安全漏洞

如何管理开源产品的安全漏洞

如何管理开源产品的安全漏洞

在开发开源软件时, 你需要考虑的安全漏洞也许会将你吞没。CVE ID、零日漏洞和其他漏洞似乎每天都在公布。随着这些信息洪流,你怎么能保持不掉队?
如何让Ubuntu服务器远离鬼影漏洞(GHOST)影响

如何让Ubuntu服务器远离鬼影漏洞(GHOST)影响

2015年1月27日,GNU C库(glibc)的一个漏洞也称鬼影漏洞(GHOST)被公诸于众。总的来说,这个漏洞允许远程攻击者利用glibc中的GetHOST函数的缓冲区溢出漏洞来获得系统的完全控制。点击这里获得更多细节。 鬼影漏洞可在版本在glibc-2.18之前的Linux系统上被利用。也就是说没有打过补丁的版本2.2到2.17都是有风险的。 检查系统漏洞 你可以使用下面的命令来检查glib的版本 ldd –version 输出 ldd (Ubuntu GLIBC 2.19-10ubuntu2) 2.19 Copyright (C) 2014 Free Software Foundation, Inc. This is free software; see the source for copy
WordPress 可以触发 Linux 上的 Ghost 缺陷

WordPress 可以触发 Linux 上的 Ghost 缺陷

建议用户马上更新可用的补丁 这个漏洞之前由Qualys的安全研究员发现,并取了绰号叫Ghost,可以利用WordPress或其他PHP应用来攻击网站服务器。 这个瑕疵是一个缓冲区溢出问题,可以被攻击者触发用来获取Linux主机的命令行执行权限。发生在glibc的__nss_hostname_digits_dots()函数中,它会被gethostbyname()函数用到。 PHP应用可以用来利用这个瑕疵 Sucuri的Marc-Alexandre Montpas说之所以这个问题很重要是因为这些函数在大量软件和服务器系统使用。 说这是个严重问题的一个例子是WordPress本身:它使用一个叫wp_http_validate_url()的函
Tomcat 全系列发现严重安全漏洞

Tomcat 全系列发现严重安全漏洞

据 Tomcat 安全组确认,Tomcat 全系列产品均被发现严重安全漏洞:CVE-2014-0227 请求夹带漏洞。 级别:严重 受影响版本: Apache Tomcat 8.0.0-RC1 to 8.0.8 Apache Tomcat 7.0.0 to 7.0.54 Apache Tomcat 6.0.0 to 6.0.41 描述:可以通过构造一个截断请求而在请求数据中夹带一个新的请求。 解决方案 升级到最新版本: 升级到 Apache Tomcat 8.0.9 及其以上 升级到 Apache Tomcat 7.0.55 及其以上 升级到 Apache Tomcat 6.0.43 及其以上(6.0.42 包含了该修复,但是并未发布)
Bash 惊现年度最大安全漏洞!

Bash 惊现年度最大安全漏洞!

Linux 用户今天又得到了一个惊喜! Red Hat 安全团队在 Linux 中广泛使用的 Bash shell 中发现了一个隐晦而危险的安全漏洞。该漏洞被称作Bash Bug或Shellshock。 当用户正常访问,该漏洞允许攻击者的代码像在 shell 中一样执行,这就为各种各样的攻击打开了方便之门。而且,更糟糕的是该漏洞已经在 Linux 中存在很久了,所以修补某个 Linux 机器很容易,但是要全部修补,几乎不可能完成。 Red Hat 和 Fedora 已经发布了针对该漏洞的修补程序。该漏洞也会影响 OS X,不过苹果公司尚未发布正式的修补程序。 这个 Bash 漏洞可能比 Heartble
Ubuntu 14.04中Dpkg的漏洞已被修复

Ubuntu 14.04中Dpkg的漏洞已被修复

Canonical宣布存在于Ubuntu 14.04 LTS,Ubuntu 13.10,Ubuntu 12.10,Ubuntu 12.04 LTS以及Ubuntu 10.04 LTS操作系统中的dpkg漏洞已经被修复。 Canonical公司刚刚放出dpkg包的一个更新,修复了这个用于所有Ubuntu版本的重要软件中的一个问题。 我们发现这个问题出现在dpkg在解压源码包的时候,它会使dpkg不能正确地处理某些补丁。如果一位用户或一个自动化系统被欺骗而解压了特别修改过的源码包,远程攻击者就能修改目标解压路径之外的文件,导致拒绝服务攻击或潜在的获取系统权限的风险。安全通知中这样写道。 想了解这个问题的更多细节
新的OpenSSL分支未包含Heartbleed漏洞,但需要认真看待

新的OpenSSL分支未包含Heartbleed漏洞,但需要认真看待

摘要:当被最新的OpenSSL安全问题困扰时,你最好解决它,虽然它并不像Heartbleed那样糟糕。 这一周对于开源的Secure Socket Layer (SSL)来说真是糟糕的一周。 首先,GnuTLS低调的宣称,存在一个不大但确实存在的缺陷。然后,大范围流行的OpenSSL被发现包含一个中间人漏洞。在Heartbleed漏洞惨剧后,OpenSSL该醒醒了。 这个漏洞,根据谷歌高级软件工程师Adam Langley描述,已经至少存在了15年时间。可惜Core Infrastructure Initiative(CII)提供了让更多的程序员来拯救OpenSSL的资金,却尚未来得及发挥作用。 也就是说这个漏洞依然是和
Ubuntu修复了14.04 LTS 上锁屏的安全漏洞

Ubuntu修复了14.04 LTS 上锁屏的安全漏洞

Canonical公司已经修补了Ubuntu 14.04 LTS上一个重大的安全漏洞 这个漏洞可能让攻击者不需要输入密码而获取一个用户账户。 锁屏绕开问题在本周早些时候已经发表在了Launchpad上,漏洞修复现在已经发布。 它描述了一种方法,通过这个方法可以在没有授权的情况下访问那些使用新的Unity锁屏并处于锁屏状态的用户账户。 如何做呢?右键点击指示器程序直到Alt+F2快捷键能奏效。这时,你就可以发出命令,打开程序,访问日期,甚至通过运行compiz replace命令打开会话。 漏洞演示的一个视频可以在YouTube上看到。 这个漏洞的攻击仅能影响到本地
Ubuntu 10.04 LTS受到Linux新内核漏洞影响

Ubuntu 10.04 LTS受到Linux新内核漏洞影响

几天前,Canonical宣布了一个关于安全方面的通告,Ubuntu 10.04 LTS(Lucid Lynx)的更新的内核修复了之前发现的四个安全漏洞。 这四个内核漏洞是:CVE-2013-1060, CVE-2013-1943, CVE-2013-2206, CVE-2013-4162 。