2

Log4j 扫描器发布;微信 PC 端开始支持自动登录;GitLab 14.6 发布 | 思否周刊

 2 years ago
source link: https://segmentfault.com/a/1190000041181084
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

40s 新闻速递

  • 亚马逊 AWS 本月第三次出现故障,影响 Slack、Epic、Asana 等服务
  • CISA、CrowdStrike 发布 Log4j 扫描器,但仍有盲点
  • 一些苹果员工计划在平安夜罢工 抗议工作条件
  • Azure 应用服务漏洞:暴露数百个源代码存储库
  • 苹果或为 Mac 推出低价显示器,价格便宜一半
  • 微信 PC 端开始支持自动登录,不再需要手机扫码
  • 百度网盘推不限速青春版,海报宣传速度从 52MB/s 降至 2MB/s
  • 甲骨文史上最大手笔,逾 1800 亿元收购电子病历公司 Cerner
  • GitLab 14.6 发布:增加无缝地理体验、在 SAST 中支持 .NET 6
  • Debian 11.2 发布:更新 Apache Log4j 等错误和安全问题
  • IntelliJ IDEA 2021.2.4 发布
  • Krita 5.0 发布:开源 Photoshop 替代品
  • Ember 4.0 发布

亚马逊 AWS 本月第三次出现故障,影响 Slack、Epic、Asana 等服务

12 月 22 日,亚马逊云计算部门 AWS 表示,由于数据中心断电,美国东海岸的一些用户受到了影响。停电正在影响 AWS 云服务器的可用性和连接性。亚马逊同时指出,只有一个数据中心受到了停电的影响,而其他数据中心不受影响。

亚马逊 AWS 托管着很大一部分互联网,这意味着,当 AWS 遇到问题时,连锁反应会蔓延到许多其他不同的服务。监测机构 DownDetector 数据显示,AWS 此次宕机出现在北京时间今晚 8 点左右,消息服务 Slack、交易平台 Coinbase 和 Epic Games 的游戏平台均受到了影响。

CISA、CrowdStrike 发布 Log4j 扫描器,但仍有盲点

针对 “史诗级” 漏洞 Log4j,全球开始自查行动。在这之中,网络安全和基础设施安全局 CISA 本周发布了自己的 Log4j 扫描器,该扫描器在安全公司 FullHunt 创建的 Log4j 扫描器基础上作了修改,支持 DNS 回调以进行漏洞发现和验证,同时提供对 HTTP POST 数据参数的模糊测试、对 JSON 数据参数的模糊测试以及对 URL 列表的支持。除此之外,网络安全技术公司 CrowdStrike 类似地也发布了自己的免费 Log4j 扫描器,称为 CrowdStrike 档案扫描工具或“CAST”。 

一个自主的 DevSecOps 平台  Rezilion 的漏洞研究负责人 Yotam Perkal 对一些 Log4j 扫描程序进行了测试,发现许多扫描程序无法找到该漏洞的所有实例。Perkal 说,“虽然有些扫描仪比其他扫描仪做得更好,但没有一个能够检测到所有格式。这也提醒我们,检测能力取决于您的检测方法。扫描仪有盲点。”根据 Perkal 的说法,该研究说明了静态扫描在检测 Log4j 实例方面的局限性。

一些苹果员工计划在平安夜罢工 抗议工作条件

为了表达对苹果工作条件的不满,苹果员工在今年早些时候发起了 AppleToo 运动,并取得了进展。名为苹果团结(Apple Together) 的 Twitter 账号在周四发文,呼吁所有苹果员工在 12 月 24 日举行罢工或抗议,以要求更好的工作条件。虽然相当一部分苹果公司员工将在平安夜或圣诞周末休假,但许多苹果零售和 Apple Care 员工仍被安排工作。

Azure 应用服务漏洞:暴露数百个源代码存储库

12 月 21 日,Wiz 研究团队发文称,在 Azure 应用服务中检测到一个不安全的默认行为,该行为暴露了使用 “本地 Git” 部署的用 PHP、Python、Ruby 或 Node 编写的客户应用程序的源代码。这个漏洞被 Wiz 团队称之为“NotLegit”,同时他们表示该漏洞自 2017 年 9 月以来一直存在,很可能已被利用。Wiz 于 2021 年 10 月 7 日向微软报告了这个安全漏洞,微软在本月前些时候已经通知了一组最受其影响的 Azure 客户,现在漏洞问题已经得到缓解,但还有一些用户仍处在风险中。

苹果或为 Mac 推出低价显示器,价格便宜一半

援引彭博社 Mark Gurman 最新一期「Power On」通讯,苹果正在开发一款全新适用于最新 Mac 的外部显示器。在通讯中,他认为这款新显示器的售价会比较亲民,主要面向那些希望为新款 MacBook Pro 提供更大屏幕的用户,价格可能要比 Pro Display XDR 专业显示器便宜一半。

