TLDR:

刚读完了这两篇关于 xz-utils 包的供应链攻击说明，攻击者潜伏了三年，很精彩，只差一点点就可以往众多 Linux 发行版的 sshd 注入后门，可用于绕过密钥验证，后果不堪设想。
概括：
1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号，之后积极参与 xz 项目的维护，并逐渐获取信任，获得了直接 commit 代码的权利。
2. JiaT75 在最近几个月的一次 commit 中，悄悄加入了 bad-3-corrupt_lzma2.xz 和 good-large_compressed.lzma 两个看起来人畜无害的测试用二进制数据，然而在编译脚本中，在特定条件下会从这两个文件中读取内容对编译结果进行修改，致使编译结果和公开的源代码不一致。
3. 目前初步的研究显示，注入的代码会使用 glibc 的 IFUNC 去 Hook OpenSSH 的 RSA_public_decrypt 函数，致使攻击者可以通过构造特定的验证数据绕过 RSA 签名验证。（具体细节还在分析中）
4. 只要是同时使用了 liblzma 和 OpenSSH 的程序就会受到影响，最直接的目标就是 sshd，使得攻击者可以构造特定请求，绕过密钥验证远程访问。
5. 受影响的 xz-utils 包已经被并入 Debian testing 中进行测试，攻击者同时也在尝试并入 fedora 和 ubuntu。
6. 幸运的是，注入的代码似乎存在某种 Bug，导致特定情况下 sshd 的 CPU 占用飙升。被一位安全研究人员注意到了，顺藤摸瓜发现了这个阴谋并报告给 oss-security，致使此事败漏。
如果不是因为这个 Bug，那么这么后门有不低的概率被并入主流发行版的 stable 版本，恐怕会是一件前所未有的重大安全事件。

另外从一些细节能看出来攻击者非常用心：
1. 攻击者抢在 ubuntu beta freeze 的几天前才尝试让新版本并入，以期望减少在测试期间被发现的时间。
2. xz-utils 项目的原维护者 Lasse Collin (Larhzu)，有着定期进行 internet breaks 的习惯，而且最近正在进行，导致这些变动他并没有 review 的机会，即使到现在也没能联系上他本人。这可能也是攻击者选定 xz-utils 项目的原因之一。

更多的细节还在被分析中，目前 GitHub 已经关停了整个 xz 项目。

https://x.com/Blankwonder/status/1773921956615877110?s=20

🎆 400 followers 🎆

🤤 600 stars 🥵

Rider 2024.1 更新了 UI 字体
偶尔换换风格也不错啊.jpg

2000 commits 🥳

#今天又看了啥 #OpenSource
老乡鸡“开源”了

近日，老乡鸡宣布 “开源”—— 将其最核心的内容对消费者、监管部门以及同行全面公开，包括菜品配料、食材供应商明细、操作工艺等菜品制作涉及到的所有环节。
据称老乡鸡溯源了 1218 家门店共计 226 个 SKU 和 873 种原料，并公开了 677 页共 20 万字的菜品溯源报告，公开了每一项食材来源、加工、配送细节和所有菜品的烹饪方法（精确到多少克盐等细节）以及 202 家供应商信息等。
老乡鸡称顾客可以对照报告在家做出老乡鸡同样的菜，而共享给同行的 202 家食材供应商信息可以解决所有食材来源问题。

InstantView from Source

老乡鸡菜品溯源报告：
https://lxjchina.com.cn/upload/file/20240407/20240407210058895889.pdf

吉卜力工作室物语
第77届戛纳电影节官宣将终身成就奖“荣誉金棕榈”颁给吉卜力工作室。这也是戛纳历史上第一次将“荣誉金棕榈”授予团队而非个人。吉卜力工作室董事长兼制片人铃木敏夫对戛纳电影节表达感谢，并表示：

“40年前我与宫崎骏、高畑勋创办吉卜力，是为了给各个年龄段的孩子和成年人带来高水平、高质量的动画电影。能让吉卜力的动画电影受到世界瞩目，我们努力走了一段很长的路。宫崎骏和我年纪都不小了，但我肯定吉卜力工作室将在传承工作室理念的同仁带领下，迎接新的挑战。”

🌟小林的文字频道：@LinsBookA

#GZCTF #GitHub #release

New Features for v0.20.2:

- Frontend has upgraded to mantine v7
- Migrate `createStyles` (css-in-js) into CSS modules
- You can now custom the theme color and logo/favicon used by GZCTF!

最近也算（前端）大更新了，这里发一下😋

We create a discord server for GZCTF, join the server if you want to learn more about the GZCTF and help make it better:

https://discord.gg/dV9A6ZjVhC

以防频道订户不知道，Minecraft 迎来了周年庆半价打折

微软打破 Decoder-Only 架构：大幅降低 GPU 内存需求

https://www.ithome.com/0/767/340.htm

https://arxiv.org/abs/2405.05254 （英文）

微软 & 清华最新研究，打破 GPT 系列开创的 Decoder-Only 架构 —— 提出 Decoder-Decoder 新型架构，名为 YOCO（You Only Cache Once）。

YOCO 仅缓存一次键值对，可大幅降低 GPU 内存需求，且保留全局注意力能力。一张图来看 YOCO 和标准 Transformer 的比较。

在处理 512K 上下文长度时，标准 Transformer 内存使用是 YOCO 的 6.4 倍，预填充延迟是 YOCO 的 30.3 倍，而 YOCO 的吞吐量提升到标准 Transformer 的 9.6 倍。

Minecraft 发布了 15 周年披风，可以免费获取，但是大部分人遇到了「您似乎尚未拥有 Minecraft！」的问题……

简单抓了下包，评价是前端写的有 bug，并且虽然 license 接口有 signature，但是看起来前端用的并不是 JWT 所提供的信息。

因此开 Proxyman 把 'TRIAL' 全部替换为 'PURCHASE'，遂发现出现了相关按钮，并且领取的接口实际上是没问题的。

于是综上所述，你可以通过 POST 对应接口：https://api.minecraftservices.com/minecraft/cape/15year，如果收到 204 响应，就是成功领取了（

如果您跟我一样今晚领不到就睡不着的话，可以试试（

PS：记得替换 authorization Header

Visualizing algorithms for rate limiting (Score: 154+ in 9 hours)

Link: https://readhacker.news/s/67XGp
Comments: https://readhacker.news/c/67XGp

https://codeanlabs.com/blog/research/cve-2024-4367-arbitrary-js-execution-in-pdf-js/

一个会影响老版本 GZCTF 的任意 js 执行 CVE.jpg

#tip

您的每日生活技能小助手上线啦：

是否为小型项目嵌入庞大中文字体而苦恼？
用 python 十几行裁剪出来你需要用的那一小部份文字吧！

# package: fonttools

from fontTools.ttLib import TTFont
from fontTools.subset import Subsetter, Options

def crop_font(input_ttf_path, output_ttf_path, characters):
    # 加载字体文件
    font = TTFont(input_ttf_path)
    # 创建子集选项和子集器
    subsetter = Subsetter(options=Options())
    # 设置要保留的字符
    subsetter.populate(text=characters)
    # 裁剪字体
    subsetter.subset(font)
    # 保存新的字体文件
    font.save(output_ttf_path)

由监管要求下架 dockerhub 镜像

非常遗憾，接上级通知，即时起我们将中止对 dockerhub 仓库的镜像。docker 相关工具默认会自动处理失效镜像的回退，如果对官方源有访问困难问题，建议尝试使用其他仍在服务的镜像源。

我们对给您带来的不便表示歉意，感谢您的理解与支持。

#GZCTF

GZCTF 700 stars🎉🎉🎉

https://github.com/GZTimeWalker/GZCTF