MX今天看什么（表）

#PSA: 立即更新 GitLab！Ruby-SAML 未能正确验证 SAML 签名。 请升级至： - GitLab: 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10 - ruby-saml: 1.17.0, 1.12.3 - omniauth-saml: 2.2.0 - GHSA-jw9c-mfg7-9rx2 - about.gitlab.com/~ CVE: CVE-2024-45409 CVSS: 10 (Critical) linksrc: https://t.me/billchenla/19542 #Security #SAML #GitLab

#Music #Liz_and_the_Blue_Bird #autumnegret girls, dance, staircase Cover / by 秋の温泉 Video | YouTube

AMD与笔电OEM厂商关系紧张沟通、供应和支持都很差，逐渐失去合作伙伴信任 据ComputerBase报道，多份来自于OEM厂商的报告指出，AMD与笔记本电脑合作伙伴之间的关系变得非常紧张，被抱怨提供的支持、芯片的供应、业务的沟通都很差，从而导致执行力低下。芯片咨询公司AC Analysis表示，AMD最近将业务重点转向人工智能（AI）和数据中心，导致与OEM厂商的关系进入了“冰河时期”，正逐渐失去合作伙伴的信任。 来源：超能网 / Tom's Hardware

「不死身のガールフレンド」- mineko 专辑: プチカミロマンティカ #网易云音乐 #flac 30.90MB 1054.59kbps via @Music163bot

#Touhou #Music #MNlogic24 #mineko 不死身のガールフレンド / Undead Girlfriend Music | netease Live (2024 Shanghai THO ver.) | YouTube Live (東方名華祭17 in ポートメッセなごや) | YouTube THBWiki | TouhouWiki

https://lists.ubuntu.com/archives/ubuntu-release/2024-September/006225.html https://www.omgubuntu.co.uk/2024/09/canonical-halts-ubuntu-24-04-lts-upgrades-again https://discourse.ubuntu.com/t/ubuntu-weekly-newsletter-issue-856/47726

漏洞：英飞凌（Infineon）加密库存在侧信道漏洞，影响大量 YubiKey 硬件密钥 漏洞编号：申请中 重要等级：需要注意的 CVSS 分数：4.9 影响范围：所有固件版本低于 5.7.0 的 YubiKey 5 系列和所有固件版本低于 2.4.0 的 YubiHSM 2 系列的 Yubico 设备

• YubiKey 5系列：5.7之前的版本 • YubiKey 5 FIPS系列：5.7之前的版本 • YubiKey 5 CSPN系列：5.7之前的版本 • YubiKey Bio系列：5.7.2之前的版本 • Security Key系列：所有5.7之前的版本 • YubiHSM 2：2.4.0之前的版本 • YubiHSM 2 FIPS：2.4.0之前的版本

漏洞原理: 英飞凌加密库中的模反演操作不是恒定时间的，存在侧信道攻击的风险。攻击者可以通过分析加密操作的时间特征，推测出私有密钥，目前可以确认攻击者可在具备物理访问权限的情况下，可以在“几分钟内”访问私有ECDSA密钥并克隆FIDO设备。目前这个漏洞会影响任何使用英飞凌加密库和芯片组的品牌密钥 注意: 该漏洞将会影响任何使用英飞凌加密库和芯片组的品牌密钥，其余厂商的硬件密钥需要使用者自行确定，同时该漏洞也可能影响了 Infineon Optiga Trust M 和 Infineon Optiga TPM 漏洞概述: 此问题是 Infineon 加密库中 ECDSA 实现的一个侧信道漏洞。在 YubiKey 和 YubiHSM 中，ECDSA 用于基于椭圆曲线生成加密签名。ECDSA 在 FIDO 中被广泛使用，但如果使用 ECC 密钥，这也可能会影响 PIV 和 OpenPGP 用例。如果使用 ECC 密钥，YubiHSM 2 签名和证明也可能受到影响。 强调：使用 YubiKey 或其他受影响的产品作为 FIDO 硬件身份验证令牌登录应用程序仍然比不使用它更安全 风险描述: 1. 任何使用英飞凌加密库和芯片组的品牌密钥设备都可能受到影响 2. FIDO 标准默认依赖受影响的功能。YubiKey PIV 和 OpenPGP 应用程序以及 YubiHSM 2 的使用也可能受到影响，具体取决于最终用户的配置和算法选择。  3. YubiKey 及部分密钥的用户无法更新自己的密钥固件，该漏洞将永久存在 4. 攻击者需要物理接触密钥 补充: 新的 YubiKey 密钥固件 5.7 版本开始时间为（2024 年 5 月 6 日） 受影响组件: 英飞凌加密库 处置建议： YubiKey FIDO：为了利用此问题攻击凭证保护用户，攻击者还需要掌握用户验证（UV）因素（即 PIN 或生物识别）。 组织可以考虑使用身份提供商设置来缩短会话长度并要求更频繁地进行 FIDO 身份验证。 YubiKey PIV 和 OpenPGP：用户可以通过使用 RSA 证明证书和使用 OpenPGP 选项来要求使用 PIN 进行签名来缓解问题。 YubiHSM：用户可以使用 RSA 签名密钥来缓解。 时间线：

2024 年 4 月 19 日 NinjaLab 向 Yubico 通报他们的研究 2024 年 5 月 21 日 Yubico 发布 YubiKey 5.7 2024 年 9 月 2 日 Yubico 宣布推出 YubiHSM 2.4 2024 年 9 月 3 日 Yubico 发布报告 YSA-2024-03

补充： 据估计该漏洞在英飞凌安全芯片中存在了 14 年多，所有依赖于在英飞凌安全微控制器上运行的英飞凌加密库的 ECDSA 的产品都会受到攻击的影响。 目前这些攻击实现需要价值数万美元的设备，以及对电气和密码工程的深入了解。攻击的实现难度较高，由于攻击的复杂性，这类攻击可能仅由拥有相当资源的国家级攻击者或其他类似实体执行，且仅限于高度针对性的场景。此类攻击在实际中被广泛使用的可能性极低。 参考资料: arstechnica / Yubico

#security 英飞凌TPM的加密库被发现存在侧信道攻击。有物理接触设备的攻击者可以恢复出存在的ECDSA私钥，需要主动执行签名/验证，需要在线的攻击时间约为1小时，离线攻击时间约为1小时。 侧信道攻击原因为英飞凌的加密库对于扩展欧几里得算法保护实现有缺陷，导致存在计时泄露。因此这次攻击被发现者命名为 EUCLEAK 。 已经确认的影响范围： 1. 英飞凌SLB96xx之后的产品（到这次披露之前） 2. Yubikey 5全系（固件版本<5.7） 3. 飞天诚信 A22 Java Card （飞天诚信说A22这个卡已经不存在了，他们在英飞凌TPM上用的是自己的加密库） source 私货时间：推销 @canokeys ，国产TPM，清华品质，值得信赖