设为首页收藏本站

LUPA开源社区

 找回密码
 注册
文章 帖子 博客
LUPA开源社区 首页 开源热点 查看内容

LUPA开源周刊:黑鸭子开源报告 Ubuntu创始人发飙

2018-5-27 16:32| 发布者: joejoe0332| 查看: 11472| 评论: 0|原作者: LUPA开源社区|来自: LUPA开源社区

摘要: Black Duck Software审计了超过1000个商业代码库,发现96%含有开源组件,平均每个程序含有257个组件,代码库里开源组件的比例从36%增长到了57%,显示私有软件使用开源代码的比例在增长。Canonical CEO和Ubuntu创始人 ...


  一名 Google 安全研究人员在 Red Hat Linux 及其衍生版(如 Fedora 操作系统)的 DHCP 客户端中发现了一个严重的远程命令行注入漏洞。该漏洞编号为 CVE-2018-1111,可能会使得攻击者在目标系统上以 root 权限执行任意命令。


  当你的系统加入网络,DHCP 客户端应用程序会让你的系统从 DHCP(动态主机配置协议)服务器自动接收网络配置参数,例如 IP 地址和 DNS 服务器。此漏洞驻留在 DHCP 客户端软件包包含的 NetworkManager 集成脚本中,该软件包被配置为使用 DHCP 协议来获取网络配置。

  来自 Google 安全小组的 Felix Wilhelm 发现,攻击者使用恶意 DHCP 服务器或与受害者连接到同一网络,可以通过欺骗 DHCP 响应来利用此漏洞,最终使得他们在受害者运行易受攻击的 DHCP 客户端的系统上执行具有 root 权限的任意命令。

  虽然漏洞的全部细节尚未公布,但 Wilhelm 声称他的 PoC 漏洞利用代码很短,甚至可以放入推文中。与此同时,来自土耳其的安全研究员 Barkın Kılıç 已经在 Twitter 上发布了一个针对 Red Hat Linux DHCP 客户端漏洞的概念验证代码。更多内容,请关注本次专辑。

  据外媒报道,黑客发现了一种在运行开源 CMS 系统 WordPress 的网站上安装后门插件的前所未有的方法,这个方法依赖于使用弱保护的 WordPress.com 帐户和 Jetpack 插件。这个方法非常复杂,为了拿下一个网站,黑客必须经历不同的步骤,并且在此过程中,多件事情的出现就会导致攻击失败。尽管如此,据 WordPress 的报告,自 5 月 16 日后,依然出现不少被攻击的案例。


  攻击步骤大致如下:黑客从其他地方泄露的用户信息中获取用户名和密码,并尝试登录 WordPress.com 帐户(如果用户在多个平台使用相同密码并且没启用双因子认证会特别容易受到攻击);黑客通过 Jetpack 安装后台插件,它是 WordPress 网站最受欢迎的插件之一。该插件的特点是能够将自主托管的 WordPress 网站连接到 WordPress.com 帐户。

  Jetpack 提供的功能选项之一是可以从 WordPress.com Jetpack 仪表盘跨不同站点来安装插件。该插件甚至不必在官方的 WordPress.org 存储库中托管或隐藏,攻击者可以轻松上传带有恶意代码的 ZIP 文件,然后将其发送到每个站点。

  安全专家称,攻击从 5 月 16 日开始,黑客部署了一个名为"pluginsamonsters"的插件,后来在 5 月 21 日切换到另一个名为"wpsmilepack"的插件。目前受感染网站的数量未知,并且检测受感染网站也很困难。

  Mozilla 开发人员正在为 Firefox 浏览器开发一款改进的 Tracking Protection 系统,该系统将于 10 月中旬在 63 版发布。跟踪保护功能(Tracking Protection)可阻止 Firefox 从恶意跟踪器加载脚本。 它几年前首次使用 Firefox 的隐私浏览模式推出,但自 2017 年 11 月发布 Firefox 57 以来,用户可以随时启用它进行正常浏览会话。


  在默认情况下,跟踪保护功能(Tracking Protection)不启用,要启用正常浏览会话的保护功能,用户必须访问Firefox的设置>>隐私部分,然后按开/关按钮。由于它深埋在 Firefox 的设置中,很少有人甚至知道它存在,更不用说他们可以在私人浏览窗口之外使用它了。

