F5 的 BIG-IP 防火墙出现 9.8 级严重安全漏洞

上周，F5 披露并修补了一个 BIG-IP 漏洞，黑客可以利用该漏洞执行具有 root 权限的命令。网上可查到的该设备超过 16000 个，F5 称财富 50 强中有 48 家在使用该设备。鉴于 BIG-IP 接近网络边缘，并且作为管理网络服务器流量的设备，它们往往能够看到 HTTPS 保护的流量的解密内容。该漏洞正在被攻击者们积极利用。

消息来源：arstechnica

老王点评：安全设备出现了严重安全漏洞，这可影响非常大。

美国林肯学院因勒索软件攻击而永久关闭

林肯学院宣布将于本周五 5 月 13 日永久关闭，成为第一所因勒索软件攻击而倒闭的美国高等院校。林肯学院以林肯总统的名字命名，1865 年动工，至今有 157 年历史。它经历了两次世界大战、西班牙流感和大萧条，但无法应付新冠疫情和去年 12 月发生的勒索软件攻击。去年 12 月林肯学院遭到了勒索软件攻击，影响到了 2022 年秋季招生。虽然该学校的系统到 3 月完全恢复，但为时已晚，招生缺口巨大。

消息来源：nbcnews

老王点评：就算是百年老校，也禁不住这样折腾啊，这个时代不确定性太多了。

SteamOS 开源分支发布首个版本

SteamOS 是基于滚动发行版 Arch Linux 的。Valve 在三月初释出了 SteamOS 系统恢复镜像，帮助 Steam Deck 用户将掌机恢复到出厂状态。爱好者们随后尝试在普通 PC 上安装 SteamOS，发起了 HoloISO 项目。该项目刚刚释出了首个版本 Ground Zero，可以让 SteamOS 能安装在任何 PC 上。

消息来源：neowin

老王点评：我想，以 Valve 的开放态度，应该是默许支持这样的社区行为的。

特斯拉投资比特币的 15 亿美元账面收益再次化为乌有

根据 CoinDesk 的数据，7 月 20 日，比特币的价格再度跌至 29600 美元，在 24 小时内下跌超过 5%。自 4 月中旬创下近 65000 美元的历史新高以来，其价格已暴跌了 50% 以上。比特币今年以来上涨了 1.87%。

今年 2 月，特斯拉宣布投资 15 亿美元购买比特币，平均价格为 32600 美元。截至一季度末，特斯拉在比特币上账面收益总计为 14.51 亿美元。6 月 22 日，比特币一度跌至 28900 美元，使特斯拉的比特币投资的账面亏损达 1.33 亿美元。7 月 20 日，比特币的价格再度跌至 29600 美元后，如果特斯拉今天卖掉这些比特币，其 15 亿美元的投资也只能做到盈亏相抵。

你猜马一龙会不会马上抛售比特币呢？

Gmail 启用 BIMI 安全功能

邮件认证品牌标识（BIMI）是一项行业标准，旨在为电子邮件生态系统带来更强大的发件人身份验证。认证品牌标识的设计是当一个组织向你发送使用 DMARC 标准认证的电子邮件时，该组织的标志将显示在你的收件箱中。使用发件人政策框架（SPF）或域密钥识别邮件（DKIM）认证其电子邮件并部署 DMARC 的组织可以通过验证标记证书（VMC）向谷歌提供其验证的商标标识。

这只是使 DMARC 更用户友好而已，本质上还是依靠 DMARC 的机制。

存在 6 年的 systemd 安全漏洞被披露

Qualys 发现了一个新的 systemd 安全漏洞，使任何非特权的用户能够通过内核恐慌造成拒绝服务。几乎所有现代 Linux 发行版都使用 systemd。这个特殊的安全漏洞于 2015 年 4 月出现在 systemd 代码中。这种攻击可以由本地攻击者在很长的路径上挂载一个文件系统来实现。这将导致 systemd 堆栈中使用过多的内存空间，从而导致系统崩溃。systemd 的开发者已经修补了这个漏洞。

