Git-withme – Peer-to-peer, encrypted, ephemeral Git collaboration (Git daemon wa year agohttps://git.sr.ht/~meejah/git-withmeGit WithMe 允许在没有公共服务器或现有托管服务的情况下协作处理Git仓库它采用一次性安全码和Dilated Magic Wormhole通道建立直接点对点连接托管仓库只需运行`git withme`生成邀请码供同伴使用同伴通过`git withme accept <代码>`连接即可直接开始协作连接采用端到端加密,只要双方终端保持运行就会持续有效恶意攻击者仅有一次猜测机会破解代码,确保安全性该工具是Python编写的Git扩展,需要通过pip或虚拟环境安装
OpenSSH 10.0 Releaseda year agohttps://lists.mindrot.org/pipermail/openssh-unix-dev/2025-April/041879.htmlOpenSSH 10.0 已发布,其特点是实现了 100% 完整的 SSH 2.0 协议,并支持 sftp 客户端和服务器功能。主要变更包括移除了对弱 DSA 签名算法的支持,并默认禁用了 sshd 中的有限域 Diffie-Hellman 密钥交换。安全修复包括修补了 sshd 中 DisableForwarding 指令的问题,该指令之前未能按照文档说明禁用 X11 和代理转发。新特性包括默认使用后量子混合算法 mlkem768x25519-sha256 进行密钥协商,并在密码选择中优先使用 AES-GCM 而非 AES-CTR 模式。错误修复解决了诸如 sftp 和 ssh 中的空指针解引用问题、sshd 中用户特定延迟记录错误,以及 X11 端口处理中的整数溢出等问题。可移植性改进包括支持 AWS-LC、Y2038 安全的 wtmp 替代方案,以及 Linux 上 sshd 的内存锁定功能。此版本还包含用于验证的校验和,并鼓励通过 OpenSSH 网站提交错误报告。
FreeBSD Jails Security (Versus Podman)a year agohttps://vermaden.wordpress.com/2025/04/11/freebsd-jails-security/FreeBSD Jails与Podman容器在安全性方面进行比较。Jails不需要最小化系统镜像,相比Podman减少了攻击面。无论是'rootless'模式的Podman还是Jails,都使用虚拟root用户而非宿主机root。即使没有额外安全层,Jails也能提供比Podman更好的隔离性。Jails默认限制FreeBSD内核系统调用,而Podman需依赖SELinux/seccomp实现类似功能。Jails可使用专用物理网络接口,而'rootless'模式的Podman无法实现。Jails可在内部运行独立防火墙,进一步提升安全性。Jails自199年投入生产环境,比Podman经受更长时间实战检验。FreeBSD的CVE漏洞数量(557-649个)显著少于Linux(10064个)。Jails年均0.7个CVE,Podman年均5个,表明Jails安全性更优。
Gemini 2.5 Pro is now available in GitHub Copilota year agohttps://github.blog/changelog/2025-04-11-copilot-chat-users-can-use-the-gemini-2...DeepSeek-V3 已弃用;请迁移至 DeepSeek-V3-0324 以获取增强功能。Gemini 2.5 Pro 现已面向所有 GitHub Copilot 客户开放,提供高级推理和编码能力。Copilot Pro/Pro+ 用户可通过 VS Code 和 GitHub.com 聊天中的模型选择器访问 Gemini 2.5 Pro。Copilot Business/Enterprise 管理员需通过 Copilot 设置策略启用 Gemini 2.5 Pro。CodeQL 将于 2025 年 5 月 30 日后停止生成硬编码密钥警报;请改用 GitHub 密钥扫描。密钥扫描可检测 300 多种硬编码密钥,其精确度和召回率均优于 CodeQL。CodeQL 针对硬编码密钥的查询将被禁用,包括针对多种编程语言的查询。密钥扫描减少了重复警报,并为修复提供了更好的元数据。