微信 PC 端开始支持自动登录,不再需要手机扫码

微信 PC 端开始支持自动登陆功能,用户只要在扫码登陆后勾选 “自动登录该设备” 即可开启该功能。当前,该功能已经在微信的 Windows 端和 MacOS 端推送,均能够正常使用。

在开启自动登录功能后,用户可以在微信手机端点击 “微信已登陆” 横幅,并自行设置打开或关闭该功能,而在 PC 端的设置界面中,用户则能够选择关闭自动登陆功能。经过测试,只要在一台电脑上完成了自动登陆的设置,那么在这台电脑上登陆就不再需要手机进行确认。

百度网盘推不限速青春版,海报宣传速度从 52MB/s 降至 2MB/s

百度众测公众号宣布下周公测百度网盘青春版( 不限速 ),但眼尖的网友发现,百度似乎把之前内测海报中的 52MB/s 改成了 2.2MB/s,不知道是否会对服务产生影响。

甲骨文史上最大手笔,逾 1800 亿元收购电子病历公司 Cerner

12 月 21 日消息,甲骨文将以全现金方式收购电子病历公司 Cerner,交易总金额约为 283 亿美元(约合人民币 1809 亿元),合每股 95 美元,比 Cerner 上周四收盘价溢价约 20%。预计这一交易将于 2022 年完成,鉴于 C

erner 庞大的用户群,甲骨文将因此获得海量病历数据,强化医疗健康业务。

这是甲骨文有史以来手笔最大的一起收购交易。甲骨文称,交易完成后第一年,公司不按美国通用会计准则计算的利润将因此增长。甲骨文预计,未来多年 Cerner 将成为“又一个巨大的营收增长引擎”。公布交易后,甲骨文股价跌幅一度超过 5%。

此外,微软也看到了医疗健康领域的商机。微软 4 月宣布将斥资 196 亿美元收购语音识别技术公司 Nuance Communications,目的是获得帮助医生预测患者需求的人工智能技术。甲骨文在云服务领域也落后于微软。

最新技术动态

GitLab 14.6 发布:增加无缝地理体验、在 SAST 中支持 .NET 6

12 月 22 日,GitLab 团队宣布 GitLab 14.6 发布,并表示该版本是 2021 年的最后一个版本。此版本带来了简化的地理配置,通过自动使用离他们最近的地理站点来帮助全球分布的团队来加速 Git 克隆或 Git 拉取命令,用于记录实时事件(例如连接和令牌状态)的 GitLab 代理的活动列表,同时还有各种 SAST 改进,包括 SAST 执行策略和对 .NET 6 的支持。

Debian 11.2 发布:更新 Apache Log4j 等错误和安全问题

12 月 18 日,Debian 11.2 发布。Debian 11.2 是二次更新,主要针对错误和安全问题提供最新的软件包更新。

值得注意的是,在上周引起的 “史诗级” 漏洞安全问题的 Apache Log4j, Debian 11.2 中也更新了其版本。同时在该版本中,如 containerd 的一些其他安全问题的新版本、修复 wget 来处理 32 位系统上超过 2GB 的下载等都得以解决。

IntelliJ IDEA 2021.2.4 发布

IntelliJ IDEA 2021.2 的第四个错误修复版本正式推出。

主要更新内容

  • 修复了主菜单,使其现在可以立即加载
  • 修复了主菜单中图标出现低分辨率问题
  • 修复了 File mask 下拉列表,现在它可以正确显示可用的 mask
  • 修复了结果选项卡,使其在你关闭选项卡时只响应对应的选项卡

Krita 5.0 发布:开源 Photoshop 替代品

Krita 是一个非营利性、开源和社区驱动的软件项目,同时也是 Photoshop 的开源替代品。Krita 5.0 是 Krita 项目迄今为止规模最大的一次更新,为 Krita 的每一个方面带来了诸多改进,并实现了许多全新功能。

主要更新内容

  • 速度更快、更具弹性的资源管理系统;
  • 色彩管理和渐变色改进;
  • 涂抹笔刷速度更快,全新的 MyPaint 笔刷引擎;
  • 动画制作功能改进;
  • 全新的分镜头脚本工具和配套工作流程;
  • 用户界面改进;
  • AVIF 和 WebP 等全新文件格式支持;
  • 以及工具、图层功能改进等。

Ember 4.0 发布

Ember 项目正式发布了 Ember.js、Ember Data 和 Ember CLI 4.0 版本。该版本通过删除了一些过时的 API 和对传统平台的支持,使其更加聚焦框架本身。

Ember 3.15 以来,Ember "Octane"API 一直是新应用程序的默认配置,但根据我们的语义版本承诺,该框架继续支持 "Classic" 框架功能。Ember 4.0 虽然放弃了已经过时的经典 API,但基础的 EmberComponent 和 EmberObject/computed API 在这个版本中并没有被删除。

此外,官方表示,他们正在推动 Ember 3.28 成为 Ember 最新的长期支持(LTS)版本,对于使用 LTS 版本的用户,官方不鼓励直接升级到 4.0,而是建议尽快升级到 Ember 3.28 LTS 版本。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK