BUF早餐铺 | 新加坡国防部付费邀请白帽子寻找漏洞;npm 更新导致 Linux 系统崩溃;Whatsapp联合创…

综合技术 2018-02-24 阅读原文

正月新阳生翠琯。花苞柳线春犹浅。

各位 Buffer 早上好,今天是 2018 年 2 月 24 日星期六,农历正月初九。年后开工大吉大利,也要记得好好吃早餐哦。今天份的 BUF 早餐主要有:新加坡国防部付费邀请白帽子寻找漏洞,加固政府网络安全; PHP 社区开始采取措施禁止安装漏洞未修复的库; npm 更新导致 Linux 系统崩溃,迫使用户重装系统; 僵尸网络 Mirai 变种在被感染的设备上设置代理服务器; Whatsapp 联合创始人向加密通信应用 Signal 投资 5000万美元;代码签名证书交易市场繁荣但价格过高让大部分黑客难以承受; 闽赣湘滇多地排查官网泄露个人隐私,删除信息上千条。

以下请看详细内容:

【国际时事】

新加坡国防部付费邀请白帽子寻找漏洞,加固政府网络安全

2018 年 1 月中旬到 2 月上旬,新家坡国防部邀请数百名白帽子对其网站进行攻击测试,以寻找漏洞、加固政府网络安全。项目结束时,新家坡政府共为此支付奖金 14750 美元。

新家坡政府此举并非无风起浪而是事出有因。2017 年,新家坡国防部某 web 端口遭入侵,约 850 名军人等雇员个人信息遭黑客窃取,这引起了政府部门对于网络安全的重视。因此,新家坡国防部在 2018 年伊始就在 HackerOne 上发起了这个漏洞奖励项目。项目中共提交了 97 份漏洞报告,不过有 35 份被宣布无效。其中最出色的白帽子是来自新家坡安永公司的网络安全经理,获得了 5000 美元的奖金。[来源: SecurityWeek ]

PHP 社区开始采取措施禁止安装漏洞未修复的库

近日,PHP 社区里有一群影响力较大的成员开始自发形成了 FriendsOfPHP 组织,发起名为 PHP Security Advisories Database(PHP 安全顾问数据库)的新项目保护 PHP 生态系统的安全。项目成员创建了一个包含影响 PHP 项目和库的已知漏洞数据库,以便帮助使用者判断 PHP 项目或库是否安全。目前,这个数据库已经被纳入一个可以兼容任何 PHP 项目的 PHP 代码库,可以为各种 PHP 项目提供安全保护参考。

利用这个数据库,可以检测出漏洞未修复的代码库,帮助开发者避开漏洞,构建更安全的 PHP 项目。[来源: bleepingcomputer ]

【漏洞攻击】

npm 更新导致 Linux 系统崩溃,迫使用户重装系统

最常用的 JavaScript 包管理器 nmp 新版本 5.7.0 中出现了一个漏洞,会更改 Linux 系统中关键文件如 /etc, /usr, /boot 等的所有者权限,导致系统或多个本地应用崩溃,还可能导致系统无法重启。

安装了 nmp 新版本的用户必须重装系统才能解决上述问题。有一位受影响的用户称,配置 nmp 更新后,已经有三台生产服务器崩溃了,而其他用户也报告了类似问题。事实上,这个漏洞在上周就已经有用户上报过了,但一直没有修复。这两天问题严重之后,nmp 团队终于有所反应,发布了移除漏洞代码的 5.7.1 修复版本( http://blog.npmjs.org/post/171169301000/v571 )。[来源: bleepingcomputer ]

僵尸网络 Mirai 变种在被感染的设备上设置代理服务器

安全公司飞塔最近检测到,臭名昭著的僵尸网络 Mirai 又出现新变种 OMG,保留了 Mirai 的大部分属性(attack、killer 和 scanner模块),且可以在被感染的 IoT 设备上设置代理服务器。OMG 与 Mirai 的不同之处在于,OMG 配置中多了两个字符串,可以添加防火墙规则,能确保任意两个端口上的流量传播。

初始配置之后,OMG 会连接到 50023 端口上的 C&C 服务器,连接成功之后,OMG 会向服务器发送已确认的数据消息,将自己定义为新僵尸。而服务器会发回一个 5 字节的场数据字符串,第一个字节代表的是新僵尸设备的使用方式:0 代表将新设备设置为代理服务器;1 代表发起攻击,而 >1 则代表终止连接。

