOME 46/47、KDE Plasma 6.0/6.1/6.2、KDE Gear 24.12、MATE 1.28、LXQt 2.1.0、Cinnamon 6.4、Trinity R14.1.3]、MaXX Interactive Desktop 2.2、Sway 1.10、Budgie 10.9,风化层 3.1。 KDE 两年的目标。 GNOME 5 年计划。 X Window 系统诞生 40 周年。
- 复合服务器更新:labwc 0.8.0、Hyprland 0.46、Niri 0.1.10、Cage 0.2、Weston 14.0、Wayfire 0.9。
- 图形用户界面:GTK 4.41/4.16、Qt 6.7/6.8、IGL 1.0。 FLTK 1.4.0,支持 Wayland。 Ardour 继续开发 GTK2 前叉。 PortableGL 0.98(OpenGL 3 C语言实现)。 GTK 中 OpenGL 和 Vulkan 的新引擎。 Louvre 用于开发复合服务器。 SDL3的开发。
- GPU:梅萨 24.0/24.1/24.2/24.3。 DXVK 中添加了 Direct3D 8 支持以打开内核模块。 NVIDIA 的开放 vGPU 实现。 LibreCUDA 项目。 AMD 已发布 GPU RDNA 3.5 的文档。
- Wayland 升级:Wayland 1.23。只能使用 Wayland 构建 GNOME。 NVIDIA 驱动程序中的 Wayland 支持。 Raspberry Pi 操作系统已切换至 Wayland。 Project Frog 旨在推广新的 Wayland 协议。韦兰实验方案。
- 驱动程序:Nova(适用于带有 GSP 固件的 NVIDIA GPU 的新开放驱动程序)。 Embedded-hal(在 Rust 中创建驱动程序)。改进了 NVK 和 Zink 驱动程序。 Rust 上的 EXT2。 Honeykrisp(Apple M1 芯片的 Vulkan 驱动程序)。 panthor 驱动程序已为第 10 代 GPU Mali 做好准备。 AMD 已经开放了带有 XDNA 引擎的 NPU 驱动程序。
- 多媒体:MIPI 相机的开放堆栈。 FFmpeg 7.0/7.1、PipeWire 1.2.0、PulseAudio 17.0、OBS Studio 31.0、Kodi 21、MythTV 34。Zrythm 音频工作站 1.0.0。 Rivendell无线电控制平台。
- 编解码器:TSAC 和 Opus 1.5 音频编解码器。来自 FFMpeg 的 xHE-AAC 解码器。 jpegli 是 Google 的 JPEG 编码器和解码器。三星支持 JPEG XL。
- 图形:即将发布 GIMP 3.0。 Inkscape 1.4、Darktable 5.0、RawTherapee 5.10、Scribus 1.6.0。
- 建模和 3D:Blender 4.3、FreeCAD 1.0、CadZinho 0.6、KiCad 8.0。 Google Blocks 代码是开源的。 3D可视化程序OSPRay Studio 1.0和3D渲染引擎OSPRay 3.1。火山口岛的 3D 模型。来自 Overture Maps 的道路网络地图。
- 游戏:VK 的 NauEngine 测试版、Godot 4.3、Open 3D Engine 24.09、Dagor Engine 24.12。用于运行 Asahi 的 Windos 游戏的工具包。拉卡5.0。质子9.0。酒9.0。 Minetest 已更名为 Luanti。游戏《Descent 3》的代码已开放。 SteamOS 上的华硕 ROG Ally 支持。
- 新开放项目:Mikage 模拟器代码已开放。微软开源了 Garnet 存储。 Valve 拥有开源 Steam 音频。 NVIDIA 已将 Slang 着色器语言捐赠给 Khronos 联盟。打开 Bitwarden SDK。
- 数据库管理系统:PostgreSQL 17、MySQL 8.4/9.0/9.1、MariaDB 11.4、Valkey 8.0、Redis 7.4、DuckDB 1.0、IvorySQL 4.0、SynchDB 1.0、EdgeDB 5.0、Firebird 5.0。
