致长期以来一直关注solidot的海内外朋友,请点击这里查看。
adv
USA
WinterIsComing(31822)
发表于2014年08月01日 14时48分 星期五
来自重现巴马医保盛况
美国签证系统在升级维护后发生故障,导致全球签证申请大量延迟。许多人错过了面试,计划被打乱,大量人滞留。领事综合数据库(CCD)的故障始于7月19日,何时修复仍然是未知之数。签证系统有冗余但无备份,使用的是甲骨文的数据库。一位行业专家称,如果不正确关闭和启动数据库,会遇到数据库一致性问题。美国驻华大使馆新闻发言人建议预约在8月1日面签的申请人重新预约。
隐私
WinterIsComing(31822)
发表于2014年07月23日 15时56分 星期三
来自NSA的蜜罐
研究人员演示了一种针对Tor匿名网络的概念原型攻击Sniper Attack(PDF),利用Tor的端对端可靠数据传输耗光中继服务器的内存,迫使目标中继下线。研究人员称,一个战略对手可以在29分钟内使前20位Tor中继节点下线,减少35%的Tor网络带宽。攻击者可以设立恶意的中继和出口节点,选择性攻击流行的中继,诱使Tor用户通过他们的中继和出口节点,从而可获得用户身份。发动此类的攻击只需不到3000美元。研究人员计划在下个月举行的Black Hat大会谈论他们的研究,但演讲已经取消,Tor开发者声明取消演讲与他们无关。据报道是研究人员所在的大学的律师发出了取消演讲的要求。Ars报道称,开发者表示他们正接近修复漏洞。但也有人声称攻击只影响旧版本,新版本已经修复。
滑稽
WinterIsComing(31822)
发表于2014年07月11日 16时18分 星期五
来自准备僵尸大战
美国征兵局向超过1.4万出生于1893年到1897年的宾州男子寄去了征兵通知,命令他们去登记兵役,警告违反命令将会处以罚款和监禁。73岁的Chuck Huey说,他收到了寄给祖父Bert Huey的通知,他的祖父是一战老兵,出生于1894年,于1995年去世。Huey称,他们收到征兵通知后完全惊呆了。这一乌龙事件是因为一位工作人员在数据库里根据出生年代筛选数据犯错,本应该输入1993年到1997年结果输成了1893年到1897年,相差了一百年。数据被寄给了征兵局,而由于宾州使用的是二位数字代码表示年代,所以征兵局没有发现错误,于是向大部分已去世的百岁老人寄去了征兵通知,到接到错误警告时它已经寄出了14,250份通知
Bug
WinterIsComing(31822)
发表于2014年07月03日 11时24分 星期四
来自Google光纤瞬间耗光
虽然已进入了二十一世纪的第二个十年,但美国加拿大等国的部分ISP提供的宽带服务仍然有流量限额,如Cox Cable宽带每月流量封顶为250GB。Tyler Hayes从未用光过流量,然而现在他突然发现自己每天使用掉的流量接近80Gb。他利用本地流量监测工具Little Snitc分析流量后发现罪魁祸首是亚马逊Kindle Fire TV的一个屏保。屏保的一个bug导致它下载的图像没有被缓存。亚马逊表示将发布软件更新修复问题。
安全
WinterIsComing(31822)
发表于2014年06月27日 15时30分 星期五
来自考古学
Lempel-Ziv-Oberhumer(LZO)是一个无损数据压缩算法,最初写于1984年。因算法出色的速度和效率,LZO得到了广泛使用,包含在OpenVPN、MPlayer2、Libav、FFmpeg、Linux kernel,甚至是火星漫游车好奇号等项目中。Lab Mouse Security的嵌入式系统安全专家Don Bailey在官方博客上宣称在LZO及其变种LZ4中发现了一个有20年历史的整数溢出bug,可被攻击者用于远程执行代码。法国压缩算法研究员 Yann Collet 认为Don Bailey夸大了风险,称µTorrent作者Ludwig Strigeus早在一个年多前就发现了这个bug,他指出在真实世界中触发bug的难度很大,几乎不太可能,这个bug不是另一个“heartbleed”。
iPhone
WinterIsComing(31822)
发表于2014年05月23日 15时52分 星期五
来自都是Android的错
苹果的iMessage服务支持加密,但如果你以前用过iPhone而现在改用Android,那么当另一个人使用iPhone向你发送短信时,你可能无法接收到这些短信(按照设计,iMessage在收到状态码后应该会自动换用短信,但自动切换功能不是一直有效)。该问题被认为是与手机号码仍然注册iMessage服务有关。根据苹果官方论坛的帖子,用户早在2013年6月就报告了这个问题,但近一年后问题仍然没有解决。许多Android用户以为是Android的问题于是又换回到了iPhone。现在,一位女性用户在遭遇该问题后决定起诉苹果,而苹果则承诺将修复该问题
安全
WinterIsComing(31822)
发表于2014年05月14日 16时00分 星期三
来自就不学特斯拉无线推送
福特先后两次召回了共大约69.5万辆汽车,车主需要前往本地的汽车经销处接受软件更新。福特上周五召回了69.25万辆 Ford Escape汽车,称一个计算机软件问题可能会导致汽车在某些翻转情况下推迟弹出侧面撞击头部碰撞或翻滚保护气囊(safety canopy)。福特声明,该问题至今没有导致伤亡发生。本周一的另一起召回同样与软件有关,福特称部分Super Duty 系列皮卡的传输控制软件错误可能会导致皮卡从停车切换到驾车过程中发生瞬间逆转。过去几年,因为软件问题引发的汽车召回事件越来越多。相比之下,特斯拉电动汽车不需要到经销处更新软件,而是采用OTA推送
Bug
WinterIsComing(31822)
发表于2014年05月05日 12时54分 星期一
来自阈值太低了吧
一架U-2间谍飞机上周三导致加州洛杉矶空中交通管制中心计算机发生故障,该地区的空中交通短暂关闭,大量航班受到影响。据NBC引用匿名消息来源称,一架U-2在飞过加州洛杉矶空中交通管制中心监视的空域时,使该系统溢出了。计算机错误的判断U-2将与另外一架飞机相撞,控制人员开始采取紧急措施,而当时U-2的飞行高度在6万英尺,另一架飞过同一空域的飞机高度比它低数英里。一些人推测,计算机故障的原因可能是U-2的飞行高度超过了系统的最大高度(推测是超过65,535英尺),但这一说法未获确认。
Bug
WinterIsComing(31822)
发表于2014年05月03日 00时11分 星期六
来自
Shawn the R0ck 写道 "OpenSuSE社区收到关于最近因为OpenSSL heartbleed漏洞的修复关于padding扩展代码的改动导致IronPort SMTP服务器出现异常阻断的bug报告。OpenSSL 1.0.1g不仅仅是修复了heartbleed漏洞,而且也增加了一些padding扩展的改动:

#define TLSEXT_TYPE_padding 21

这直接导致SSL链接出错(至少在Ironports的设备上):

SSL23_GET_SERVER_HELLO:tlsv1 alert decode error

Padding扩展只会在ClientHello的长度在256---511字节之间时使用,理论上讲,削减ciphersuite到256字节以内可以是临时解决方案之一,或者是强制使用SSLv3,或者把上面的改动剔除并且重新编译OpenSSL。目前OpenSSL社区并没有给出解决方案。 "
安全
WinterIsComing(31822)
发表于2014年04月23日 14时48分 星期三
来自揪出程序员鞭
美国食品及药物管理局发出紧急警告,英国Spacelabs Healthcare公司生产的ARKON麻醉设备被发现存在严重的软件缺陷,可能会导致危及生命的故障发生。ARKON的麻醉系统被医院用于在手术过程中向患者提供氧气、麻醉气体和一氧化二氮,Spacelabs 已经在上个月宣布召回这款设备。运行在设备上的2.0版软件被发现存在严重bug,可能会导致设备停止工作,要求病人手控通气。此外,该设备有4个USB端口,但如果手机或其它USB设备插在上面充电,也可能会导致设备停止工作。该bug可能会导致严重后果,包括死亡和血氧不足。
安全
WinterIsComing(31822)
