開源運動沒有改變世界；英特爾 AMT 發現另一個漏洞

轉自：開源中國、solidot、cnBeta、騰訊科技等

0、開源運動沒有改變世界

今年是開源運動二十周年，但開源有沒有像人們曾經希望的那樣改變世界呢？開源促進會名譽董事、前 Canonical 首席運營官 Matt Asay 認為沒有，因為今天開發的絕大部分軟體仍然是閉源和私有的。

開源二十年來最大的變化是有關軟體的敘事。我們現在能坦然的面對這樣一種觀點：軟體也許應該開源，開源並不是導致世界末日。真正的軟體開源會在未來二十年內發生。

1999 年，Eric Raymond 認為 95% 的軟體開發出來是使用的而不是出售的，因此它們能夠也應該開源，但今天的情況並沒有多少改觀，軟體依舊都是閉源的。今天企業的 IT 基礎設施越來越多的被開源軟體控制，我們開始有理由相信，最具有創新的軟體是開源的。

1、Dubbo 2.6.0 發布，合併了噹噹網提供的 Dubbox 分支

Dubbo 2.6.0 已發布，該版本的更新主要是合併了噹噹網提供的 Dubbox 分支（查看 #1001），有以下值得關注的新特性：

● 支持 REST（通過整合 resteasy）

● 高性能的序列化框架：kryo, FST

● 支持嵌入 Tomcat

為了保持原來的分支，同時作出以下小調整：

● 升級了一些依賴的版本：kryo、FST 和 Tomcat

● 刪除了對核心 RPC 協議的變更以避免兼容性問題（詳情：https://github.com/alibaba/dubbo/releases/tag/dubbo-2.6.0）

2、KBEngine v1.1.2 發布，分散式遊戲服務端引擎

分散式遊戲服務端引擎 KBEngine v1.1.2 發布了。更新如下：新增與改善：

● 客戶端SDK生成器，完成Unity的生成(#532)

● 添加不同客戶端引擎的SDK模板。

● 更新API文檔。

● ......（詳情：https://github.com/kbengine/kbengine/blob/master/HISTORY.md）

3、Java 搜索引擎 Apache Lucene 7.2.0 發布，Bug 修復

Apache 軟體基金會一個開放源代碼的全文檢索引擎工具包Apache Lucene 7.2.0 已發布，該版本的主要更新是 bug 的修復，具體如下：

● 修復由 Lucene54DocValuesProducer 生成的 SortedNumericDocValues 上的 advanceExact

● ......（詳情：http://www.apache.org/dyn/closer.lua/lucene/java/7.2.1）

4、Java 全文搜索伺服器 Apache Solr 7.2.1 發布，重要修復

Apache Solr 7.2.1 已發布，Apache Solr (讀音：SOLer) 是一個開源的搜索伺服器。Solr 使用 Java 語言開發，主要基於 HTTP 和 Apache Lucene 實現。該版本對以下的主要組件進行了升級：

● Apache Tika 1.16

● Carrot2 3.15.0

● Velocity 1.7 and Velocity Tools 2.0

● ......（詳情：http://www.apache.org/dyn/closer.lua/lucene/solr/7.2.1）

5、開源分散式監控解決方案 Zabbix 3.4.6 發布，Bug 修復

Zabbix 3.4.6 已發布，發布主頁顯示該版本沒有新增的特性和改進，主要是對自 Zabbix 3.4.x 以來已知的 bug 進行了修復。具體如下：

[ZBX-13276] fixed compatibility issue with Elasticsearch versions starting from 6.0

[ZBX-12389] fixed latest data host group filter

......（詳情：https://www.zabbix.com/rn3.4.6）

6、Nginx Unit 0.4 beta 發布，修復舊版本出現的回歸錯誤

Nginx Unit 新的測試版 0.4 beta 已發布，官方表示這是一個 bugfix 版本，主要是解決了舊版本中出現的的重要回歸錯誤。主要變化

● Feature: 兼容 DragonFly BSD.

● Feature: 新增 "configure php --lib-static" 選項

● Bugfix: HTTP 請求正文沒有傳遞給應用程序；該錯誤已在 0.3 版本中出現

● ......（詳情：https://www.nginx.com/blog/unit-0-3-beta-release-available-now/）

7、Mozilla 正對 Firefox 新功能 "Tab Warming" 進行測試

Mozilla 目前正在對一項名叫 「Tab Warming」的新功能進行測試，希望由此能夠改善標籤切換的體驗。根據新功能描述，Tab Warming 可以監視用戶的滑鼠游標，並在用戶將滑鼠懸停在標籤上時開始在標籤內「繪製」內容。這樣以來，如果用戶想要點擊並查看該標籤，並且想要保留一個預先呈現的標籤，Firefox 就會執行這項操作。

8、英特爾 AMT 發現另一個漏洞

安全公司 F-Secure 的研究人員披露了英特爾 AMT 的另一個漏洞。Active Management Technology (AMT) 運行獨立的操作系統，能在主機關閉的情況下工作。最新的漏洞允許一名短暫物理訪問設備的攻擊者繞過密碼和身份驗證，獲得系統的永久性遠程訪問許可權。英特爾則聲稱這是 PC 製造商的錯誤，沒有在 BIOS 設置菜單里正確保護 AMT 的設置。

研究人員發現，物理訪問機器的攻擊者可以重啟機器，訪問 BIOS 引導菜單，然後選擇配置英特爾的 Management Engine BIOS Extension (MEBx)，如果 MEBx 沒有被用戶或機構配置，那麼攻擊者可以輸入默認的密碼，然後修改密碼，啟用遠程訪問，設置固件在啟動時不對用戶顯示 opt-in 信息。這一攻擊需要物理訪問設備，但所需時間非常短。

覺得這些資訊有幫助？請轉發給更多人

關注技術最前線，看 IT 要聞

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！