- Web:Node.js 23/24,支持 TypeScript。德诺 2.0。 Bun JavaScript 平台支持 C 代码。 Wasmer 5。车速表 3.0 测试。
- 浏览器:Tor 浏览器 14.0、Chromium 引擎上的 FixBrowser Wolvic。 25岁的迪洛。 Verso 和 Servo——Servo 引擎上的浏览器。伺服器通过 Acid2 测试。加快 Ladybird 浏览器的开发并决定在其中使用 Swift 语言。
- Mozilla:广告平台。拒绝与 Onerep 合作。 MLS(Mozilla 定位服务)项目已终止。决定不停止支持第二版 Chrome 清单。领导层变动。冬季和秋季裁员。 AI网站生成。语音识别工具。品牌重塑。
- Firefox:版本 122-133、重定向跟踪保护、阻止第三方 cookie、临时权限、显示缩略图、翻译文本片段、Firefox Labs、内置聊天机器人、侧边栏、垂直选项卡、统一清晰对话框、HTTP 自动更正为 HTTPS、Zstandard支持、Firefox View 和 PDF 查看器的改进、Haiku OS 的移植。 Firefox 已经 20 岁了。
- Chrome:版本 121-131、用于货币化的小额支付、附加性能、摆脱第二版清单、保持对第三方 Cookie 的支持、uBlock Origin 终止警告、嵌入大型语言模型。
- 分布式和P2P系统:星云P2P覆盖网络1.9。 Meshtastic 是基于 LoRa 发射器的网状网络。 OpenZiti 1.0 用于将覆盖网络嵌入到应用程序中。 PeerTube 7.0。
- 办公套件:LibreOffice 24.2/24.8、Calligra 4.0、ONLYOFFICE 8.2。
- 机器学习:DeepMind 的 AlphaFold 3、用于语音通信的 Hertz-dev 模型、用于语音合成的 ChatTTS、Databricks 发现了 DBRX 模型、xAI 发现了 Grok 模型、OpenAI 的 Transformer Debugger、Google 发现了 Gemma 模型。
- 文件系统:弃用 Ext2 驱动程序并删除 ReiserFS。 Ceph 集群每秒 2.10 兆字节的吞吐量。小FS XNUMX。集群 FS VitastorFS。
- 虚拟化和容器:将 VMware Workstation 迁移到 KVM 管理程序的工作正在进行中。VMware Workstation 和 VMware Fusion 现已免费。Xen 中的 IOMMU 半虚拟化。基于 KVM 的 VirtualBox。微软已将 OpenVMM/OpenHCL 管理程序开源。Finch for Linux将 Hyper-V 主机组件迁移到内核 Linux. Lima 1.0 (Linux on MAC)、Xen 4.19、XCP-ng 8.3、Kata Containers 3.4、LXC 6.0、QEMU 9.0-9.2、Bubblewrap 0.11、CRIU 4.0、Distrobox 1.8、VirtualBox 7.1、MicroCloud LTS。
- 服务器应用程序:OpenSSH 9.7-9.9、BIND 9.20、Samba 4.20/4.21、Exim 4.98、Postfix 3.9、chasquid SMTP 服务器 1.13、ClamAV 1.4、带有 HTTP/1.26 的 nginx 3、libmicrohttpd 1.0.0、HAProxy 3.0。 Let's Encrypt 过渡到 ntpd-rs。 OpenSSH:DSA 已弃用、多进程分割、密码暴力保护。
- 核心 Linux:linus-next 分支。讨论在内核中使用 C++。Lunatik(用 Lua 创建处理程序)。启动 Linux 基于 Intel 4004 芯片。已开放 Elbrus CPU 支持代码。存在冲突。支持 x86_64 微架构版本。使用适用于 16 位 CPU 的 ELKS 0.8 内核。使用 Oracle 的 UEK-next 分支。
- eBPF:任务调度程序、输入设备诊断、用户空间工作、bpftop、DTrace 更新。计划终止对旧版 ARM CPU 的支持。
- 内核的主要变化:
