vlambda博客
学习文章列表

0、为了写论文给 Linux “投毒”，导致整个大学都被 Linux 拉黑！

近日，Linux 内核项目维护者 Greg Kroah-Hartman 决定禁止美国明尼苏达大学（UMN）为开源 Linux 项目做贡献。其原因是明尼苏达大学的研究人员被发现提交了一系列的恶意代码，或故意在官方 Linux 代码库中引入有安全漏洞的补丁以作为其研究活动的一部分。

明尼苏达大学的研究人员故意在 Linux 内核主线中隐蔽地引入漏洞，并基于此在2021年2月发表了一篇阐述“开源不安全”的论文，论文署名为 Qiushi Wu 和 Kangjie Lu。这项研究的重点就是通过提交恶意或不安全的代码补丁，故意在 Linux 内核中引入已知的安全漏洞。

但是，即使在这篇论文之后，明尼苏达大学的研究人员还推出了新一轮的补丁，这些补丁声称来自 "一个新的静态分析器"，实际上该补丁没有任何真正的价值。无论好坏，至少是在浪费上游开发者的时间，而这最终导致 Greg 决定禁止他们在未来尝试为 Linux 内核做贡献。

明尼苏达大学计算机科学和工程系获悉此事后表明：已经立即停止了这方面的研究，将对研究方法和批准该研究方法的流程展开调查，确定合适的补救程序，防止未来发生类似的问题。他们会对外公布调查结果。

【程序员头条】

1、逆向工程平台 radare2 5.2.1 发布

radare2 5.2.1 发布了。radare2 是一款开放源代码的逆向工程平台，它可以反汇编、调试、分析和操作二进制文件。主要更新内容：

• 修复 coverity 带来的所有 high impact 问题（主要是 non null terminated strings、oobreads、ub 和 uaf）
• 修复从 nested elfs 中加载符号的问题
• 修复在不同环境下的 i*j 输出
• ......（详情： https://github.com/radareorg/radare2/releases/tag/5.2.1 ）

2、开源时序数据库 InfluxDB 1.8.5 发布

InfluxDB 1.8.5 现已发布，具体更新内容如下：

• ＃20917：feat(inspect)：添加 report-disk 以衡量磁盘使用情况
• ＃20118：feat：优化只包含一个分片的组中的分片查询
• ＃20910：feat：使元查询 respect QueryTimeout 值
• ......（详情： https://github.com/influxdata/influxdb/releases/tag/v1.8.5 ）

3、VirtualBox 6.1.20 发布，支持 Linux 5.11 & 5.12

近日，VirtualBox 发布了 6.1.20 版本，也是该软件 6.1 版本系列的第十次更新。VirtualBox 6.1.20 的其他变化包括：

• 修正了根据各种操作的时间而导致的极差的虚拟机性能；
• 修正了在某些情况下，当 Hyper-V 出现时，客户操作系统挂起的问题；
• 修正了在某些情况下使用嵌套管理程序时的 Guru Meditation 错误；
• ......（详情： https://www.virtualbox.org/wiki/Changelog ）

4、微软宣布推出 WSL 对 Linux GUI 的初步支持

微软面向 Windows Insider 的 Dev 频道用户发布了一个 Windows 10 Build 21364 预览版更新。其中一项值得注意的更新内容为：Windows Subsystem for Linux（WSL）上使用首批对 GUI 应用的支持，可以直接在 Windows 上运行 Linux GUI 应用。

微软方面介绍称，用户可以使用这个功能来运行任何可能只存在于 Linux 中的 GUI 应用程序，或者在 Linux 环境下运行自己的应用程序或进行测试。对于想要测试其跨平台应用程序的开发者而言，这可能非常有用。同时，WSL 上的 Linux GUI 应用程序还提供了开箱即用的音频和麦克风支持，以及对 GPU 加速的 3D 图形支持。

5、Google 在 2020 年封禁了近 12 万名开发者账户

Google 近日披露了它在 2020 年用于打击恶意应用程序和开发人员的各种方法，并分享了一些附带的统计数据。

2020 年，每天有超过 1000 亿个已安装的应用程序被 Play Protect 扫描。Play Protect 早在 2017 年被引入 Android 操作系统，让用户对 Android 安全有更多了解。Google 的机器学习算法在 2020 年阻止了超过 96.2 万个应用程序在 Play Store 的发布，因为它们违反了某些政策。同样，有 11.9 万个恶意软件和垃圾邮件的开发者账户被禁止使用。

6、nginx 1.20.0 稳定版发布

该版本更新包含了来自 1.19.x mainline 分支的新功能与 Bug 修复，涉及使用 OCSP 进行客户端 SSL 证书验证，引入 ssl_reject_handshake 和 ssl_conf_command 指令，使用 lingering_close, keepalive_timeout, keepalive_time 和 keepalive_requests 指令简化和提升对 HTTP/2 连接的处理。（详情：http://nginx.org/#2021-04-20）

【科技头条】

1、硬盘 3 天狂降 2000 元，有人投 300 万炒硬盘被套牢

“4200 元已经是跳水价了，求老板秒了我的货，急需回笼资金。”4 月 21 日晚，湖南长沙硬盘“倒爷”小新在某 QQ 群发布了上述信息。两天前，4 月 19 日，眼看着硬盘价格站上新高点，手里有进货渠道的小新以 4550 元的价格囤了 700 片某品牌16T硬盘。但万万没想到自己抄底抄在了“半山腰”，“如今 16T 硬盘 4200 一片都难出手，我可能要被套牢了。”

2、特斯拉：愿接受任意权威机构进行检测

4 月 22 日晚间，特斯拉发布微博称，我们将毫无保留地配合监管部门开展深入调查，开诚布公接受社会监督。我们愿意在客户同意、政府指定或监督的情况下，三方共同见证，在全国范围内任意有资质的权威检测机构进行检测。

3、28 家企业被纳入电信业务经营不良名单，移动、电信分公司在列

4、中兴通讯原工会主席集资诈骗 21 亿 波及 4、5 千名员工

近日，裁判文书网披露的一份判决书再次爆出一起惊天大案。这份判决书显示，中兴通讯股份有限公司原工会主席何某梅利用职务之便，使用大量私人账户接收、转移集资款，将所募集资金用于购买理财产品、房地产、买卖股票等，经审计，何某梅累计募集资金 21.19 亿元，参与人员 8819 人、25580 人次，未退还 3921 名人员理财资金的数额合计为 8.99 亿元。最终，何某梅犯集资诈骗罪、职务侵占罪等数罪并罚，决定执行有期徒刑二十年，并处没收个人财产人民币 2000 万元。值得一提的是，裁判文书显示，案发后，中兴通讯公司全部垫付了未清退的资金。

5、顺丰控股：一季度净亏损 9.89 亿元，财务负责人辞职

参考：开源中国、IT之家

新浪科技、虎嗅APP等