如果有读者在折腾 VMWare VMware 系软件的时候碰到了网络适配器全部罢工，并且点进去发现错误 56 的，删掉这个注册表键值
HKLM\SOFTWARE\Classes\CLSID\{3d09c1ca-2bcc-40b7-b9bb-3f3ec143a87b}

今天看到了 McDonnell Douglas A12 落地之后的样子

#security
Apache MINA 爆出反序列化漏洞，可以引发RCE。
影响版本范围： 2.0~2.0.26 / 2.1~2.1.9 / 2.2~2.2.3
怎么老是你.webp，而且还是典中典之反序列化。
CVE-2024-52046

#microsoft #windows
包含11月和12月安全更新的Win11 24H2 镜像（2024.10.8 ~ 2024.11.12）如果用来装系统，会使系统进入无法安装之后更新的状态。请使用最新的镜像装系统。
https://learn.microsoft.com/~

#security #meme
（没有新的RCE洞，仅为梗图）
src

#btrfs
SSD 抽象层的未来可能发展方向
https://dl.acm.org/doi/10.1145/3708992

给自己的新年礼物（

#security #crypto
https://www.youtube.com/watch?v=FESp2LHd42U
一种加密群聊的协议

#openssh
别人给的公钥一定要检查一下，避免出现无法登录的神必bug
这个就是里面混进来一个 U+00A0 造成的无法登录

#btrfs #zoned
看来BT下载还是最好放在传统硬盘上……unusable zone都2.4T了。
更新：这个unusable并不是真的永久不能用了，感兴趣的读者可以去阅读zoned相关文档。

面对火灾
木结构 vs 钢混

阿里云效率
link

#security
一种新的内存攻击思路，使用UEFI App在硬重启之后直接读取所有内存，从而在内存里找到还没来得及被清除的Bitlocker密钥从而绕过Bitlocker。它比冻内存的方法简单在于 1. 无需拆机 2. 无需购买高端设备 3.不会被液氮冻到（
内存加密可以直接阻止此类攻击，SecureBoot可以缓解此类攻击。
攻击介绍：https://noinitrd.github.io/Memory-Dump-UEFI/
介绍此问题的知乎专栏：https://zhuanlan.zhihu.com/p/18072847873

#security
rsync 爆出多个CVE漏洞。这些漏洞结合起来可以使攻击者仅凭匿名只读权限在服务器上执行任意代码，同时已感染的服务器可以用来读写客户端任意文件。
请使用rsync的读者更新到 3.4.0，如果运行rsyncd服务更新完毕之后请重启服务。
CVE-2024-12084 内存读写越界
CVE-2024-12085 猜测未初始化内存内容
CVE-2024-12086 服务器可以读取客户端任意文件
CVE-2024-12087 路径逃逸，服务器可以在客户端写入任意文件
CVE-2024-12088 符号链接漏洞
CVE-2024-12747 符号链接竞态条件漏洞
https://kb.cert.org/vuls/id/952657
https://www.tgoop.com/aosc_os/761

#esxi #vcenter
刚才折腾了一下 vCenter 8.0 替换证书，以LE为例
首先必须是RSA，ECC免谈
然后需要在Machine SSL里面写上 终端证书+R11+X1 ， Chain of trusted root certificates写上 R11+X1 才可以正常替换。
我：这就是Java truststore 吗？

#security
微信举报页面没有被mmTLS保护而是使用的传统TLS，于是就有心思活络的脚本小子利用这个来举报别人没说过的话造成对方微信下线。
当然腾讯也不是吃素的。因为提交举报的时候是要带上自己session的，所以腾讯对这些脚本小子也是重拳出击。

编者评论：好似