最近使用Docker下载官方容器镜像的时候,我发现这样一句话: ubuntu:14.04: The image you are pulling has been verified (您所拉取的镜像已经经过验证) 起初我以为这条信息引自Docker大力推广的镜像签名系统,因此也就没有继续跟进。后来,研究加密摘要系统的时候Docker用这套系统来对镜像进行安全加固我才有机会更深入的发现,逻辑上整个与镜像安全相关的部分具有一系列系统性问题。 Docker所报告的,一个已下载的镜像经过验证,它基于的仅仅是一个标记清单(signed manifest),而Docker却从未据此清单对镜像的校验和进行验证。一
2015-01-19 15:36 titanous, tinyeyeser
据路透社报道, 美国国家安全局制造出了可以藏匿在硬盘驱动器中的间谍软件,西部数据、希捷、东芝等顶级制造商生产的硬盘无一幸免。俄罗斯的卡巴斯基实验室表示,该机构利用这种技术可以窃听世界大多数的电脑。卡巴斯基表示,它发现这种间谍程序感染的个人电脑遍布30多个国家,大多数的感染电脑出现在伊朗,其次是俄罗斯、巴基斯坦、阿富汗、中国、马里、叙利亚、也门和阿尔及利亚。监听目标包括政府和军事机构、电信公司、银行、能源公司、核研究人员、媒体和伊斯兰激进分子。 一位前国家安全局员工告诉路透社,卡巴斯基的分析是正确的。
2015-02-17 10:10
"GNU C库(Glibc)是GNU系统的三大基础组件(Linux内核,GCC编译器,GLIBC库),一个名为GHOST(幽灵)的glibc高威胁漏洞已经曝光。 这个漏洞影响到了自从2000年以来的几乎所有的 GNU/Linux 发行版,攻击者可以利用 glibc 中的 __nss_hostname_digits_dots() 函数的堆缓冲区溢出漏洞对GNU/Linux进行远程攻击。这个函数由被大量程序使用的 _gethostbyname() 函数所调用的。 RedHat的安全通告中也确认了该高危远程利用,一个攻击者可以远程利用拿下对端进程当前的权限。 有人在*EMBARGO*结束前就公开了此漏洞信息。 目前从Qualys的安全通告中可
2015-01-28 13:13
那些年困扰Linux的蠕虫、病毒和木马 虽然针对Linux的恶意软件并不像针对Windows乃至OS X那样普遍,但是近些年来,Linux面临的安全威胁却变得越来越多、越来越严重。个中原因包括,手机爆炸性的普及意味着基于Linux的安卓成为恶意黑客最具吸引力的目标之一,以及使用Linix系统作为数据中心服务器系统的机器也在一直稳步增长。但早在2000年之前,Linux恶意软件就以某种形式出现在我们周围了。让我们一起来回顾一下吧。 Staog(1996) 首个公认的Linux恶意软件是Staog,一种试图将自身依附于运行中的可执行文件并获得root访问权限的基本病毒
2015-01-10 20:16 Jon Gold, 沉香玉
图片来源:Natalia Wilson,受Creative Commons许可 安全专家表示,Linux处理权限的方式仍有可能导致潜在的误操作。 但红帽对此不以为然,称 Alert Logic 于本周二(译者注:12月16日)公布的 grinch (鬼精灵) Linux漏洞根本算不上是安全漏洞。 红帽于周三发表简报 回应Alert Logic 说法,表示:(Alert Logic的)这份报告错误地将正常预期动作归为安全问题。 安全公司Alert Logic于本周二声称鬼精灵漏洞其严重性堪比 Heartbleed 臭虫,并称其是 Linux 系统处理用户权限时的重大设计缺陷,恶意攻击者可借此获取机器的root权限。 Alert L
2014-12-29 21:09 Joab Jackson, yupmoon
由于 Android 的开放性,安全问题一直是人们关注的焦点。每当安全公司爆出手机恶意软件,Android 用户都要提心吊胆一番。为此,你或许已经安装了杀毒软件,安装软件也开始小心谨慎了。不过,Android 安全问题真的非常严重吗?我们不妨看看权威人士的看法。近日,Androidcentral 网站邮件采访了 Android 首席安全工程师 Andrian Ludwig,提到了六个方面的问题。 (图片来自tweaktown) Google 扮演了什么角色 在设计 Android 的时候,Google 加入了许多层的安全措施。从系统层面上,有应用沙盒、SELinux、ASLR(地址空间配置随机加载);从
2015-02-16 11:50 积木
什么是好密码?几乎每一个网站都给出了差不多一样的标准: 长度得 8 位以上;需含大小写字母、数字及符号;不要用任何出现在字典里面的词,包括部分替换(如用 p@ssword 或 fai1 也不好)。 只要你的密码满足了这些标准,基本上网站都会奖励你一个绿色的强密码标示好密码。但是实际上你和网站都错了。为什么?原因首先要从密码是如何被破解讲起。 黑客如何破解密码 网站是通过比对输入的密码与数据库中的密码来验证用户的。但是一般这些密码都不是以明文的方式存放,而是用哈希算法对保存的密码进行单向加密,输出的结果是无法逆向工程
2015-02-09 13:34 boxi
X.Org项目发布了一则安全公告,称IOActive的安全研究员Ilja van Sprundel发现了一系列安全漏洞,他与安全团队合作分析验证和修复了这些漏洞。这次X.Org一下子公布了12个CVE(通用漏洞披露),涉及的代码最早可追溯到1987年。 安全公告称,这些漏洞可能会被利用导致X server访问未初始化的内存或覆写X server进程的任意内存,导致拒绝服务如 X server的内存区段错误,或被用于实现任意代码执行。 对于最近一段时间开源项目频繁发现严重bug,有人解释说:开源并不能保证所有bug会被发现,而是保证所有bug能被发现。另外,这种被频繁发现严
2014-12-10 21:35
一位安全专家表示,谷歌已经停止为Android 4.4奇巧以前版本的系统修补核心组件漏洞。他呼吁该公司重新考虑这一政策,因为此举会导致60%的Android用户面临潜在威胁。 本周一,安全厂商Rapid7工程经理托德比尔兹利(Tod Beardsley)表示,谷歌安全团队宣布将不会修复Android 4.3果冻豆或更早版本系统中的WebView漏洞。 WebView是一个操作系统核心组件,用于支持果冻豆中的Android浏览器(谷歌在奇巧系统中用Chrome取代了这款浏览器),而在奇巧及更早版本的系统中还可以被显示网页的应用调用。 所有应用都会用WebView来渲染网页或基于网页的内
2015-01-14 10:05
上周五市场研究公司Ponemon Institute公布的一份调查显示,平均每个大型企业每周都有近17000个恶意软件警报,而筛选发现,被认为是可靠的恶意软件警报只占19%。浪费在甄别恶意软件警报方面的人力物力,让平均每个大型企业每年损失130万美元,最后以致于安全专家只有时间来调查四成的恶意软件警报。 不可靠的警告,在业内被称为误报,多种类型的企业安全系统都有误报问题,这是一个众所周知的事实。通常情况下,安全意识强的用户和IT安全专业人士有2个选择:在他们的安全产品当中打开更多的安全功能,并且花时间甄别这些报警,或者减少安全
2015-01-19 11:05
分享到微信
打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。
标签: