法国GNU/Linux爱好者Stéphane Chazelas于2014年9月中旬发现了著名SHELL实现BASH的一个漏洞,你可以通过构造环境变量的值来执行你想要执行的脚本代码,据报道称,这个漏洞能影响众多的运行在GNU/Linux上的会跟BASH交互的应用程序
2014-09-26 21:33 Shawn the R0ck
恶意软件分析、渗透测试、计算机取证GitHub托管着一系列引人注目的安全工具、足以应对各类规模下计算环境的实际需求。 作为开源开发领域的基石,所有漏洞皆属浅表已经成为一条著名的原则甚至是信条。作为广为人知的Linus定律,当讨论开源模式在安全方面的优势时,开放代码能够提高项目漏洞检测效率的理论也被IT专业人士们所普遍接受。 现在,随着GitHub等高人气代码共享站点的相继涌现,整个开源行业开始越来越多地帮助其它企业保护自己的代码与系统,并为其提供多种多样的安全工具与框架,旨在完成恶意软件分析、渗透测试、计算机取证以
2014-09-12 09:50 Paul Krill, 核子可乐
无论代码审核做的是多么的好,或者验收规格是多高,应用程序始终会有bugs。驱动和文件系统也是这样。Invisible Things实验室的发起人兼CEOJoanna Rutkowsta这样说。 没有人,甚至是谷歌的安全小组,也不能保证发现和修改所有出现在桌面应用程序的漏洞。Rutkowska 在以下的提问采访中说了这样的话。 这也是为什么她和她的团队创建了 Qubes 系统,一个关注安全,基于 Fedora 系统的开源系统,本质上,这个系统是假设 bugs 无处不在。Qubes 能够使用 Xen hypervisor 把应用程序的各个功能点分布在不同的虚拟机上,取代全都运行在一个内核上的
2014-09-20 08:12 popping
2014 年 9 月 24 日,Bash 惊爆严重安全漏洞,编号为 CVE-2014-6271,该漏洞将导致远程攻击者在受影响的系统上执行任意代码。GNU Bash 是一个为 GNU 计划编写的 Unix Shell,广泛使用在 Linux 系统内,最初的功能仅是一个简单的基于终端的命令解释器。这意味全球至少 150 万的主机将受到影响,此外Linux/Unix 世界内的安卓和苹果都难幸免。 破壳漏洞(ShellShock)的严重性被定义为 10 级(最高),今年 4 月爆发的 OpenSSL「心脏出血」漏洞才 5 级! 漏洞描述: GNU Bash 4.3 及之前版本在评估某些构造的环境变量时存在安全漏洞,向环境
2014-09-26 20:59 余弦
Bash爆出远程解析命令执行漏洞(CVE-2014-6271),波及各大Linux发行版与MacOSX系统。漏洞可以直接在Bash支持的Web CGI环境下远程执行任意命令。 bash注入公开之后根据官方的文档发现,攻击者只要保持 $envx='(){:;};echovulnerable'bash-c"echothisisatest" 中前四个字符不改变,也就是'(){ 固定,后面的:;}中符合规定的语法就可以进行攻击测试。虽然漏洞的影响非常大,但是相比于Openssl来说,利用的环境是有限的。 防御bash注入的方法,首先需要更新bash,yum update下就OK了,更新到bash-4.1.2-15。 或者是添加mod_security: Request
2014-09-26 10:28 evil8
用户应该更新他们的系统来修复这个漏洞! Canonical已经在安全公告中公布了这个影响到Ubuntu 14.04 LTS (Trusty Tahr)的nginx漏洞的细节。这个问题已经被确定并被修复了 Ubuntu的开发者已经修复了nginx的一个小漏洞。他们解释nginx可能已经被利用来暴露网络上的敏感信息。 根据安全公告,Antoine Delignat-Lavaud和Karthikeyan Bhargavan发现nginx错误地重复使用了缓存的SSL会话。攻击者可能利用此问题,在特定的配置下,可以从不同的虚拟主机获得信息。 对于这些问题的更详细的描述,可以看到Canonical的安全公告。用户应该升级自己的L
2014-09-28 09:22 Silviu Stahie, geekpi
Debian发布安全公告,发现包管理器APT的文件签名验证存在多个安全漏洞,建议用户升级APT包当然你可以选择用apt-get升级,或者手动下载升级包,自己验证签名然后安装。 包管理器APT的漏洞包括: 不能正确无效化未验证的数据, 不正确验证304回应, 当Acquire::GzipIndexes选项启用时不执行校验和校验, apt-get download命令下载的二进制包没有正确执行验证。 漏洞影响三个Debian版本:squeeze、wheezy和jessie。
2014-09-19 21:17
CVE-2014-6277和CVE-2014-6278终于曝光。 POC: bash -c "f() { x() { _; }; x() { _; } a; }" 漏洞的发现者Michal Zalewski给出了详细的分析,BASH社区补丁还在紧急的修复中,因为涉及backporting中的一些比较蛋疼的问题,预计UPSTREAM得到这个礼拜末才能完成修复工作。也就是说GNU/Linux发行版最早应该会在本周末或者下个礼拜才能修复,在这一段时期特别对于生产环境的服务器是比较危险的。 有2个方法来降低风险: ASLR/PIE/NX/CANARY/RELRO加固Bash重新部署 保证你的机器至少使用了Florian Weimer的补丁。
2014-10-02 17:43
布莱恩福克斯(Brian Fox)驾车从圣巴巴拉(Santa Barbara)来到了波士顿,其车后备箱内放着两卷巨大的磁带。 这些并不是音乐磁带或者视频磁带。它们转载的是电脑软件代码及数据,是专为过去有家具般大小的电脑服务的,就像我们在《Dr. Strangelove》和《Three Days of the Condor》等经典电影中看到的一样。 那一年是1987年,福克斯驾车横跨美国来到了他的新家。他所携带的磁带装载了一个名为Bash的软件程序,而这个程序就是后来在UNIX系统及相关再发行版中随处可见,用于桥接用户与操作系统的重要工具。 福克斯是一名高中辍学生,其平时
2014-09-30 13:46 ROBERT MCMILLAN, 卢鑫
越来越多的公司意识到,要想比对手率先开发出高质量具有创造性的软件,关键在于积极使用开源项目。软件版本更迭要求市场推广速度足够快,成本足够低,而仅仅使用商业源代码已经无法满足这些需求了。如果不能选择最合适的开源软件集成到自己的项目里,一些令人称道的点子怕是永无出头之日了。 然而,使用开源软件也要面对新的挑战。一方面,你的团队从开源软件中汲取力量变得更快更灵活,另一方面,开源代码在传播过程中是否经历了不可控修改、安全性该如何保障的问题也日益凸显了出来。 OpenSSL Heartbleed 漏洞已经证实。如果你不了解你
2014-10-10 21:09 Bill Ledingham, sailing
分享到微信
打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。