QQ 邮箱漂流瓶正式关闭；PostgreSQL 为 6 版本发布安全更新

(给技术最前线加星标，每天看技术热点)

转自：开源中国、solidot、cnBeta、腾讯科技、快科技等

【技术资讯】

0、PostgreSQL 11.4, 10.9, 9.6.14, 9.5.18, 9.4.23 和 12 Beta 2 发布

PostgreSQL 于近日为受支持的各个版本发布了更新，其中包括 PostgreSQL 11.4, 10.9, 9.6.14, 9.5.18, 9.4.23 和 12 Beta 2。此版本是在正常更新发布计划之外进行的，主要是用于修复安全问题，这也侧面反映了这些问题的严重性，建议各位尽快升级到对应的版本。

安全问题

此版本关闭了一个安全漏洞：

• CVE-2019-10164：通过设置密码，基于堆栈的缓冲区溢出

受影响版本：10, 11, 12 beta

经过身份验证的用户可以通过将自己的密码更改为特殊值来创建基于堆栈的缓冲区溢出。除了会导致 PostgreSQL 服务器崩溃之外，还可以利用他针对 PostgreSQL 系统帐户，以执行任意代码。

此外，恶意服务器可以在 SCRAM 身份验证过程中发送特制的消息，并导致启用 libpq 的客户端崩溃或针对客户端的操作系统帐户执行任意代码。

官方建议所有运行 PostgreSQL 10,11 和 12 beta 的用户尽快升级。

1、SSH 加入抵御边信道攻击的功能

过去两年曝出的硬件漏洞如 Spectre、Meltdown、Rowhammer 和 Rambleed 能通过猜测和边信道去窃取储存在内存中的密钥。现在，流行的网络传输加密协议 SSH 引入了抵御此类漏洞的功能，保护储存在内存中的密钥。

新的改变主要是当私钥未被使用时用对称密钥加密，而对称密钥则源自于大的随机数构成的 prekey。

在尝试破解被保护的私钥前，攻击者必须首先高精度的恢复整个 prekey，目前的边信道都存在较大的误码率，使得恢复 prekey 变得不可能。

2、NSA 向 Coreboot 项目贡献代码

NSA 向自由固件项目 coreboot 分配了开发者，它的开发者 Eugene Myers 开始向 coreboot 贡献  SMI Transfer Monitor (STM) x86 处理器实现代码。Myers 隶属于 NSA 的 Trusted Systems Research Group，其使命是进行和资助研究保护美国信息安全的技术。

NSA 最为人所熟知的开源项目是 Linux 安全模块 Security-Enhanced Linux，它最近还释出了逆向工程工具 Ghidra，但它在 NIST 标准上的工作备受争议，被批评推动 NIST 采用了存在后门的加密算法。

Myers 去年发表了论文，介绍了 STM 实现的工作原理。所有的代码都是开源的，在理论上任何人都可以检查它是否存在后门。

【业界资讯】

0、QQ 邮箱漂流瓶功能将于明天正式关闭

6月23日，根据此前QQ邮箱发布的通知，“QQ邮箱漂流瓶”功能将于2019年6月24日正式关闭，这个伴随着无数少男少女度过青葱岁月的经典功能终于要在明天离我们而去了。

此前在2019年4月份，QQ邮箱曾发布通知，表示“因业务调整，QQ邮箱漂流瓶功能将于2019年6月24日起终止服务，感谢你对漂流瓶功能及QQ邮箱的支持，希望未来可以给你提供更好的产品和服务！”

其实早在2018年12月，腾讯就暂时下线微信和QQ的漂流瓶功能，至于原因腾讯解释道，他们“发现存在用户利用漂流瓶功能发布色情内容或色情招嫖广告的情况”。

随后腾讯在微信7.0.4版本中删除了微信漂流瓶的入口，如今QQ邮箱漂流瓶功能即将正式关闭，自此腾讯产品再无漂流瓶一说。

1、泄露文档称微软“不鼓励”员工使用Slack、卡巴斯基

一份泄露的文档揭示了微软员工的真实感受，它展示了微软禁止或阻止员工使用的软件和在线服务，并且列表中中包含一些大牌服务。Slack作为最知名的在线工具榜上有名，其他包括语法检查器Grammarly和卡巴斯基的安全软件，甚至微软自己拥有的GitHub的云版本也列在“不推荐”的工具和服务列表中。

这份“不鼓励”的软件和服务列表 - 以及那些软件和服务是由GeekWire获得的，微软高层决意这么做的主要关注点是安全性。例如，有关于Slack的描述中说，这种工具“并没有提供必要的控制来正确保护微软的知识产权（IP）”。

微软接着表示，这些解决方案的现有用户应将聊天历史记录和与微软业务相关的文件迁移到团队自身提供的方案中，例如Office 365应用程序内置呼叫和会议功能。Slack Enterprise Grid版本虽然符合微软的安全要求，但是，公司内部依然鼓励使用Microsoft Teams而不是竞争对手的软件。

Grammarly则被严格禁止，因为“第三方的Office加载项和浏览器扩展不应在公司内网上使用，因为它们能够访问电子邮件和文档中受信息权限管理（IRM）保护的内容”。除此之外，亚马逊网络服务和Google Docs等知名服务如无商业上的需要都“不鼓励使用”。

在员工不鼓励使用的服务列表中包含GitHub可能会让一些人感到惊讶，因为它归微软所有。但是，只有GitHub的云版本才被禁止使用，特别是用来处理“高度机密类型的信息，规格或代码”的时候。

2、法国创建 G7 加密货币特别工作组：应对 Facebook Libra

法国中央银行行长周五表示，该国正在设立一个G7特别工作组，研究中央银行如何确保像Facebook Libra（天秤座）这样的加密货币受到各种法规的监管。法国央行行长弗朗西斯·维勒鲁瓦德加洛（Francois Villeroy de Galhau）表示，该工作组将由欧洲央行委员会成员本诺伊特·科雷（Benoit Coeure）领导。

Facebook公司本周宣布计划推出一种新的全球加密货币Libra，作为其进军数字支付计划的一部分。

根据营销材料和对高管的采访，Facebook与包括万事达卡、PayPal和优步在内的28个合作伙伴一起组建了Libra Association，这是一家总部位于日内瓦的实体，负责管理新的数字硬币。但没有一家银行参与其中。

Facebook这项声明很快引发了外界担忧。美国参议院银行委员会表示将在下个月举行听证会。据熟悉此事的华盛顿知情人士透露，负责监管Facebook区块链工作的大卫·马库斯（David Marcus）预计将作证。

英格兰银行行长马克·卡尼（Mark Carney）表示，Libra必须足够安全，否则就不能推出，世界主要央行需要进行监督。

身为七国集团轮值主席国的法国表示，它并不反对Facebook创建金融交易工具。但它坚决反对这种工具成为主权货币。

“我们希望将对创新的开放态度与对监管的坚定态度结合起来。这符合每个人的利益。“维勒鲁瓦德加洛告诉金融业官员。

维勒鲁瓦德加洛说，仍然需要定义“稳定”加密货币的概念。特别是，需要确定哪些工具是稳定的，以及如何确定其汇率。

维勒鲁瓦德加洛还呼吁建立一个由欧洲银行管理局协调的国家反洗钱监管网络，以执行紧急措施，甚至替代国家管理机构，而不是建立一个专门的欧洲机构。

但包括科雷在内的几位欧洲央行官员在过去几个月中一直主张建立这样一个机构。

觉得这些资讯有帮助？请转发给更多人

关注 技术最前线 加星标，看 IT 要闻

最新业界资讯，我在看❤️