来自 @GamerNoTitle 的各种动态的发布频道(各种发癫日常),群聊在 @DohnaNyan,私聊请发送至 @PaffCreamPMBot

内群 https://t.me/+pk-inutwlK0wMTdl

嫌频道太吵可以开免打扰,本频道会不定时发一些日常也好新闻也好,反正就是很杂(指日常发电)

Github: @GamerNoTitle
Twitter: @GamerNoTitle
Website: https://bili33.top
九年 Linux 高危漏洞于今日被披露,需要立即采取措施

安全研究公司 Xint Code(隶属 Theori)于今日公开披露了一个 Linux 内核高危漏洞,编号 为 CVE-2026-31431 命名为"Copy Fail"。漏洞根植于内核加密子系统的 algif_aead 模块,允许任何本地普通用户以确定性、无竞争的方式在任意可读文件的页缓存中写入受控的 4 字节数据,并借此将自身权限提升至 root,可以实现本地提权与容器逃逸。

漏洞成因是三个独立内核变更在 2017 年的交汇:
1. 2011 年引入的 authencesn 模块使用调用方的目标 scatterlist 作为 IPsec 扩展序列号字节重排的临时暂存区;
2. 2015 年 AF\_ALG 套接字获得 AEAD 支持,splice()路径得以将文件页缓存页直接注入 scatterlist;
3. 2017 年的一次性能优化将解密操作改为 in-place 模式,通过 sg_chain()将页缓存页链入了可写的输出 scatterlist。三者单独看均合理,叠加后却让 authencesn 的越界暂存写入直接落在内核缓存的文件页上。


影响范围覆盖几乎所有使用 2017 年后内核版本的主流发行版,包括 Ubuntu 24.04 LTS、Amazon Linux 2023、RHEL、SUSE 及其衍生版本;云端多租户节点、CI/CD 执行环境与 Jupyter 平台同样面临威胁。

官方修复方案将 algif_aead 的 in-place 操作回退为 out-of-place,彻底断绝页缓存页进入可写 scatterlist 的路径。对于用户来讲,应对策略为立即升级并重启内核
无法立即升级的系统可临时执行
echo "install authencesn /bin/false" >> /etc/modprobe.d/security.conf

禁用模块。

检测方案可以参考:脚本链接

NVD | Xint

🌸 在花频道 · 茶馆讨论 · 投稿通道
#更新 BiliLive-Utility v2.5.0 - 旧的不去新的不来

因为本次更新涉及到安全性更新以及包名的修改,所以本次更新后需要重新登录程序


由于软件不断提示要求人脸识别,而实测直播姬目前无需再人脸识别,无法绕过,因此本次更新将开播的 API 从直播姬转换到了 Mac 端的哔哩哔哩 Electron 客户端
新的 API 仍在实验中,如果出现了问题请通过 issue 反馈


[-] 清除了无用依赖以减小体积
[+] 更换 API 端点以使得程序能够正常进行开/关播
[*] 更换了硬编码的 APPKEY 和 APPSECRET
[+] 引入基于设备的凭据加密,使得凭据移动到其他设备上无法正确使用以保证安全性
[+] 引入更新检测功能,程序会自动与 Github 的 Release 进行比对以提示用户进行更新

• feat: 更换为 Electron 端直播 API,性能优化,引入更新检测 by @GamerNoTitle in #17

Full Changelog: v2.4.0...v2.5.0

https://github.com/GamerNoTitle/BiliLive-Utility/releases/tag/v2.5.0
更新
GNT.Channel.name = 开源摸鱼社💤
#日常 好快的同意
#日常 已严肃加入
日常
#日常 好快的同意
日常
#日常 发现之前迁移了 QB 以后忘记重装 PBH 了,今天上去装好了一看,原来我已经被吸了 1T 了?
还好我是校园网,没有 PCDN 的烦恼
日常
#日常 这几天群里广告又开始在群里活跃了,如果发现管理没有及时处理的话,艾特一下 @PaffCream
日常
#日常 长亭弄了一个 LLM 开发平台可以看看,后面 ic 是 aff,不想走可以删
https://monkeycode-ai.com/?ic=019dd7ea-0848-7c71-87e0-27ac347829bf
日常
#Warframe 30段!
Warframe
#人工智能 深度求索将 DeepSeek V4 系列缓存命中价格永久下调到首发价 1/10,Flash 模型缓存命中价从 2 毛钱降到 2 分钱,Pro 模型叠加优惠活动后从 1 元下降到 2 分 5 厘。

当然促销结束后 Pro 还是比较贵的,命中缓存 0.1元,未命中缓存 12 元、输出 24 元,这些调价和优惠活动应该会吸引更多用户使用 Pro 模型,扭转 V4 系列的口碑问题。

查看详情:https://ourl.co/112831

订阅 解封 推特 CN2VPS
人工智能
#日常 原来我有 2^8 个 followers 了耶
日常
#软件资讯 这操作简直亮瞎眼!TeamViewer 正在强迫永久许可证用户迁移到订阅制,不迁移将无法公网连接,只能局域网连接。

TeamViewer 13/14 版将从 10 月 31 日开始被淘汰,到时候持有这些版本永久许可证的用户只能局域网连接,除非额外花钱购买订阅许可证进行版本升级。

查看详情:https://ourl.co/112799

订阅 解封 推特 CN2VPS
软件资讯
#云计算 爪云容器部署平台 ClawCloud Run 突然宣布关停,所有用户请务必在 5 月 10 日 16:00 前备份和迁移数据,过期数据可能无法导出。

对于付费用户还必须在 5 月 19 日前提交退款申请,过期后再提交申请将无法退款,此前该服务通过免费吸引大量用户,不知道现在突然关停又是因为什么。

查看详情:https://ourl.co/112787

订阅 解封 推特 CN2VPS
云计算
#原 #兑换码
向至冬20260812 - 原石x200
兑换码
#ZZZ #兑换码
PULUOMIYA0506 - 奖励在图里
ZZZ 兑换码
Bitwarden CLI 软件包遭遇 Checkmarx 供应链攻击

Socket 研究人员发现 Bitwarden CLI 的 npm 软件包遭遇供应链攻击。受影响版本为 @ bitwarden/cli@2026.4.0,其中的 bw1.js 文件被植入恶意代码。攻击者通过篡改 Bitwarden CI/CD 管道中的 GitHub Action 注入负载,目前其浏览器扩展和 MCP 服务未受影响。

该恶意程序会抓取 GitHub 令牌、云服务凭证、SSH 密钥及 npm 配置,并通过创建特定主题的公开仓库泄露数据。它还包含针对俄语系统的自毁机制。受影响用户应立即移除该软件包,并重置所有可能泄露的凭证与密钥。

Socket

🌸 在花频道茶馆讨论投稿通道
#日常 遇到了一个很傻逼的开源项目
要求提供 Github Token,然后它会自动 Star 它的所有 repo 和 fork 三个环境的 repo
fork 我能理解,但是为什么你要 fork 3 个,只 fork 我的 target 不就够了吗?Star 又是干嘛的,不是自愿原则吗,纯傻逼吧
日常
#日常 #吐槽 怎么推特还更新云控禁止未通过 Strong Integrity 的设备访问啊😭
日常 吐槽
#铁 大停电说是
#铁 啊哈哈哈哈好经典的句式
Before
After
Back to Top