解雇拒绝打开摄像头员工被罚 51 万;推送损坏的更新,导致数千网站瘫痪;PHP 存在不受控制的递归漏洞|思否周刊

业界 作者:SegmentFault 2022-10-16 18:47:23

SegmentFault 思否


40S 新闻速递


  • HTTP 库 Axios 推送损坏的更新,导致数千个网站瘫痪

  • 建议弃用 C/C++ 后,Azure CTO 再怼 Git:最不直观、最笨重

  • 因开发人员误公开源代码,丰田或泄露近 30 万客户信息

  • 美国公司因解雇拒绝打开摄像头员工被罚 51 万

  • 英特尔证实 Alder Lake BIOS 源码泄露

  • PHP 存在不受控制的递归漏洞

  • Linus 电脑内存问题导致 Linux 6.1 补丁合并推迟

  • TIOBE 10 月榜单:四大语言加强统治地位,Rust 威胁 C/C++

  • Linux 6.1 有望成为年度 LTS 內核版本

  • Visual Studio Code 1.72 正式发布

  • Firefox OS 复活


SegmentFault 思否


行业资讯


HTTP 库 Axios 推送损坏的更新,导致数千个网站瘫痪


Axios 是基于 Promise 的 HTTP 网络请求库,用于浏览器和 Node.js。近日 Axios 发布的 1.1.0 版本更新在推送给用户后,由于包含损坏,导致数千个网站瘫痪。根据用户提交的 issue,在 Axios v1.1.0 中,他们使用 axios.get 时出现了错误,会提示 TypeError: axios.get is not a function。这导致几乎所有请求都无法成功,因为如果按照预期的行为,axios.get 是一个有效的函数。
留言的开发者几乎全部由于此问题而导致生产环境直接崩溃。有开发者发现回滚到 1.0.0 即可解决此问题,但由于自己的 App 更新后需要审核,所以即便知道了解决方法也不能马上修复。开发团队在确认问题后,次日连续发布了两个补丁更新(v1.1.1 & v1.1.2)来修复错误,建议所有用户升级至最新版本。


建议弃用 C/C++ 后,Azure CTO 再怼 Git:最不直观、最笨重


继呼吁停用 C/C++ 开发新项目并使用 Rust 之后,Microsoft Azure CTO、Sysinternals 的主要开发者 Mark Russinovich 再一次吐槽 Git :Git 又一次让我想拔掉我的头发。这是我使用过的所有软件中最不直观、最笨重的界面之一。事实上,Mark Russinovich 并不是第一个也不是唯一一个有此感想的人,很多人在评论表达了自己的共鸣。有人指出,“据我所知,连 Linus 都讨厌它”。其中一条高赞评论还指向了一个吐槽 Git 的网页(ohshitgit.com),这个吐槽页面甚至被不同国家的几十名开发者自发翻译成了不同的语言版本。


因开发人员误公开源代码,丰田或泄露近 30 万客户信息


10 月 7 日,丰田汽车发现,296019 名客户的电子邮件地址和客户编号可能已被泄露。不过,其他敏感个人信息如姓名、电话号码和信用卡信息等均未受到影响。丰田调查发现,客户信息之所以被泄露,是因为开发 T-Connect 网站的承包商将部分源代码上传到 GitHub 账号上,并不小心将权限设置成“公开”,时间是 2017 年 12 月至今年 9 月 15 日。丰田表示,公开源代码的操作违反了汽车制造商的处理规定。


美国公司因解雇拒绝打开摄像头员工被罚 51 万


美国软件开发公司 Chetu 解雇了一名拒绝在工作时打开摄像头的荷兰籍员工,荷兰法院以不当解雇为由判罚 7.5 万欧元(约合人民币 51 万元)。这名员工从2019 年 1 月开始为 Chetu 工作,在工作了大约一年半之后他被要求参加名为  Corrective Action Program 的虚拟培训项目,要求期间始终打开屏幕共享和摄像头。


两天后他表示一天 9 小时被摄像头监视感到非常不舒服,因此关闭了摄像头,表示屏幕共享已经足够了。随后这名员工因“拒绝工作”和“不服从命令”被公司解雇。他在几周后提起了诉讼,认为没有给出理由证明立即解雇是合理的。最后,法院命令该公司向男子支付未付工资、不正当解雇费、失业补助、额外赔偿等共计 7.5 万欧元的赔偿款。


英特尔证实 Alder Lake BIOS 源码泄露


英特尔近日向 Tom's Hardware 发布声明,证实公司专有的 UEFI 代码,似乎已被第三方泄露。此前在 4chan 和 GitHub 网站上出现大量 Alder Lake BIOS 源码,英特尔发言人表示,与这份代码有关的漏洞研究,仍被「Project Circuit Breaker」赏金项目所涵盖。


PHP 存在不受控制的递归漏洞


在 PHP 受影响版本内,phar 解压缩器代码将递归解压缩 “quines” gzip 文件,从而导致无限循环。攻击者会利用此漏洞导致服务器资源耗尽。影响范围包括:php@[8.0.0, 8.0.24)、php@[8.1.0, 8.1.11)、php@(-∞, 7.4.31)。
为避免该漏洞所带来的影响,建议大家升级 PHP 到 7.4.31、8.0.24、8.1.11 或更高版本。


Linus 电脑内存问题导致 Linux 6.1 补丁合并推迟


Linux 6.1 正处于补丁合并阶段,一位内核开发者向 Linus Torvalds 询问是否错过了一个 Git Pull 请求。Linux 作者周日证实因为内存问题他现在正以非常慢的速度执行合并队列。Torvalds 的主工作电脑是一台 AMD 线程撕裂者 3970x 工作站,过去几天电脑稳定性出了问题,出现随机的内存损坏错误。他一开始以为是一个新的内核 bug,检查后发现是内存条问题。他订购了新的 ECC 内存条,替换旧内存条。Torvalds 是在新冠疫情早期组装新电脑的,当时 ECC 内存条稀缺且昂贵,他为此还公开抱怨了英特尔的营销手段,宣称 ECC 内存是为服务器和嵌入式设备服务的,导致一般用户难以购买到便宜的 ECC 内存条。


TIOBE 10 月榜单:四大语言加强统治地位,Rust 威胁 C/C++


截至今日,Python、Java、C 和 C++ 语言已经在 TIOBE 榜单的前 4 位盘踞了相当长的一段时间。TIOBE CEO Paul Jansen 指出,这四种语言在榜单中远远领先于其他语言,且差距似乎只会拉的越来越大。去年,这 4 种语言占据了 40% 的市场份额,今年甚至达到了 55%。


“这表明目前竞争的空间不大。Java 的主要竞争对手 C# 正在失去地位,而 Python 的竞争对手 R 和 Ruby 或多或少地趋于稳定。然而,对于 C 和 C++ 来说,出现了一个小威胁:编程语言 Rust。Rust 以 0.70% 的历史最高市场份额再次进入前 20 名。Rust 专注于性能和类型安全。Rust 越来越受欢迎的原因之一是 Google 开始使用 Rust 语言编写 Android 的 low level parts。”


SegmentFault 思否


最新技术动态


Linux 6.1 有望成为年度 LTS 內核版本


Linux 内核维护者 Kaiwan N Billimoria 在7号的邮件中表示,他正在编写《Linux 内核编程》第二版,他希望这本书是建立在最新的 Linux 版本之上,目前 Linux 5.10 LTS 版本是在 2026 年到期,然而如果可能,Linux 6.1 是否会成为最新的 LTS 版本,这样他就有可能采用这个最新的 LTS 版本,不过他也无法确定,具体还要等到正式发布。目前 Linux 已正式发布 6.0 版本。
详情查看:https://lore.kernel.org/lkml/Yz%2FZWBeNZvKenEVM@kroah.com/


Visual Studio Code 1.72 正式发布


微软开源的代码编辑器VS Code正式发布1.72版本,该版本值得关注的改动有:定制工具栏,可以隐藏/显示工具栏、更好的编辑器自动滚动:滚动速度根据光标位置进行调整、扩展视图更新:突出显示有更新或需要注意的扩展等。
详情查看:https://code.visualstudio.com/updates/v1_72


Firefox OS 复活


Mozilla 在 2016 年放弃了它的开源移动操作系统 Firefox OS,之后在 Firefox OS 基础上出现了主要针对功能机市场的商业操作系统 KaiOS。但令人失望的是,KaiOS 既封闭还会跟踪用户并且有广告。它的分支 GerdaOS 则许诺将开放性带到 KaiOS 设备上。现在,Capyloon 项目决定复活 Firefox OS,将其带到现代 Linux 智能手机上,如 PinePhone Pro、Purism Librem 5 和 Pixel 3A。该项目还处于早期阶段,项目主页也不够清晰。它的前端 Nutria 能运行旧的 Firefox OS 应用,还可能在 Android 设备上通过启动 Google GSI (Generic System Image) 在 Android 内核上测试 Firefox OS UI。


- END -


延伸阅读

关注公众号:拾黑(shiheibook)了解更多

赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接