Forwarded from 每日消费电子观察 (百合ヶ咲るる | 被子饼 | Kexy Biscuit)
Linux 内核将数名与俄罗斯联邦相关的贡献者从维护者列表中移除
日前,Linux 内核主要维护者之一 Greg Kroah-Hartman (Greg K-H) 提交了一项不寻常的“文档”更新,将数名具有 <.ru> 顶级域名邮箱的维护者,和一名明确为俄罗斯身份的维护者从 MAINTAINERS(维护者名录)文件除名。
这一提交已于上周日被 Linus Torvalds 拉取并包含于 6.12-rc4 版本的代码中。
Greg K-H 并未详述这项更新的具体原因,仅含糊其辞地表示该更改是“由于某些合规性要求”,并指出“(相关人员)提供充足文档后,方可回归(维护者名录)”。
相关的维护者移除方式相当暴力,其中部分子系统由于唯一维护者使用 <.ru> 顶级域名邮箱,整个子系统都被从 MAINTAINERS 文件中移除,这之中不乏诸如 UFS 文件系统和 PPTP 驱动等重要且被广泛使用的子系统。由于 Linux 内核开发流程完全基于邮件列表进行,当 MAINTAINERS 文件中移除相关维护者后,也就意味着与相关子系统的补丁或沟通将不再被发送至维护者的邮箱,乃至相关的邮件列表。这很可能会造成许多补丁“石沉大海”;而如果某个子系统未得到充分维护,那么其被从内核中移除也只是时间问题了。
通常而言,Linux 内核补丁除了发送至邮件列表外,还需要抄送与之相关的人士(如子系统维护者和活跃贡献者),并且经过讨论和审阅后才会被拉取合并。然而,Greg K-H 似乎刻意绕过了这部分流程,仅仅将补丁发送至流量最大、几乎不会有人认真阅读每封邮件的 [email protected] 列表,并于仅仅两天后就向 Linus Torvalds 发起拉取请求,而 Torvalds 亦未对相关修改提出质疑和意见便拉取合并这笔更改了。
考虑到 Linus Torvalds 与 Greg K-H 均受雇于 The Linux Foundation,后者为注册在美国的 501(c)(6) 组织,“某些合规性要求”为何显而易见。
截至发稿时,Greg K-H 尚未回应邮件列表上的相关质询。无论结果为何,这都将是 Linux 内核社区历史上最为耻辱的提交之一。
Linux 内核新闻站 LWN.net 的相关报道:https://lwn.net/Articles/995186/
编辑:柯晓宇 (Kexy Biscuit) @KexyBiscuit
校对:白铭骢 @JeffBai
日前,Linux 内核主要维护者之一 Greg Kroah-Hartman (Greg K-H) 提交了一项不寻常的“文档”更新,将数名具有 <.ru> 顶级域名邮箱的维护者,和一名明确为俄罗斯身份的维护者从 MAINTAINERS(维护者名录)文件除名。
这一提交已于上周日被 Linus Torvalds 拉取并包含于 6.12-rc4 版本的代码中。
Greg K-H 并未详述这项更新的具体原因,仅含糊其辞地表示该更改是“由于某些合规性要求”,并指出“(相关人员)提供充足文档后,方可回归(维护者名录)”。
相关的维护者移除方式相当暴力,其中部分子系统由于唯一维护者使用 <.ru> 顶级域名邮箱,整个子系统都被从 MAINTAINERS 文件中移除,这之中不乏诸如 UFS 文件系统和 PPTP 驱动等重要且被广泛使用的子系统。由于 Linux 内核开发流程完全基于邮件列表进行,当 MAINTAINERS 文件中移除相关维护者后,也就意味着与相关子系统的补丁或沟通将不再被发送至维护者的邮箱,乃至相关的邮件列表。这很可能会造成许多补丁“石沉大海”;而如果某个子系统未得到充分维护,那么其被从内核中移除也只是时间问题了。
通常而言,Linux 内核补丁除了发送至邮件列表外,还需要抄送与之相关的人士(如子系统维护者和活跃贡献者),并且经过讨论和审阅后才会被拉取合并。然而,Greg K-H 似乎刻意绕过了这部分流程,仅仅将补丁发送至流量最大、几乎不会有人认真阅读每封邮件的 [email protected] 列表,并于仅仅两天后就向 Linus Torvalds 发起拉取请求,而 Torvalds 亦未对相关修改提出质疑和意见便拉取合并这笔更改了。
考虑到 Linus Torvalds 与 Greg K-H 均受雇于 The Linux Foundation,后者为注册在美国的 501(c)(6) 组织,“某些合规性要求”为何显而易见。
截至发稿时,Greg K-H 尚未回应邮件列表上的相关质询。无论结果为何,这都将是 Linux 内核社区历史上最为耻辱的提交之一。
Linux 内核新闻站 LWN.net 的相关报道:https://lwn.net/Articles/995186/
编辑:柯晓宇 (Kexy Biscuit) @KexyBiscuit
校对:白铭骢 @JeffBai
GitHub
MAINTAINERS: Remove some entries due to various compliance requirements. · torvalds/linux@6e90b67
Remove some entries due to various compliance requirements. They can come
back in the future if sufficient documentation is provided.
