Skip to main content

碎碎念

碎碎念
碎碎念
Haotian C. Official Channel
blog.vayki.com

  1. 中国证监会拟对老虎、富途、长桥依法处罚

    中国证监会5月22日宣布,Tiger Brokers(NZ)Limited、富途证券国际(香港)有限公司、长桥证券(香港)有限公司的非法跨境展业行为,违反了中国证券基金期货法律法规,破坏了市场秩序,必须坚决予以打击。依据相关规定,中国证监会拟决定没收老虎、富途、长桥境内外相关主体全部违法所得,并依法严厉处罚。

    下一步,证监会将继续坚决落实监管“长牙带刺”、有棱有角要求,严厉打击境外机构在境内非法经营证券业务等违法行为,全力维护资本市场秩序和稳定。

    —— 财联社

  2. 京东上线 AI 硬件京东自营专区 多款遭受制裁硬件现可恢复购买

    京东开设“AI 硬件京东自营专区”,首批上架 NVIDIA GeForce RTX 5090 32G 涡轮版、RTX PRO 6000 Blackwell 服务器版及 H100 等硬件

    RTX 5090 涡轮版为无阉割全球统一规格;RTX PRO 6000 面向专业渲染与数据中心;H100此前更是因制裁而暂停对华出口。

    店铺 | NVIDIA RTX 5090 32G

    🌸 在花频道 · 茶馆讨论 · 投稿通道

  3. 美国放行 H200 对华销售,英伟达寻求在华突破

    路透社报道,美国商务部已批准约 10 家中国企业购买英伟达 H200 芯片,相关买家包括阿里巴巴、腾讯、字节跳动、京东等,联想和富士康等分销商也获得许可,单一客户最多可购买 7.5 万颗。但截至目前尚未有任何交付完成,部分中国企业在北京方面的指导下转趋谨慎。黄仁勋此次访华被视为推动交易落地的重要尝试。报道指出,这一进展反映出中美科技竞争持续加剧,也显示中国在进口高端芯片与发展国产 AI 芯片之间的权衡。

    路透社

    🌸 在花频道 · 茶馆讨论 · 投稿通道

  4. NGINX 曝严重远程代码执行漏洞,潜伏代码库 18 年,全球数亿服务器面临风险

    2026 年 5 月 13 日,安全研究机构 depthfirst 与 F5 联合披露了 NGINX 中一个编号为 CVE-2026-42945 的严重漏洞,CVSS v4.0 评分达 9.2。该漏洞属于堆缓冲区溢出类型,存在于 ngx_http_rewrite_module 模块中,最早可追溯至 2008 年引入的代码逻辑,在代码库中潜伏长达 18 年。

    漏洞根源在于脚本引擎两遍执行流程中的状态不一致:
    当 rewrite 指令的替换字符串中含有问号时,引擎内部标志位 is_args 会被置为 1 且不会重置。第一遍(长度计算)使用全零初始化的子引擎,以未转义长度分配内存;第二遍(数据拷贝)则在主引擎上执行,对 URI 中的特殊字符进行转义扩展,每个字符可由 1 字节膨胀至 3 字节,实际写入量超出已分配缓冲区,造成堆溢出。攻击者无需身份认证,仅需向含有特定 rewrite 配置模式的服务器发送精心构造的 HTTP 请求,即可触发该漏洞。进一步利用时,攻击者可通过控制连接时序实施堆内存布局操纵,并借助 POST 请求体注入任意二进制载荷,最终实现对 NGINX Worker 进程的远程代码执行。


    受影响版本覆盖范围极广:
    NGINX Open Source 0.6.27 至 1.30.0 全系,NGINX Plus R32 至 R36,以及 NGINX Instance Manager、F5 WAF for NGINX、NGINX App Protect WAF/DoS、NGINX Gateway Fabric、NGINX Ingress Controller 等多个企业级产品均受影响。

    由于上述产品被大量部署于云原生 Kubernetes 集群的 Ingress 层及 API 网关场景,实际暴露面涉及全球数以亿计的生产服务器。

    已发布修复版本:NGINX Open Source 用户应升级至 1.31.0 或 1.30.1,NGINX Plus 用户应升级至 R36 P4 或 R32 P6,升级后需重启服务使补丁生效。对于暂时无法升级的用户,可通过将配置中所有未命名捕获组($1、$2)替换为命名捕获组的方式规避触发条件。排查方法为:确认已安装的 NGINX 版本区间,并在配置文件中检索同时含有未命名捕获组与问号替换字符串的 rewrite 指令。

    DepthfirstNVD

    🌸 在花频道 · 茶馆讨论 · 投稿通道