王小美 @[email protected]

《OpenSSH 8.2 发布》 OpenSSH 项目释出了 8.2 版本。上个月研究人员报告，SHA-1 哈希算法的构造前缀碰撞攻击成本降至 4.5 万美元。OpenSSH 开发者因此决定默认禁用 ssh-rsa 公钥签名算法，尽管存在更好的替代但 ssh-rsa 仍然使用广泛。这些替代算法包括 rsa-sha2-256/512、ssh-ed25519 和 ecdsa-sha2-nistp256/384/521 等。OpenSSH 将使用 UpdateHostKeys 检查服务器是否处理更安全的算法。OpenSSH 8.2 的另一个新特性是支持 FIDO/U2F 硬件令牌。 | https://www.solidot.org/story?sid=63536

《奇虎 360 研究员披露 Shadowsocks 流密码重定向攻击》 奇虎 360 的一位安全研究员披露了流行 SOCKS5 代理 Shadowsocks 的流密码重定向攻击漏洞。流密码是一种对称加密算法，加密和解密双方使用相同伪随机加密数据流作为密钥，明文数据每次与密钥数据流顺次对应加密，得到密文数据流。流行的流密码算法包括 ChaCha、RC4、A5/1、A5/2、Chameleon、FISH、Helix 等。研究人员发现 Shadowsocks 协议存在漏洞，会破坏流密码的保密性。利用重定向攻击被动攻击者可以轻松解密所有 Shadowsocks 的加密数据包。中间人攻击者还能实时修改流量，就好像加密根本不存在。受影响的版本包括 shadowsocks-py、shadowsocoks-go 和 shadowsocoks-nodejs，shadowsocks-libev 和 go-shadowsocks2 不受影响，研究人员还建议使用 AEAD 加密算法。漏洞是在 2018 年 12 月发现的，2019 年 3 月发布了概念 | https://www.solidot.org/story?sid=63529

高 实在是高啊

这个梗有点意思😂

#Mastodon 3.1 is out! 🎉

https://github.com/tootsuite/mastodon/releases/tag/v3.1.0

Among other things, bookmarks, admin announcements with emoji reactions, improvements to mod tools and loads of other fixes!

菲律宾总统府昨日感谢中国捐赠20万医用外科口罩；武汉金银潭医院某医生称医院已无防护口罩。
https://www.pna.gov.ph/articles/1092714