【安全公告】Intel 处理器安全漏洞公告

最近 Intel 被爆出芯片硬件设计层面的漏洞,可能导致系统信息泄露、应用跨界访问内核数据等问题。由于涉及到的 CPU 产品线涵盖 1995 年出厂的几乎所有 Intel CPU 芯片,不可能进行全球召回处理,因此只能在系统层打补丁修复这一问题。针对本次安全事件我们已经安排好运算节点修复日程表,具体时间细节请阅读近期群发的短信、邮件通知。本文将对漏洞补丁做汇总方便用户更新虚拟机系统。 继续阅读【安全公告】Intel 处理器安全漏洞公告

Hostker 香港区域开源镜像站上线啦

现在起新开的运算型云服务器将会默认启用我们的香港区域内网开源镜像站进行更新,目前我们已经同步 CentOS 6 / 7 ,Ubuntu 16,Debian 8 这几个系统的主要更新源。每日凌晨 1 时与上游同步。

老用户可通过以下命令使用内网更新源: 继续阅读Hostker 香港区域开源镜像站上线啦

用 PHP 实现 WebSocket 服务

聊天室、游戏等场景躲避不了服务器主动下发消息。通常 PHP 的生命周期都是在一个 HTTP 请求结束之后就会跟着结束,在连接没有断开的情况下,一个请求就会咬住一个进程不放开。这种情况用阻塞 HTTP 请求来等待服务器下发消息就显得很蠢。不过作为世界上最好的语言,PHP 当然是有解的,Hostker 为开发者实现了 WebSocket 服务。 继续阅读用 PHP 实现 WebSocket 服务

httpoxy 漏洞在 PHP 环境的说明

这两天一直有小伙伴询问这个漏洞的问题,在这里用团队博客解释一下。这个漏洞对中国大陆的 PHP 用户几乎不存在影响。

在 PHP 环境,HTTP 请求的 Header 会加上 HTTP_ 前缀并放到环境变量和 $_SERVER、$_ENV 中。因此如果发出 Porxy 头部,就会变成 HTTP_PROXY 增加到 PHP 的环境变量中。

极个别的 HTTP 客户端实现有可能会直接读取环境变量的 HTTP_PROXY 头部作为代理,从而导致 PHP 在访问外部 HTTP 的时候数据被绕到这个指定的代理上。目前已知的受影响的库有 Guzzle (已在 4 天前修复)、Artax(本文发布的 13 小时前修复),直接在 PHP 中使用 curl、file_get_contents 并没有任何影响。

以上,就是这个漏洞对 PHP 造成的问题。可以说在中国大陆除了 Composer 依赖(Laravel 等)之外应该没什么人使用那两个库,即使有问题及时升级也可以解决,因此对主流开源程序影响几乎为0。

※ 关于 Python、Golang,内置的 HTTP Client 就有影响,具体参考漏洞官方说明