重要/漏洞：主流Linux发行版本存在本地提权漏洞“Looney Tunables” ，攻击者可通过 GNU C 库获得 roo

重要/漏洞：主流Linux发行版本存在本地提权漏洞“Looney Tunables” ，攻击者可通过 GNU C 库获得 root 权限 漏洞编号：CVE-2023-4911 重要等级：重要 影响版本：GLIBC 2.34 原理：Linux的主流发行版本中存在一个名为“Looney Tunables”的本地提权漏洞。攻击者可以通过此漏洞利用GNU C库获得root权限。该问题主要源于GNU C库的动态加载器ld.so，当处理GLIBC_TUNABLES环境变量时，可能会发生缓冲区溢出。本地攻击者可以在启动具有SUID权限的二进制文件时，通过恶意设置的GLIBC_TUNABLES环境变量执行提权代码。此漏洞首次出现在glibc版本2.34 处置建议：CVE-2023-4911已在上游glibc中得到修复，Linux发行商正在陆续更新修复这个问题，普通用户应当尽快更新 补充：大量流行的Linux发行版上使用了GNU C 库同时将GLIBC 2.34作为默认安装的版本，包括Ubuntu、RedHat、Debian、Fedora、Gentoo都受到此问题影响，但是某些发行版（如Alpine Linux）由于使用 musl libc 而不是 glibc 而被豁免。 相关资料：

心机黑客潜伏两年后向xz-utils添加后门 多个Linux发行版中招

心机黑客潜伏两年后向xz-utils添加后门 多个Linux发行版中招 日前该项目被发现存在后门，这些恶意代码旨在允许未经授权的访问，具体来说影响 xz-utils 5.6.0 和 5.6.1 版中，而且这些受影响的版本已经被多个 Linux 发行版合并。简单来说这是一起供应链投毒事件，攻击者通过上游开源项目投毒，最终随着项目集成影响 Linux 发行版，包括 Fedora Linux 40/41 等操作系统已经确认受该问题影响。恶意代码的目的：RedHat 经过分析后认为，此次黑客添加的恶意代码会通过 systemd 干扰 sshd 的身份验证，SSH 是远程连接系统的常见协议，而 sshd 是允许访问的服务。在适当的情况下，这种干扰可能会让黑客破坏 sshd 的身份验证并获得整个系统的远程未经授权的访问 (无需 SSH 密码或密钥)。RedHat 确认 Fedora Linux 40/41、Fedora Rawhide 受该问题影响，RHEL 不受影响，其他 Linux 发行版应该也受影响，具体用户可以在开发商网站获取信息。建议立即停止使用受影响版本：如果你使用的 Linux 发行版受上述后门程序影响，RedHat 的建议是无论个人还是商用目的，都应该立即停止使用。之后请查询 Linux 发行版的开发商获取安全建议，包括检查和删除后门程序、回滚或更新 xz-utils 等。孤独的开源贡献者问题：在这里还需要额外讨论一个开源项目的问题，xz-utils 尽管被全世界的 Linux 发行版、压缩软件广泛使用，但在之前只有一名活跃的贡献者在维护这个项目。这个孤独的贡献者可能因为精力不够或者其他原因，在遇到一名新的贡献者时，随着时间的推移，在获取信任后，这名新贡献者逐渐获得了项目的更多控制权。实际上这名黑客应该也是精心挑选的项目，知道这种情况下可能更容易获取控制权，于是从 2022 年开始就贡献代码，直到成为主要贡献者后，再实施自己的后门行动。未来这类针对开源项目的供应链攻击应该还会显著增加，这对整个开源社区来说应该都是头疼的问题。 ... PC版： 手机版：

Asahi Linux 新旗舰发行版 Fedora Asahi Remix

Asahi Linux 新旗舰发行版 Fedora Asahi Remix Fedora 团队在今天召开的 Flock 大会上宣布，在搭载 Apple Silicon 芯片的 Mac 上，即将支持运行 Fedora Linux 发行版。 官方表示通过和 Fedora Asahi Special Interest Group（SIG）、Asahi Linux 项目密切合作，在使用的 Apple Silicon 芯片的 Mac 设备上，满足工作站和服务器使用场景需求。 Asahi Linux 项目团队还宣布，即将推出的 Asahi Linux 旗舰发行版正式名称为 Fedora Asahi Remix。并将于今年 8 月底发布。 该项目大部分由上游推进，各种关键组件都是在 Fedora Linux 上游进行开发、维护和打包的。 团队的长期目标是在 Apple Silicon 的 Mac 设备上，完整支持 Fedora Workstation 和 Fedora Server。 喜欢冒险的用户可以尝试： 、、

《我获得了亿万游戏财产！》

《我获得了亿万游戏财产！》 简介：一款以财富积累与商业竞争为核心的模拟经营游戏，玩家将扮演白手起家的创业者，通过投资、并购、资源调配等策略，在动态经济系统中打造商业帝国。游戏融合真实市场波动与随机事件，考验决策力与风险把控能力。 亮点：独创的“亿万级”经济模拟算法，支持跨行业产业链联动；500+随机事件与道德抉择分支，深度影响剧情走向；支持多人联机合作或对抗，可组建财团或发动商战。 标签： #模拟经营#策略决策#经济系统#社交竞争#多平台 更新日期：2025-4月

微软将 CBL-Mariner Linux 发行版重新命名为 Azure Linux

微软将 CBL-Mariner Linux 发行版重新命名为 Azure Linux 随着今天 CBL-Mariner 2.0.20240301 的发布，它现在已重定向到GitHub 上的 Microsoft/AzureLinux 项目。CBL-Mariner 存储库已更名为"AzureLinux"，其他对 CBL-Mariner 的引用也已过渡到 Azure Linux 品牌，但仍保留了一些 CBL-Mariner 标记： v2.0.20240301 版本中，还有一些源代码更新开始重新命名工件，例如 Azure Linux 从"MARINER_VERSION"更名为"AZL_VERSION"： Linux 平台，或者 Azure Linux 还会有哪些其他变化，这些都值得我们去探究。 ... PC版： 手机版：