发表于2014年04月08日 15时48分 星期二
来自开窗不怕误报
Nest Labs烟雾和二氧化碳智能报警器的一大卖点是如果发生误报,你可以在附近挥一下手关闭报警器,但实验室测试发现这项名叫Nest Wave的功能会被无意的激活,软件算法可能会将报警器附近的走动错误解释为有意的挥手命令,如果该bug导致报警器被无意关闭,它有可能会危及生命。Nest Labs因此宣布在修复软件前暂停烟雾和二氧化碳报警器销售,同时通过远程操作关闭Nest Wave功能。Nest Labs 认为可能需要2到3个月时间去设计和测试更新,并获得美国、加拿大和英国安全监管部门的批准。它表示一旦完成,将通过软件更新重新激活Wave功能。
Bug
WinterIsComing(31822)
发表于2014年04月06日 15时00分 星期日
来自好主意
Linux开发者正在考虑使用条形码展示内核崩溃(Kernel Panics/Oops)信息。目前如果发生了内核崩溃,屏幕上会展示一大堆文本信息,对于普通Linux终端用户来说,这些信息很难被存档起来。如果使用条形码展示内核oops代码,用户可以用手机扫描条形码,在手机上查看错误信息或将错误信息转发到Kernel.org的错误页。上游开发者正在内核邮件列表上讨论这一想法
Bug
WinterIsComing(31822)
发表于2014年03月27日 19时36分 星期四
来自没有OTA更新需要FAA强制
美国联邦航空管理局(FAA)命令波音公司立即修复747-8型飞机的软件故障问题,并称其可能导致飞机接近着陆时失去推力,导致坠机。指令要求波音公司改进旧版本中有缺陷的操作软件至一个更新版本。FAA局说,这已是涉及波音747-8的第四次更正指令,直接影响到7架在美飞机。如果该指令被扩展至全球范围,将覆盖更大范围的维修数量。波音公司的网站上说,该型客机在全球范围中售出66台,是其自2011年10月推出以来的最大一笔销售单。波音则表示,问题从来没有在飞行中引起麻烦,去年已建议其客户更新软件,相信大多数运营商已经这样做了。波音公司表示,故障风险“微乎其微” 。
犯罪
WinterIsComing(31822)
发表于2014年02月25日 18时15分 星期二
来自防火墙堵塞
因为计算机故障而向错误的司机开出2万多张罚单之后,新西兰警方表示道歉。在新西兰,汽车牌照是与汽车永久性的连在一起的,汽车可以转售,因此车主的身份会发生变化。新西兰交通局负责向警方系统自动更新车主信息,但在去年10月22日到12月16日之间,交通局更新的信息未能传输到警方系统,导致警方在期间向不正确的交通违规者寄出了罚单。新西兰全国交警管理处负责人Carey Griffith向受影响的司机表达真挚的歉意。
Bug
WinterIsComing(31822)
发表于2014年02月12日 19时27分 星期三
来自没有无线推送软件更新功能
丰田周三宣布在全球召回售出的190万第三代Prius汽车,原因是混合动力系统软件程序存在问题。丰田表示,问题出在混合动力系统模组中控制升压转换器的软件,“这项软件的设定有可能导致升压转换器内的特定电晶体产生较高温度压力,这些电晶体可能因而变形或损坏,这会导致多种警示灯亮起,并可能导致车辆进入故障安全模式,”丰田指出,车辆可以驾驶,但驱动力减弱。某些情况下混合动力系统可能关闭,导致车辆停止,而且可能会发生在驾驶途中。目前还没有传出因这项瑕疵而引发事故。
Bug
WinterIsComing(31822)
发表于2014年01月25日 23时14分 星期六
来自
在Gmail服务发生大规模宕机事故的同时,一位Hotmail用户收到了数以万计的来自Gmail的空白邮件。TechCrunch报导,如果用户在登录状态下在Google上搜索Gmail,点击第一个搜索结果下的Email链接(如图所示,图像来自TC),就有可能触发这个Bug。点击该链接后会跳转至电子邮件的撰写窗口,收件人地址栏已被自动填上一位Hotmail用户的地址dsp559@hotmai.com。这位叫David S. Peck的用户证实他每小时收到了数以百封的邮件,而且大部分是空白邮件。
Bug
WinterIsComing(31822)