这是一个严重的安全漏洞，请尽快注意并升级。

据称软银将把 Arm 卖给 Nvidia，价格超过 400 亿美元

据《华尔街日报》报道，Nvidia 将用现金和股票购买 Arm，Nvidia 和 Arm 一直在进行独家谈判，预计下周初完成交易。

来源：zdnet

拍一拍：不知道各国会不会审查通过。

研究人员为防止攻击，将一个重大比特币漏洞保密两年之久

2018 年，一名安全研究人员在比特币区块链的软件 Bitcoin Core 中发现了一个重大漏洞，但在报告了这个问题并进行了修补后，研究人员选择对细节保密，以避免黑客利用这个问题。而在本周，在另一种基于未打补丁的旧版比特币代码的加密货币 Decred 中独立发现了同样的漏洞，并公布了其中技术细节。该漏洞被称为 INVDoS，是一种典型的拒绝服务（DoS）攻击。INVDoS 漏洞还影响 Litecoin 和 Namecoin。

来源：zdnet

拍一拍：为研究人员点赞，发现漏洞而不是公开它搞个大新闻。

是否公开发布安全漏洞（尤其是零日漏洞）的概念验证（PoC）代码历来是备受争议的话题。在代码公开之后往往会被威胁攻击者所利用，在数天乃至数小时内发起攻击，导致终端用户没有充足的时间来修复受影响的系统。而公开这些 PoC 代码的并非坏人或者其他独立来源，而是理论上更应该保护用户的白帽安全研究人员。

围绕着这个争议做法的话题已经持续多年时间，而信息安全领域的专家分成两派。其中一方认为安全研究人员不应该发布 PoC 代码，因为攻击者可以采用该代码并自动化攻击；而另一方认为 PoC 代码同时是测试大型网络和识别存在漏洞系统所必须的，允许IT部门成员模拟未来可能遭受到的攻击。

在上个月发布的“网络安全威胁观 2018 年第四季度”报告中，Positive Technologies 的安全专家再次触及了这场长期争论。

在这份报告中，Positive Technologies 的安全专家并没有给这个争论下判断，而是客观陈述了当前用户面临的安全问题。在漏洞发现的新闻曝光或者零日漏洞的 PoC 代码公开之后，在两种情况下黑客并没有为用户提供充足的时间来修复系统。

在这份季度威胁报告中，Positive Technologies 表示这种情况发生的频率越来越多。在报告中通过罗列了一系列安全事件，表明在PoC代码公开之后会立即被黑客所利用。例如在推特上有安全专家公开了 Windows 系统零日漏洞的 PoC 代码，随后 ESET 安全专家就观测到了此类恶意软件活动。例如在网络上关于中文 PHP 框架的漏洞公开之后，数百万网站立即遭到了攻击。

在接受外媒 ZDNet 采访时候，Positive Technologies 的安全弹性负责人 Leigh-Anne Galloway 表示：

“作为安全行业的一员，我们有责任倡导漏洞公示守则。但是并非所有人都遵循这个原则。同样并非所有安全供应商都知道或者了解。……通常公开披露的驱动因素是因为供应商没有认识到问题的严重性，也没有解决漏洞。或者安全研究人员可能已经尝试了所有其他途径来传达他们的发现。当然，危险的是犯罪分子可能使用此信息来攻击受害者。供应商要求提供证据证明该漏洞实际存在于他们的产品中，并且当研究人员向他们报告漏洞时可以利用这些漏洞。研究人员需要证明它是如何被利用的，为此创建了PoC代码。”

通过 CVSS 系统来标记该漏洞的危险程度。如果供应商向研究人员支付漏洞奖励框架内发现的漏洞，研究人员会从这项工作中赚钱，但供应商通常不会安排他们的 bug-bounty 计划，研究人员可以从中得到的所有内容都是专家社区的公开认可。通过在互联网上演示漏洞，展示操作和 PoC 代码的一个例子，研究人员得到了认可和尊重。

通常情况下，研究人员只有在他们通知供应商有关漏洞的足够长时间后才会发布漏洞利用代码，从而使产品开发人员有机会关闭漏洞并通知用户需要安装升级。但是，很多时候，供应商会推迟发布补丁和更新，有时会延迟六个月以上，因此，在发布补丁之后，[PoC] 漏洞的公示就会发生。