Link: https://lore.kernel.org/r/2024101835-tiptop-blip-09ed@gr...
back in the future if sufficient documentation is provided.
Link: https://lore.kernel.org/r/2024101835-tiptop-blip-09ed@gr...
Forwarded from 某zz的收藏夹
Forwarded from Re: searchlight
早知如此,何必当初?
来自长期内核贡献者 James Bottomley 对本次事件的回复
https://lore.kernel.org/all/e7d548a7fc835f9f3c9cb2e5ed97dfdfa164813f.camel@HansenPartnership.com/
来自长期内核贡献者 James Bottomley 对本次事件的回复
https://lore.kernel.org/all/e7d548a7fc835f9f3c9cb2e5ed97dfdfa164813f.camel@HansenPartnership.com/
老周部落运营中心
早知如此,何必当初? 来自长期内核贡献者 James Bottomley 对本次事件的回复 https://lore.kernel.org/all/e7d548a7fc835f9f3c9cb2e5ed97dfdfa164813f.camel@HansenPartnership.com/
把这封信前半截作为 commit message 并单独提交。骂名全部由美国政府担,哪能整出这大事来。
Forwarded from 苍穹の下 @blueskyxnblog· SKY的🤡💦日常😅😅😅
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Matrix Bridge (im.moe.cat)
shizukura: https://github.com/torvalds/linux/pull/1005
GitHub
MAINTAINERS: Remove everyone except Linus Torvalds. by yuuz233 · Pull Request #1005 · torvalds/linux
Due to recent updates on guidelines in action, an extra step of safety to prevent foreign intelligence involvement in ruining the completely open-source US-based project known as Linux operating sy...
Forwarded from Soha 的日常 (Soha Jin)
Please open Telegram to view this post
VIEW IN TELEGRAM
感动,不舍。没想到短短两个月暂离 Firefish ,再次相见竟只是离别公告。
还记得几个月前还在改代码,没想到临时做了个外派项目顾不上 Fedi ,最近稍微闲一点儿回来一看直接噩耗了......
https://info.firefish.dev/notes/9xsukr38m3komd63
还记得几个月前还在改代码,没想到临时做了个外派项目顾不上 Fedi ,最近稍微闲一点儿回来一看直接噩耗了......
https://info.firefish.dev/notes/9xsukr38m3komd63
Firefish
Firefish (@firefish)
**Announcement: Firefish will enter maintenance mode**
For those who have been supporting Firefish and me, I can’t thank you enough. But today, I have to make an announcement of my very difficult decision: As of today’s release, Firefish will enter maintenance…
For those who have been supporting Firefish and me, I can’t thank you enough. But today, I have to make an announcement of my very difficult decision: As of today’s release, Firefish will enter maintenance…
Forwarded from 本地磁盤小頻道
重温上世纪拨号上网体验!日本推出仅56Kbps的调制解调器 https://c.m.163.com/news/a/JFLTV55Q0511CPVM.html?
163
重温上世纪拨号上网体验!日本推出仅56Kbps的调制解调器
快科技10月29日消息,在5G和千兆级高速互联网时代,拨号上...