发表于2014年01月18日 13时05分 星期六
来自原来微软一个bug修复也要花十年
微软修复了处理更新的svchost.exe进程资源占用问题。此前Windows XP用户发现,在操作系统启动之后svchost.exe进程占用了大量系统资源,导致系统在15分钟到1个小时之内无法使用。问题与更新进程检查历史补丁的算法有关,该算法处理时间会随着历史补丁数的积累而呈指数级增长。问题已经困扰了XP用户数年,微软的更新团队上个月发誓,将利用休假的时间去解决此问题。新发布的修正将关闭系统对IE更新的持续检查。
Bug
WinterIsComing(31822)
发表于2014年01月11日 23时09分 星期六
来自还是机器人眼睛尖
Google透露,它在两年多时间内帮助开源跨平台多媒体编解码器库FFmpeg发现和修复了1000多个bug。Google称,它不仅仅重视自家产品的安全,它的安全团队和Google雇员还经常评估外部软件,并将结果报告给软件供应商或维护者。FFmpeg和它的衍生版本Libav被许多项目广泛使用,其中包括Google Chrome、MPlayer、VLC和xine,Google认为帮助FFmpeg发现bug将会让数以百万计的用户受益。因此Google利用数据中心的庞大计算资源和网上收集的开放多媒体样本,对FFmpeg执行自动的模糊迭代测试,发现了NULL指针间接引用、无效free()调用,断言错误,使用未初始化内存等各种bug。
安全
WinterIsComing(31822)
发表于2014年01月09日 21时12分 星期四
来自旧闻新说
双椭圆曲线确定性随机比特生成器(Dual EC DRBG)普遍被认为被NSA植入了后门,Dual EC DRBG是加密标准SP800-90A的一部分,而SP800-90A则是美国政府FIPS 140-2安全认证强制推广的加密标准。也就是说,一个加密库如果想要获得FIPS 140-2认证,那么它或多或少需要去实现有缺陷的Dual EC DRBG随机数生成器。由于认证的加密库不能被修改一行代码,如果其中存在致命漏洞导致Dual EC DRBG不能工作,那么后门也就无效了。这是OpenSSL项目身上发生的事情。OpenSSL项目经理Steve Marquess在12月19日发帖称,OpenSSL的Dual EC DRBG存在致命漏洞,使用它会导致程序崩溃或停止响应。由于修改代码会导致认证失效,而bug自Dual EC DRBG引入OpenSSL之后就存在了,因此OpenSSL用户没人用过Dual EC DRBG。但Dual EC DRBG的存在却帮助OpenSSL通过了安全认证。有推测认为,可能是有人知道后门而故意让实现不能工作。
Bug
WinterIsComing(31822)
发表于2013年12月17日 14时36分 星期二
来自请360帮忙 只要不关机就行了
Windows XP的用户或许已经发现,今天的XP要比2001年发布的XP要慢。快慢与硬件无关,而是与操作系统的一个bug有关。Windows XP更新服务使用的一个更新依赖算法被发现会严重拖慢XP机器的速度。按照设计,Windows更新服务从微软的更新服务器检索补丁信息,补丁信息包含有每个补丁的信息:应用于哪个软件,以及历史补丁或当前已被取代的补丁。Windows补丁是渐增累积的。如果全新安装Windows XP,你不需要逐个安装IE 6发布的所有补丁,而只需要安装最新补丁,因为最新补丁包含了过去的所有修正。然而,不幸的是,XP的更新服务客户端组件使用了一个处理时间随历史补丁数指数级增长的算法。如果系统的同一个程序安装了许多次补丁,每一个被取代的补丁会导致执行算法的处理时间翻倍。XP已经有13年历史,历史补丁的记录非常长,程序可能有40个以上的历史补丁。执行更新任务的svchost.exe进程在启动后占用了全部CPU资源,需要花一个小时以上的时间才能完成整个过程,之后系统才会正常工作。微软11月例行更新据说修复了这个问题,结果没有;12月例行更新号称也修复了该问题,结果仍然没有。明年4月,XP将会停止支持,届时微软能不能推出修复程序已经无关紧要,用户只要关闭更新服务,系统就能正常工作了。