  为了向用户推广此功能,Mozilla 工程师目前正在对 Firefox 用户界面进行更改,以允许任何人随时从 Firefox UI 的各个区域启用 Tracking Protection。其中包括显示 HTTPS 信息的下拉式安全面板或可从浏览器右上角触发的下拉式菜单。

  除了对用户界面的改变之外,Firefox 开发者也在改进其功能。 Firefox 浏览器的“设置”>>“隐私”部分现在具有增强型“跟踪保护”面板,该面板还允许用户选择可启用的反跟踪功能。更多内容,请关注本次专辑。

  欧盟全新的《通用数据保护条例》(GDPR)于5月25日正式生效。GDPR为欧盟公民在了解他们信息如何使用方面确保了更多权利,是欧盟立法者为限制科技公司权力所做的诸多努力之一。根据这项新的规定,在欧盟运营的公司——或任何位于该区域内的组织或俱乐部——必须获得明确同意之后才能收集个人信息,否则将面临巨额罚款。


  什么是《通用数据保护条例》(GDPR)?欧盟立法者于2016年4月通过了GDPR,里面明确规定:滥用或不当处理个人信息将面临高达2000万欧元(约合2340万美元或1750万英镑)的罚款,或者公司全球营业额的4%。英国将于2019年正式脱离欧盟。届时,一项新的数据保护将纳入GDPR的规定内,并进行细微调整。

  目前,所有的欧盟公民都有权查看公司拥有他们的哪些信息,并可以选择删除这些信息。公司必须更加积极地在收集和使用数据之前获得用户同意,理论上终结了单纯地勾选“我同意上述条款和条件”的操作。公司还必须告知所有受影响用户有关任何数据泄露的事情,并在72小时通知到监管机构。

  法律专家表示,Facebook 和谷歌都已经违反了这项新规,甚至已经遭到起诉。倘若欧洲监管者认定这两家公司的确违规,他们就有可能面临数十亿美元的罚款。“我们正在寻找那些故意违反这项法律的大公司,也就是那些试图忽略和逃避这项法律的公司。”

  更多本周开源资讯,本次专辑将为您一一呈现……

黑鸭子开源报告:私有软件使用开源代码的比例在增长

  Black Duck Software 审计了超过 1000 个商业代码库,发现 96% 含有开源组件,平均每个程序含有 257 个组件,代码库里开源组件的比例从 36% 增长到了 57%,显示私有软件使用开源代码的比例在增长,很多私有程序包含的开源代码比私有代码更多。

为推自家云服务,Ubuntu创始人呛声红帽和VMware

  Canonical CEO 和 Ubuntu 创始人 Mark Shuttleworth 表示 Canonical 的 OpenStack 产品比 Red Hat 或 VMware 的 OpenStack 产品更好。近日,在加拿大温哥华举行的 OpenStack 峰会上,Canonical CEO 和 Ubuntu 创始人 Mark Shuttleworth 在进行演讲时突然向他的两家主要企业 OpenStack 竞争对手 Red Hat 和 VMware 毫不留情地“开火”。

GNOME透露神秘捐赠者,将分两年收到100万美元

  GNOME 开发团队刚刚宣布了一个好消息,因为有位神秘人士承诺会分两年时间、向非盈利性质的 GNOME 基金会捐赠 100 万美元,以推动这款广泛使用的 Linux 桌面环境的发展。GNOME 基金会执行总监 Neil McGovern 表示:“我们对被给予的信任感到荣幸,并将努力去证明 GNOME 项目是值得被信任的。这笔特殊的捐赠将使我们能够更广泛地支持 GNOME 项目,解决自由软件社区面临的关键挑战”。


酷毙

雷人

鲜花

鸡蛋

漂亮
  • 快毕业了,没工作经验,
    找份工作好难啊?
    赶紧去人才芯片公司磨练吧!!

最新评论

关于LUPA|人才芯片工程|人才招聘|LUPA认证|LUPA教育|LUPA开源社区 ( 浙B2-20090187 浙公网安备 33010602006705号   

返回顶部