Firecracker Entropy for VM Clonesa year agohttps://github.com/firecracker-microvm/firecracker/blob/main/docs/snapshotting/r...Linux内核提供三个主要的随机数生成器接口:/dev/random、/dev/urandom和getrandom系统调用。来自同一快照的虚拟机克隆可能存在随机数生成器状态陈旧问题,需要重新初始化。当存在CPU硬件随机数生成器时,其输出会被混入熵池以增强随机性。VMGenID用于向客户机通知时间跳变事件,确保恢复后生成不同的随机数状态。Firecracker支持VMGenID,但ARM系统需要向后移植内核修改才能获得完整功能。建议措施包括删除random-seed文件、使用virtio-rng设备以及调用特定ioctl进行重新播种。提供了一个C语言程序来处理客户机内核中的随机数生成器重新初始化步骤。
Everything Wrong with MCPa year agohttps://blog.sshh.io/p/everything-wrong-with-mcp模型上下文协议(MCP)是为第三方数据和工具与LLM驱动的聊天及智能体集成制定的标准MCP允许第三方工具为Claude、ChatGPT和Cursor等助手构建插件,实现BYOT(自带工具)功能MCP简化了上下文供给和智能体自治,支持在LinkedIn发帖或在Cursor调试等操作与其他标准对比:ChatGPT插件(类似但执行不佳)、工具调用(类似但MCP包含网络功能)、Alexa/Google助手SDK(更复杂且专用)、SOAP/REST/GraphQL(更底层)问题1:协议安全性 - 包括缺乏认证规范定义、本地运行恶意代码、服务器盲目信任输入等问题问题2:UI/UX限制 - 缺少工具风险等级和成本控制,非结构化文本传输可能导致误删或高成本问题3:LLM安全性 - MCP可能引发提示词注入攻击、暴露敏感数据、破坏传统数据访问控制模型问题5:LLM局限性 - MCP依赖可靠的LLM助手,但工具使用难度大,且性能随工具增加而下降MCP假设工具与助手无关且能自主处理检索,但用户常期待比现有更复杂的功能结论:MCP确有必要,但LLM与数据结合存在风险,需通过安全协议、用户教育和应用防护措施来解决
PHP Core Security Audit Resultsa year agohttps://thephp.foundation/blog/2025/04/10/php-core-security-audit-results/PHP基金会完成了对PHP源代码的安全审计,此次审计由OSTIF组织、Quarkslab执行2024年为期两个月的审计因预算限制,主要聚焦于核心组件的安全性检查共发现27个问题,其中17个涉及安全隐患,包含4个获得CVE编号的漏洞Quarkslab高度评价PHP源代码的质量规范与标准符合性所有问题均已被PHP开发团队修复,强烈建议用户升级至最新版本PHP基金会向贡献者致谢,并表示将持续推进安全增强工作欢迎有意赞助后续审计的机构联系PHP基金会
AES and ChaChaa year agohttps://phase.dev/blog/chacha-and-aes-simplicity-in-cryptography/AES(高级加密标准)与ChaCha20是当前两大主流对称加密算法。AES于2001年确立标准,广泛应用于TLS、VPN和即时通讯软件,但其依赖SubBytes(字节替换)和MixColumns(列混淆)等复杂运算。ChaCha20诞生于2008年,采用更简洁的ARX(加法-旋转-异或)操作,速度更快且能有效抵御时序攻击。AES依赖硬件加速指令集(AES-NI)提升性能,而ChaCha20在所有CPU上无需专用硬件即可保持稳定性能。ChaCha20的简洁性降低了缓存时序攻击等漏洞风险,这类漏洞常因AES的查表操作引发。ChaCha20正被TLS、WireGuard和OpenSSH等协议广泛采用,通常与Poly1305认证算法组合实现认证加密。本文主张密码学设计应追求简洁,并强调ChaCha20在安全性、性能及实现便利性上的综合优势。
Show HN: MCP-Shield – Detect security issues in MCP serversa year agohttps://github.com/riseandignite/mcp-shieldMCP-Shield可扫描MCP服务器的多种漏洞,包括工具投毒、数据渗出和跨域权限提升等风险支持通过npx运行,可选择性配置Claude API密钥或配置文件路径能检测工具中的隐藏指令、敏感文件访问及数据渗出企图可识别高风险漏洞,例如伪装成计算器工具的SSH密钥访问行为标记工具影子行为(即某工具在用户不知情时篡改其他工具的行为)支持扫描多平台配置文件,包括Claude桌面版和VSCode等开发环境建议在添加新MCP服务器前、审计期间及系统更新后进行扫描本项目采用MIT开源协议,欢迎开发者贡献代码
Isolated Execution Environment for eBPFa year agohttps://ebpf.foundation/research-update-isolated-execution-environment-for-ebpf/Linux内核中的eBPF验证器面临安全漏洞和复杂性的挑战,这促使人们提出一种新的执行环境来隔离BPF程序以增强安全性。验证器的工作流程包括预处理、控制流图检查(CFG)和全路径分析,以确保控制流完整性和内存安全。全路径分析通过飞行中检查(inflight)和着陆检查(landing)来验证安全属性,追踪BPF对象的大小、权限和指针边界以防止未授权访问。安全目标包括内存安全(SG-1)、防止信息泄露(SG-2)和缓解拒绝服务攻击(SG-3)。验证器在能力与正确性困境中挣扎,包括状态爆炸问题和实现缺陷,这导致了对非特权eBPF程序的限制。受JavaScript执行模型启发,提出了一种结合验证与隔离的混合安全框架,以平衡静态分析与动态执行的关系。
OCC Reports Security Incident Involving Email Systema year agohttps://www.occ.gov/news-issuances/news-releases/2025/nr-occ-2025-13.htmlOCC发现并解决了一起涉及行政邮箱账户的安全事件调查分析了自2022年以来的邮件日志,已禁用少量受影响账户该事件已向网络安全和基础设施安全局报告目前尚未发现对金融行业造成影响
Android phones will soon reboot themselves after sitting unused for 3 daysa year agohttps://arstechnica.com/gadgets/2025/04/android-phones-will-soon-reboot-themselv...针对安卓设备的静默更新通过自动重启已锁定设备(3天后)来增强安全性该更新属于4月14日发布的Google Play Services v25.14版本,但可能需要一周以上时间覆盖所有设备Play Services 25.14还包含多项细节优化:更美观的设置界面、改进的车载/手表连接功能,以及快速共享内容预览这项自动重启功能类似苹果iOS 18.1的闲置重启机制,后者曾导致执法部门难以访问被锁定的iPhone
Falsehoods People Believe about CVE'sa year agohttps://medium.com/@jonathan.leitschuh/falsehoods-people-believe-about-cves-85c1...CVE常被错误地与‘漏洞’、‘漏洞利用’、‘安全缺陷’等术语混用许多人误以为CVE等同于软件漏洞,这种观点是错误的并非所有公开披露的漏洞都会被分配CVE编号分配CVE编号并不必然意味着存在实际漏洞CVE可能针对琐碎问题分配,而不仅限于重大缺陷CVE编号体系曾为硬件漏洞分配过编号一个CVE编号并不总是对应单一漏洞或单一产品CVE编号中的年份并不总是代表该编号的发布年份CVE条目不一定包含修复方案、技术细节或CVSS评分CVE可能存在重复编号、撤销或争议情况产品拥有的CVE数量不能直接反映其安全水平CVE编号分配并非总是快速或必然的,即使漏洞已在会议上讨论CVE编号的分配并不总是能获得厂商和研究人员的双方认可CVE体系无法完全避免政治因素或人为错误CVE并非政府项目,也不仅限于美国使用
ActiveX disabled by default in Microsoft 365a year agohttps://techcommunity.microsoft.com/blog/microsoft365insiderblog/activex-disable...Microsoft 365应用程序(Word、Excel、PowerPoint、Visio)现已默认禁用ActiveX控件以增强安全性。先前设置允许用户启用可能危险的ActiveX控件,这些控件可能被攻击者利用。当检测到被阻止的ActiveX内容时,会出现带有'了解更多'选项的通知栏。除非受管理员策略限制,用户可通过信任中心设置手动重新启用ActiveX。管理员可使用组策略编辑器或云策略服务集中配置ActiveX设置。该更新目前面向Beta渠道用户推出,并逐步推送至当前渠道(预览版)用户。用户可通过任意Microsoft 365应用中的反馈选项提交对新安全默认设置的反馈。