- 6.7:集成 Bcachefs 文件系统、停止对 Itanium 架构的支持、Nouveau 能够与 GSP-R 固件配合使用、支持 NVMe-TCP 中的 TLS 加密、能够在 BPF 中使用异常、支持 futex io_uring,优化fq(公平队列)调度器性能,支持TCP-AO(TCP身份验证选项)扩展以及Landlock安全机制中限制网络连接的能力,增加了控制通过 AppArmor 访问用户命名空间和 io_uring。
- 6.8:Intel GPU 的 Xe 驱动程序、已安装 FS 的块设备的保护模式、Deadline 服务器任务调度程序机制、合并相同内存页面的自动优化、Rust 语言中的第一个驱动程序、listmount 和 statmount 系统调用、删除 bpfilter 和 SLAB, KVM 中的 guest_memfd 机制,数据访问分析。
- 6.9:用于块设备重复数据删除和压缩的 dm-vdo 模块,FUSE 中的直接文件访问模式,支持为单个线程创建 pidfd,BPF 令牌机制,支持 ARM64 系统上的 Rust,弃用 Ext2 FS 驱动程序,删除老驱动NTFS,支持Intel FRED机制。
- 6.10:带有同步原语的ntsync驱动程序 Windows NT、DRM Panic 组件用于实现“蓝屏死机”模拟、停止支持较旧的 Alpha CPU、验证基于 FUSE 的文件系统完整性的能力、通过 Landlock 机制限制对 ioctl 的访问、用于分析内存分配操作的子系统、mseal() 系统调用、加密与 TPM 设备的数据交换的能力、对 dm-crypt 中高优先级工作队列的支持,以及第十代 Mali GPU 的 panthor 驱动程序。
- 6.11:支持块级别的原子写入操作,支持io_uring中的bind()和listen()操作,阻塞软件中断处理程序的新机制,写入内存中镜像的可执行文件的能力,支持写入块设备Rust 中的驱动程序,优化了 getrandom 调用(),AES-GCM 的新实现。
- 6.12:能够启用实时模式、通过 eBPF 创建 CPU 调度程序的 sched_ext、紧急情况下的 QR 码输出、设备内存 TCP 机制、SCHED_DEADLINE 服务器资源预留机制、EEVDF 任务调度程序的改进、用于设置完整性策略的 IPE 模块。
- 加密:Apple 的同态加密库。 PGP 工具包 sq 1.0、OpenSSL 3.3/3.4、LibreSSL 4.0、VeraCrypt 1.26.14、GnuPG 2.5、Libgcrypt 1.11.0、Cryptsetup 2.7。重组 OpenSSL。 Rustls 与 OpenSSL 和 nginx 的兼容性。后量子加密算法的开发。
- 密码学问题:KyberSlash(Kyber 后量子算法中的一个漏洞)。 EUCLEAK(YubiKey 5 密钥克隆)。重新创建 PuTTY 密钥。
- XZ Utils 包中的后门:追溯、激活逻辑、审计结果、尝试对其他项目进行类似攻击。
- 处理器中的漏洞:BadRAM(AMD、SEV-SNP 绕过)、Sinkclose(AMD、SMM 访问)。绕过幽灵保护。间接董事(英特尔)。 TikTag(ARM、MemTag 绕过)。 BHI(英特尔)的新变体。 ZenHammer(AMD)。 GhostRace(英特尔、AMD、ARM、IBM)。 GhostWrite(RISC-V玄铁)。 LeftoverLocals(AMD、Apple、高通和 Imagination GPU)。 RFDS(英特尔凌动)。
- 攻击方法:DNSSEC 中的 KeyTrap 和 NSEC3;用于绕过 AI 系统过滤器的 ArtPrompt 和 BoN;端口阴影(连接重定向)。 VPN 以及 Wi-Fi)。TunnelVision(VPN 流量重定向)。获取国外“.mobi”域名的 TLS 证书。通过浏览器中的 IP 地址 0.0.0.0 发起攻击。SnailLoad(根据数据包延迟确定要打开的网站)。攻击已卸载应用程序的处理程序。 Ubuntu基于 UDP 的协议循环攻击。持续泛洪攻击(HTTP/2.0 服务器中断)。RADIUS 响应伪造。转义序列攻击。BatBadBut(Rust、PHP、Node.js、Python、Ruby、Go、Erlang 和 Haskell 库)。
- 研究:使用 AI 识别 SQLite 中的漏洞。对 kernel.org 黑客攻击期间安装的 Ebury rootkit 进行分析。 UEFI bootkit Bootkitty。
- 通过AI生成垃圾漏洞报告而产生的问题。由于 CVE 存在虚假和夸大的漏洞而导致声誉受损。
- 本地漏洞:内核 Linux (n_gsm、netfilter、io_uring、nf_tables、ksmbd、ktls、uio、网络协议栈),FreeBSD 内核(1、2),GRUB2(RHEL),已调优,需要重启(默认值) Ubuntu 服务器)、PostgreSQL、NetworkManager-libreswan、guix-daemon、pam_oath、Nix、NVIDIA 驱动程序、Flatpak、Buildah、Podman、Node.js、libuv、Glibc。
- 远程漏洞:IPv6 协议栈 Linux蓝牙协议栈 AndroidOpenSSH 中的根漏洞(regreSSHion),OpenSSH 中 RHEL 和 FreeBSD 特有的漏洞。在安装了 CUPS 的系统上执行代码(续)。libaom 和 libvpx(AV1 和 VP8/VP9 编解码器,可能通过浏览器进行攻击)。FreeBSD 和 OpenBSD NFS 服务器。Apache Struts、GStreamer、Libarchive、X.Org 服务器(1、2、3、4)、libgsf(影响 GNOME)、Emacs、Js2Py、PHP、nginx(HTTP/3)、Fluent Bit、Git、R、Glibc(通过 PHP 脚本进行攻击)、Suricata、ClamAV、runc(影响 Docker 和 Kubernetes)、FFmpeg(JPEG XL)、Redis。
- 黑客:互联网档案馆。云耀。梭子鱼网络。 PyTorch 存储库受到损害。 Pwn2Own Automotive、Pwn2Own 2024 和 Pwn2Own Ireland 2024 竞赛。
- 隐私:会话分析 OpenVPNManjaro 中的遥测功能 LinuxFedora 和 Go。VPN 应用分析 Android广告拦截器统计数据。可访问来自远程和私有 GitHub 代码库的数据。
- 固件和引导加载程序中的漏洞:Shim 中的漏洞(UEFI 安全引导绕过)。 PixieFAIL(通过 PXE 对 UEFI 固件进行攻击)。 Phoenix 和 AMI MegaRAC UEFI 固件中的漏洞。高通固件中的漏洞。由于主板中的测试密钥而绕过 UEFI 安全启动。
- 路由器和设备的漏洞:禁用659万个家庭路由器。能够为数百万 ISP Cox 用户管理调制解调器。 D-Link 路由器和网络存储中的后门。 Juniper 设备中的漏洞。华硕路由器中的漏洞。 SSID 混乱(Wi-Fi 网络替换)。 OpenWRT 汇编工件的替换。解锁 Saflok 电子锁。
- 检测 PyPI (1, 2) 和 Snap Store 目录中的恶意包。 GitHub Enterprise Server、Gogs、GitLab 中的危险漏洞(1、2、3、4、5、6)。手动检查 Snap Store 中的包名称。从NPM下载过期包的分析。 Hugging Face 存储库中的恶意 AI 模型。 GitHub 上有十万个包含恶意代码的存储库。
- 问题:加载问题 Linux 由于更新过程中出现错误 Windows (解析中)。运行“systemd-tmpfiles --purge”时,/home 目录被删除。由于 DNSSEC,RU 域区域失败。根 DNS 服务器“C”已断开同步。KDE 主题正在删除用户文件。
- 对基础设施的攻击:通过 Polyfill 替换恶意代码。 GitHub Python 存储库的访问令牌泄漏。 SourceHut 上的 DDoS。拥抱脸部空间令牌泄漏。发布恶意 Ultralytics 版本。将恶意代码注入 Solana 加密货币的官方 JavaScript 客户端。 Pidgin 的 ss-otr 插件中存在恶意代码。
- 事件:攻击者更改了 Orange Espagne 电信运营商的 BGP 设置。由于基础设施漏洞,GitHub 已更新 GPG 密钥。从梅赛德斯内部存储库获取令牌以供公共访问。
一年来,OpenNET 上发布了 1569 条新闻,有 158 条评论。 2024 年秋天,OpenNET 项目迎来了 28 岁生日。
来源: opennet.ru
