这周自托管社区又爆出猛料:一个开源项目被恶意利用,直接钓了14,000人;与此同时,Gitea/Forgejo的私有容器镜像漏洞、Gogs的RCE零日漏洞也让人后背发凉。安全与实用并存,才是HomeLab的生存之道。
1. 开源项目被用来钓鱼14,000人#
一位开发者发现自己的开源项目被钓鱼团伙利用,直接骗了14,000人。这提醒我们:开源虽好,但部署时一定要检查默认配置,别让好心变坏事。 原文链接
2. Gitea/Forgejo私有容器镜像从未真正私有#
安全研究员发现Gitea和Forgejo的私有容器镜像存在漏洞,导致私有镜像可能被公开访问。请立即更新到最新版本,别让代码仓库裸奔。 原文链接
3. Gogs曝出严重RCE零日漏洞,至今未修复#
如果你还在用Gogs,赶紧换掉!一个未公开的RCE零日漏洞已经在野外被利用,官方尚未发布补丁。Forgejo和Gitea是更安全的选择。 原文链接
4. 用Anubis保护你的Mastodon实例免受AI机器人骚扰#
AI机器人正在疯狂爬取Mastodon?试试Anubis,一个轻量级验证工具,能有效过滤掉自动化攻击,而且完全自托管。 原文链接
5. 六款自托管书籍服务器横向评测:最高支持15万册#
有人实测了6款自托管书籍服务器(如Calibre、Kavita等),对比了导入速度、内存和CPU占用。结果出乎意料,Kavita在大量书籍时表现最优。 原文链接
6. TrailBase 0.28发布:单文件Firebase替代品,现已支持PostgreSQL#
TrailBase是一个超快的Firebase开源替代,新版加入了PostgreSQL支持,一个二进制文件搞定后端,适合快速搭建应用原型。 原文链接
7. 用M5Stack + OBD2自动同步车辆里程到LubeLogger#
一位硬核玩家用M5Stack Tab5、蓝牙OBD2和WireGuard,在汽车熄火时自动将里程数据推送到自托管的LubeLogger,堪称HomeLab与物联网的完美结合。 原文链接
8. Dovecot 2.4.4修复5个安全漏洞,请立即升级#
邮件服务器用户注意:Dovecot新版本修复了5个安全漏洞,包括一个可能被远程利用的高危漏洞。别让你的邮件服务器成为后门。 原文链接
这周的主旋律是“安全补丁打起来”,从Gitea到Dovecot,从Gogs到钓鱼攻击,每一行代码都可能成为突破口。自托管玩家,记得常更新、勤备份!