飞塔公司表示这是第一次检测到既能发起 DDoS 攻击又能将被攻击设备变成代理服务器的僵尸病毒,“可以预见,未来基于 Mirai 的表中还会出现其他新的功能”。[来源: SecurityWeek ]

【行业动态】

Whatsapp 联合创始人向加密通信应用 Signal 投资 5000万美元

本周三,加密通信应用 Signal 所属组织 Open Whisper Systems 宣布获得 Whatsapp 联合创始人 Brian Acton 的 5000 万美元投资,并成立 Signal 基金会。

Signal 是一款广受欢迎的加密通信应用,用户达数百万人,而其使用的 Signal 加密协议则涵盖数十亿的用户群。如此成功的产品背后,其实只有一个不到 7 人的团队,其中只有 2 到 3 名全职成员。相关人员表示:有了这次融资,Signal 可以有更丰富的资源去扩展功能并扩大加密通信所覆盖的人群。此次成立的 Signal 基金会是一个 501(c)(3) 非营利组织,此前其财政来源主要依赖新闻自由基金会(Freedom of the Press Foundation)。

投资者 Brian Acton 表示自己很开心能在技术与非盈利领域有所贡献,希望 Signal 基金会能助力未来的合作与发展。[来源: SecurityWeek ]

【其他】

代码签名证书交易市场繁荣但价格过高让大部分黑客难以承受

目前,由于可以让帮助恶意程序绕过安全扫描,代码签名证书的地下交易市场日渐繁荣。但是,交易的高昂价格却又让大多数黑客望而却步。

一直以来,如果恶意软件配置了知名机构颁发的证书和签名,就不易被检测出来。因此,黑客觊觎代码签名证书早已有之。2015 年左右,代码签名证书市场开始出现,售价从 299 美元到 1799 美元不等,这个价格的确不算便宜。

据了解,大部分在地下交易的签名证书都是通过诈骗(社工)的手段获得,真正使用黑客手段窃取的反而不多。[来源: bleepingcomputer ]

【国内新闻】

闽赣湘滇多地排查官网泄露个人隐私 删除信息上千条

去年11月以来,澎湃新闻相继披露了安徽、重庆、湖北、江西等地政府部门官网在公示中存在大面积泄露个人隐私信息的情况,这些公示未对相关人员的身份证号码、手机号码等个人信息作出必要处理。针对其中的一些现象,去年12月7日,人社部、财政部曾发布通知要求,对敏感信息不当公开、涉及个人隐私泄露的问题,要立即采取删除、隐藏、遮挡等补救措施,确保个人信息和隐私安全。

澎湃新闻报道刊发后,相关地方政府部门迅速进行了整改。福建省福安市潭头镇、江西省赣州市宁都县、湖南省郴州市苏仙区、湖南省怀化市辰溪县、云南省楚雄彝族自治州姚安县的政府部门网站此前在公示中同样出现涉嫌泄露个人隐私的信息。目前,上述各地问题网页均已被处理。[来源: 中新网 ]

FreeBuf

责编内容by:FreeBuf阅读原文】。感谢您的支持!

您可能感兴趣的

系列 – 入坑树莓派(一) 树莓派,是一款基于 Linux 的单板机,配上一些可交互的硬件设备(扩展屏、鼠标、键盘等),也就成了一款配置略低的电脑。 目的 电脑能做什么事情...
linux网络基础知识 本文主要整理一些和linux网络相关的零散功能,后续根据需要还会继续补充。 iptables 先看一张图: iptables...
Linux下三种不同方式的提权技巧 介绍: 在渗透测试或者漏洞评估的过程中,提权是非常重要的一步,在这一步,黑客和安全研究人员常常通过exploit,bug,错误配置来提...
AWS Linux DHCPREQUEST On Eth0 导致的宕机问题... 最近几天,博客所使用的 EC2 服务器一直不稳定。最开始,我以为是又双双叕叕叕敠被攻击了。 在重启了多次之后,查看了多次日志之后发现了一个原因:DHC...
《Linux Perf Master》Edition 0.4 发布 《The Linux Perf Master》(暂用名) 是一本关于开源软件的电子书。本书与常见的专题类书籍不同,作者以应用性能诊断入手,尝试从多个不...