【软件周刊第 20 期】Fastjson 爆出远程代码执行高危漏洞，更新

Fastjson 爆出远程代码执行高危漏洞，更新版本已修复

fastjson 在 1.2.24 以及之前版本近日曝出代码执行漏洞，当用户提交一个精心构造的恶意的序列化数据到服务器端时，fastjson 在反序列化时存在漏洞，可导致远程任意代码执行漏洞。漏洞评级为 “高危”。

风险：高风险
方式：黑客通过利用漏洞可以实现远程代码执行
影响：1.2.24 及之前版本
安全版本：>=1.2.28

更新方法和相关问题可点击标题进行查看。

不过，这哥们儿的关注点引起了我的注意 ——

@懒神：其实我只是好奇，有没有人技术足够好，然后有意创造一些隐性的高危漏洞呢？

Android Studio 2.4 Preview 1 发布

新版本主要有以下的更改：1678121

• 在 Android Studio 2.4 Preview 1 中，已将基本 IDE 从 IntelliJ 2016.2 升级到 2017.1 EAP，并在2016.3和2017.1中添加了一些新特性 --包括参数提示、语义突出，即时搜索结果等等

• Device File Explorer- 在 Android Studio 中直接无缝地查看、修改和与设备文件系统交互。此功能可代替以前通过 DDMS 完成的设备文件系统交互(Dalvik Debug Monitor Server)

@椰子Ashkin：这版本帝我喜欢，Android Studio 不断更新，最后又会反馈给 IDEA，然后这两个越来越强大。不一定能怼赢 VS，但是至少是 IDE 界老二的存在了。

嗯，希望大家都可以少点口水战，像这位 oscer 一样~

LLVM 4.0.0 正式发布，编译器架构

此版本是过去六个月里社区工作的结果，包括以下更新：在 ThinLTO 中使用配置文件数据，更积极的死代码消除，实验性的协同支持，实验性 AVR 目标，LLD 中更好的 GNU ld 兼容性和显著的性能改进，以及改进的优化，许多错误修复等。

LLVM 编译器项目已使用新的版本控制方案，其中第一个编号将随每个主要版本而增加。因此本次发布的版本以后的稳定更新将为4.0.x，下一个主要版本（从现在起六个月后）将为 5.0.0 版本。要了解更多信息，点此查看。

@kidfruit认为：想自己发明语言还是 llvm 更合适，毕竟从设计初就是作为中后端考虑的。

米筐开源量化交易框架 RQAlpha 2.0 发布

新版改进如下：

• 速度：与上一代版本对比，RQAlpha 2.0 平均回测速度提升 5 倍，部分数据调用速度提升 20 倍。
• 数据：期货、股票日数据同步更新，本地 update bundle 即可。
• 功能：保留股票策略，新支持了期货策略，期货与股票的混合策略，用户在构建策略组合的时候拥有更多的选择，同时也能实现期货与现货的对冲。
• 报告：回测可选择生成图形化报告，同时可选择以 CSV 格式保存回测的详细交易信息，持仓信息等。
• 兼容：同时支持 Python 2 与 Python 3.
• 测试覆盖率：稳步提升测试覆盖率，即将提升至 80% 以上。
• 文档：长期维护版本对应的可读性强、简洁优雅的文档。
• 策略：example 目录下涵盖常见技术指标、配对交易、海龟模型等策略助您快速上手量化策略。
• 扩展性：支持以添加 Mod的方式定制需求，甚至替换核心组件，以满足各种不同的量化交易方案。

RQAlpha 架构图

这个项目我只能说不明觉厉……

@Fatboy123表示：民间小小交易员可以拿来玩玩哦。。。上亿规模的都会用自家的了

Kotlin 1.1.1 发布，基于 JVM 的编程语言

本次更新的主要重点是解决不正确代码生成的回归，详细信息可在更新日志中查看.

值得关注的更新如下：

• 默认情况下，启用 Gradle 增量编译。但如果需要，仍然可以按照文档中的说明关闭它。
• Kotlin 插件现在可在Gradle plugin portal中使用。查看文档以了解使用说明
• 使用带接收器的函数类型作为 JavaScript 外部声明的参数类型不再被允许。以前，传递给这些参数的 lambdas 表达式不会使用正确的参数进行调用，因此这个问题没有简单的解决办法，所以现在决定禁用该功能。

除了上述的功能，官方团队还更新了 Kotlin 的Eclipse和NetBeans插件，以引入 Kotlin 1.1.1，所以无论你选择了哪个 IDE，都可以享受新版 Kotlin 带来的好处。

每每出现 Kotlin，都会看到大家拿它Scala 对比

@Dainslef则认为：Scala 调用 Java 没什么问题，跟 Kotlin 一样都是拿来就用。。。
Kotlin 没有自己的集合库，这一点比 Scala 更贴近 Java。
但是其它方面差不了多少，你代码用了 Kotlin 有而 Java 没有的特性，暴露接口给 Java 时一样要写胶水代码。
Kotlin 也简单地试用了下，目前的感觉就是阉割版的 Scala，多数特性都能看到 Scala 的影子。

不知道你们又是怎样的看法呢，来评论区和我们分享吧~

其他热门软件更新

• PyCharm 2016.3.3 发布，重要修复更新
• 新的 Linux 内核修复了 Debian 8 "Jessie" 的安全漏洞
• Apache Struts 2.3.32 GA 发布，修复安全漏洞
• FreeNAS 10 正式发布，更名为 FreeNAS Corral
• Fly Template v2.0 发布，基于 layui 的极简社区模版
• Ubuntu 17.04 似乎将用上新版 Mesa 和 X.Org Server
• jQuery 3.2.0 发布，支持自定义 CSS 属性
• PHP 7.0.17 和 7.1.3 正式发布，多项内容修复
• 赏色 2.0.0 发布，好用的 Windows 屏幕取色器
• Rust 1.16 发布，Mozilla 的编程语言
• 喧喧 1.0.2 发布，修复 bug 提升稳定性
• Adobe Flash Player 25 正式发布

本周开源项目推荐

PHP-ML — PHP 机器学习库

PHP-ML 是 PHP 的机器学习库。同时包含算法，交叉验证，神经网络，预处理，特征提取等。

PHP-ML 要求 PHP >= 7.0。

示例

简单的分类示例：

usePhpmlClassificationKNearestNeighbors;

$samples=[[1,3],[1,4],[2,[3,1],[4,2]];
$labels=['a','a','b','b'];

$classifier=newKNearestNeighbors();
$classifier->train($samples,$labels);

$classifier->predict([3,2]);
//return'b'

原文链接：http://www.52php.cn/article/p-mnwfvfbc-bov.html
责任编辑：开源中国–局长
转载必须在正文中标注并保留原文链接和作者等信息

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!