XZ-Utils被披露出被投毒植入恶意后门，漏洞编号CVE-2024-3094。可导致受害者机器被远程控制执行恶意操作等危害。

漏洞详情

XZ 是类 Unix 操作系统上的一种无损数据压缩格式，类似于 gzip 和 bzip2 等其他常见数据压缩格式。 XZ-Utils 是一个命令行工具，包含 XZ 文件和 liblzma 的压缩和解压缩功能，liblzma是XZ-Utils依赖的一个压缩库，提供了类似于zlib的编程接口，用于实现LZMA算法，允许开发者在他们的应用程序中集成LZMA压缩和解压缩功能。

阿里云免费SSL证书签发有效期从12个月缩短至3个月：尊敬的用户，根据供应商变更要求，免费证书（默认证书）的签发有效期将由12个月缩短至3个月。 免费证书（升级证书）的有效期不会改变。

腾讯与免费SSL证书签发有效期也从12个月缩短至3个月：接证书厂商通知，2024年4月25日以后，免费SSL证书有效期将从12个月缩短至3个月。

包括Google在内的国际顶级科技公司一直都有在推进免费证书90天有效期的建议，免费证书加密等级低，难以应对今天日益复杂的网络环境，90天一更新有助于及时发现可能存在的安全漏洞，从而降低风险。从成本上面来考量的，一年期的证书从免费调整为几十到几百元，对于证书服务商来说成本就可控的多，可以更好的为付费用户提供售后服务，从而形成良性循环。

因为要通过脚本来更新SSL证书，所以需要知道群晖DSM SSL证书的路径。

群晖DSM以下操作请在root账号权限下使用SSH

1、SSL证书根目录

/usr/syno/etc/certificate/

2、所有SSL证书目录

/usr/syno/etc/certificate/_archive/

以下是小米手机HyperOS或MIUI系统的隐藏代码（持续更新）：

1、生成Bug报告

*#*#284#*#*

2、查看设备串号（IMEI和MEID号码）

*#06#

QQ空间很多地方需要使用token作为url参数才能成功获取数据，那么如何计算token（g_tk、bkn）就成了必须要解决的问题。

1、查找token加密文件

浏览器访问QQ空间，并用开发者工具抓包数据，先通过token字符串全局搜索token可能出现在的文件或者js，然后通过详细查看获知getACSFToken函数是生成token的关键，并打开具体的js文件，interface_mini.js和qzfl_v8_2.1.65.js都有该加密算法。

Bug描述

Emlog注册会员后台可以通过后台评论回复评论的接口doreply伪造Post数据，可以绕过评论审核，直接发布评论到文章下，包含不存在的文章。

Bug影响

中度影响，如果发布违规信息，会有关站风险。

Bug描述

Emlog的注册会员直接访问http://77bx.com/admin/article_save.php会直接报错，泄露数据库语句。

Bug影响

目前影响不大，应该没有可利用的空间，只是这个是由于是空值导致的报错。

Bug描述

通过访问http://*.77bx.com/content/plugins/tpl_options/views/upload.php就会暴漏文件路径。

Bug影响

只要有模版设置插件的都会收到这个Bug的影响，只会暴露文件路径，影响不是太大。

Bug描述

用户后台虽然开启了验证码，但是验证码失效机制有问题，可导致无线次数的暴力破解，对于恶意攻击者来说破解是时间问题。

Bug影响

emlog Pro 1.2.0+（目前只检测到1.2.0，之前是否有问题未知）

因为emlog验证码正确后不会在对该验证码失效，再加上验证码是由于checkcode.php生成，如果禁止该连接访问，验证码正确就只可以实现多次有效验证。

Bug描述

后台配置了邮件通知，通过构造POST语句可以给任何邮件发送验证码，虽然这个验证码不会导致任何问题，但是这个接口不需要任何手段发送给任何邮件，也没有任何间隔，可以很简单的导致PHP占用过高。

Bug过程

受影响的版本：emlog pro 2.0.0+

1、通过Post工具，直接Post mail=邮箱到http://www.77bx.com/admin/account.php?action=send_email_code直接绕过验证码发送验证码邮件。