Forwarded from 层叠 - The Cascading
#CVE:PuTTY 使用 ECDSA p-521 密钥对的方式不安全;攻击者或能从大量签名中还原私钥。
建议立即废弃使用有任何被 PuTTY 0.68-0.80 版本等软件使用过的 ECDSA NIST p-521 密钥;更新软件不能保护已存在风险的私钥。
- 受影响的软件还包括 FileZilla 3.67.0 前、WinSCP 6.3.3 前、TortoiseGit 2.15.0.1 前、TortoiseSVN 1.14.6 前等。在这些软件上使用过的 ECDSA p-521 密钥均受影响。
- 在 SSH 中,此类密钥对的公钥通常以
- 其它类别密钥,包括尺寸更小的 ECDSA p-256/p-384 等及 Ed25519 等不受影响。
- 出现此问题的原因是 PuTTY 对密钥对的使用方式不标准,不过这也无可厚非:PuTTY 在 2001 年就存在此类使用例,而标准 RFC6979 在 2013 年才发布。 [1]
CVE: CVE-2024-31497
fixed-in: 0.81
cve.mitre.org/~
1. www.chiark.greenend.org.uk/~
#CVE #PuTTY
建议立即废弃使用有任何被 PuTTY 0.68-0.80 版本等软件使用过的 ECDSA NIST p-521 密钥;更新软件不能保护已存在风险的私钥。
- 受影响的软件还包括 FileZilla 3.67.0 前、WinSCP 6.3.3 前、TortoiseGit 2.15.0.1 前、TortoiseSVN 1.14.6 前等。在这些软件上使用过的 ECDSA p-521 密钥均受影响。
- 在 SSH 中,此类密钥对的公钥通常以
ecdsa-sha2-nistp521 识别名开头。- 其它类别密钥,包括尺寸更小的 ECDSA p-256/p-384 等及 Ed25519 等不受影响。
- 出现此问题的原因是 PuTTY 对密钥对的使用方式不标准,不过这也无可厚非:PuTTY 在 2001 年就存在此类使用例,而标准 RFC6979 在 2013 年才发布。 [1]
CVE: CVE-2024-31497
fixed-in: 0.81
cve.mitre.org/~
1. www.chiark.greenend.org.uk/~
#CVE #PuTTY
cve.mitre.org
CVE -
CVE-2024-31497
CVE-2024-31497
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
老周部落运营中心
#CVE:PuTTY 使用 ECDSA p-521 密钥对的方式不安全;攻击者或能从大量签名中还原私钥。 建议立即废弃使用有任何被 PuTTY 0.68-0.80 版本等软件使用过的 ECDSA NIST p-521 密钥;更新软件不能保护已存在风险的私钥。 - 受影响的软件还包括 FileZilla 3.67.0 前、WinSCP 6.3.3 前、TortoiseGit 2.15.0.1 前、TortoiseSVN 1.14.6 前等。在这些软件上使用过的 ECDSA p-521 密钥均受影响。 -…
今天在整理我 Firefish 上的收藏的时候突然看到了之前收藏的这篇文章,紧急排查了一下之后发现我机器上的 FileZilla 和 PuTTY 居然还是漏洞版本,所幸当年签署的 KEY 为了兼容老系统没有用 ECDSA 密钥逃过一劫。
俗话说好木匠家没有好椅子,别回头我这信息安全人员从业者自己身上跟筛子一样(逃
Forwarded from 🐱 Ch. | 418 I'm a panda bear (webRTCCat | Present Day, Present Time)
Cloudflare 域名 DNS 记录指向两台服务器 IP,其中一台宕机的时候 Cloudflare 不会直接将流量全部指向另一台。
故障转移这个功能原本是付费版才有的,但是有人在 Hacker News 发帖讨论,Cloudflare CEO 看到后,直接把这个功能下放给免费版了。
https://news.ycombinator.com/item?id=41955912
Ref: https://miantiao.me/notice/AnWxkau040lqWgceh6
故障转移这个功能原本是付费版才有的,但是有人在 Hacker News 发帖讨论,Cloudflare CEO 看到后,直接把这个功能下放给免费版了。
https://news.ycombinator.com/item?id=41955912
Ref: https://miantiao.me/notice/AnWxkau040lqWgceh6
miantiao.me
面条 (@[email protected])
Cloudflare 域名 DNS 记录指向两台服务器 IP,其中一台宕机的时候 Cloudflare 不会直接将流量全部指向另一台。 故障转移这个功能原本是付费版才有的,但是有人在 Hacker News 发帖讨论,Cloudflare CEO 看到后,直接把这个功能下放给免费版了。 https://news.ycombinator.com/item?id=41955912