Lifetimes of Cryptographic Hash Functionsa year agohttps://valerieaurora.org/hash.html基于哈希比较的技术需要制定计划,每隔几年就对恶意用户的数据迁移至新型哈希算法BitTorrent需要迁移计划,而rsync则不需要SHA-2等更新更安全的哈希算法具有更大的输出(如256位)和更高的计算成本关于哈希比较的原始论文对其普适性提出了质疑程序员指南中包含加密哈希函数生命周期图表128位哈希因易被攻破(破解复杂度仅2^64)被视为不负责任的设计哈希函数发展史上的重大事件包括王小云2004年的研究发现和谷歌的SHA-1碰撞演示NIST于2007年启动SHA-3竞赛,源于SHA-2存在的潜在风险对哈希函数发展阶段的三种典型反应:专家质疑、程序员谨慎、非专业人士否定
Global, distributed and backwards compatible CVE alternative launched by CERTa year agohttps://gcve.eu/GCVE是一个全新的去中心化漏洞识别与编号系统其目标是提高参与机构的灵活性、可扩展性和自主性GCVE仍保持与传统CVE系统的兼容性引入GCVE编号授权机构(GNAs)实现标识符的独立分配GNAs不依赖中心化的区块分发或僵化的政策
Damn Vulnerable MCP Servera year agohttps://github.com/harishsg993010/damn-vulnerable-MCP-serverDVMCP是一个展示MCP实现中安全漏洞的教育项目包含10个难度递增的挑战,展示多种攻击向量目标受众包括安全研究人员、开发人员和AI安全专业人员MCP是为大型语言模型(LLMs)提供结构化上下文的协议演示的漏洞包括提示注入、工具投毒和过度权限授予其他漏洞:抽毯攻击、工具遮蔽和间接提示注入额外风险:令牌窃取、恶意代码执行和远程访问控制项目结构按难度分级(简单、中等、困难)组织挑战包含文档、设置指南和解决方案指南用于教学目的采用MIT许可证,由Harish Santhanalakshmi Ganesan创建
Apple says zero-day iOS bugs exploited against 'specific targeted individuals'a year agohttps://techcrunch.com/2025/04/16/apple-says-zero-day-bugs-exploited-against-spe...苹果发布软件更新修复两个可能已被主动利用的安全漏洞这些漏洞属于零日漏洞,意味着在被利用时苹果公司尚不知晓其存在其中一个漏洞影响苹果Core Audio组件,可通过特制媒体文件执行恶意代码另一个漏洞能绕过指针验证机制,使恶意代码注入变得更加容易更新覆盖macOS Sequoia(15.4.1)、iOS(18.4.1)、Apple TV和Vision Pro设备谷歌威胁分析小组发现了其中一个漏洞,暗示可能有国家背景的黑客参与苹果未透露攻击者身份、受影响用户数量及是否已发生实际入侵事件
About the security content of iOS 18.4.1 and iPadOS 18.4.1a year agohttps://support.apple.com/en-us/122282iOS 18.4.1 和 iPadOS 18.4.1 于2025年4月16日发布,修复了关键安全漏洞。CoreAudio漏洞(CVE-2025-31200)可能允许通过恶意制作的媒体文件执行代码,或已在针对性攻击中被利用。RPAC漏洞(CVE-2025-31201)可能允许绕过指针验证机制,同样存在被针对性攻击利用的风险。这两个漏洞影响iPhone XS及后续机型,以及多款iPad型号。苹果公司通常在补丁可用后才会披露安全问题,并在其安全更新页面上列出近期发布内容。
What the Critical Erlang SSH Vulnerability Means for Elixir Developersa year agohttps://paraxial.io/blog/erlang-sshCVE-2025-32433:Erlang/OTP SSH 服务器中的未授权远程代码执行(RCE)漏洞影响所有运行 Erlang/OTP SSH 服务器的用户,无论版本如何严重程度为高危(10/10),若SSH守护进程暴露于公网则可能被利用已发布补丁版本:OTP-27.3.3、OTP-26.2.5.11 和 OTP-25.3.2.20默认情况下多数Elixir/Phoenix应用不受影响,除非手动暴露Erlang SSH守护进程Nerves/IoT设备若SSH暴露于互联网则存在风险;若关闭SSH或通过VPN隧道访问则安全可通过Shodan或nmap扫描检查是否存在暴露的Erlang SSH服务器PaaS提供商(Gigalixir、Fly.io、Heroku)因禁止端口暴露而天然免疫Paraxial.io客户可使用网络扫描功能自动检测SSH版本