来源：cnBeta.COM

更多资讯

印度外包巨头遭入侵

印度 IT 外包巨头 Wipro 正在调查其 IT 系统遭到入侵，并被用于对其客户发动攻击的报道。Wipro 是印度第三大 IT 外包公司，匿名消息来源称该公司的系统被用于作为起跳点对其数十家客户的系统发动钓鱼式刺探。

来源： solidot.org

详情： http://t.cn/EX9pVxu

微软向 Office 用户提供更多数据收集控制选项

近年来，微软对自家产品和服务引入了更加激进的数据收集政策，但这也惹恼了许多注重隐私的客户。无论是 Windows 10 操作系统，还是 Microsoft Office 生产力套件，均包含了获取遥测数据的功能。但长期以来，用户并不能对数据收集的选项作出太多的调整，更别提轻松的找到相关的设置选项了。不过最近，微软正在酝酿给 Office 用户带来一项新的变化。

来源： cnBeta.COM

详情： http://t.cn/EX9piRr

卡巴斯基报告：70% 的黑客攻击事件瞄准 Office 漏洞

据美国科技媒体 ZDNet 援引卡巴斯基实验室报告称，黑客最喜欢攻击微软 Office 产品。 在 安全分析师峰会 （ Security Analyst Summit ） 上，卡巴斯基表示，分析卡巴斯基产品侦测的攻击后发现，2018 年四季度有 70% 利用了Office 漏洞。而在2016年四季度，这一比例只有16%。

来源： 新浪科技

详情： http://t.cn/EX9pKCN

个人数据保护迈出勇敢一步

新加坡亚洲新闻网 4 月 15 日文章，原题：中国加大对个人数据的保护 长期以来，中国政府部门、商业机构及普通消费者一直在努力应对新兴互联网技术对个人数据保护造成的影响。随着有关问题日益严重，中国正推进制定覆盖国内外企业的国家层面的法律，以保护消费者隐私。

来源： 环球时报

详情： http://t.cn/EX9ppe3

（信息来源于网络，安华金和搜集整理）

在 ELC + OpenIoT 峰会上，英特尔安全架构师 Ryan Ware 将会解释如何应对漏洞洪流，并管理你产品的安全性。

在开发开源软件时, 你需要考虑的安全漏洞也许会将你吞没。 常见漏洞及曝光 Common Vulnerabilities and Exposures （CVE）ID、零日漏洞和其他漏洞似乎每天都在公布。随着这些信息洪流，你怎么能保持不掉队？

英特尔安全架构师 Ryan Ware 表示：“如果你发布了基于 Linux 内核 4.4.1 的产品，该内核截止今日已经有 9 个针对该内核的 CVE。这些都会影响你的产品，尽管事实上当你配载它们时还不知道。”

在 ELC + OpenIoT 峰会上，英特尔安全架构师 Ryan Ware 的演讲将介绍如何实施并成功管理产品的安全性的策略。在他的演讲中，Ware 讨论了最常见的开发者错误，跟上最新的漏洞的策略等等。

Linux.com：让我们从头开始。你能否简要介绍一下常见漏洞和曝光（CVE），零日以及其他漏洞么？它们是什么，为什么重要？

Ryan Ware：好问题。 常见漏洞及曝光 Common Vulnerabilities and Exposures （CVE）是按美国政府的要求由 MITR Corporation（一个非营利组织）维护的数据库。其目前由美国国土安全部资助。它是在 1999 年创建的，以包含有关所有公布的安全漏洞的信息。这些漏洞中的每一个都有自己的标识符（CVE-ID），并且可以被引用。 CVE 这个术语，已经从指整个数据库逐渐演变成代表一个单独的安全漏洞： 一个 CVE 漏洞。

出现于 CVE 数据库中的许多漏洞最初是零日漏洞。这些漏洞出于不管什么原因没有遵循更有序的如“ 责任揭秘 Responsible Disclosure ”这样的披露过程。关键在于，如果没有软件供应商能够通过某种类型的修复（通常是软件补丁）来进行响应，那么它们就成为了公开和可利用的。这些和其他未打补丁的软件漏洞至关重要，因为在修补软件之前，漏洞是可以利用的。在许多方面，发布 CVE 或者零日就像是开枪。在你比赛结束之前，你的客户很容易受到伤害。

Linux.com：有多少漏洞？你如何确定那些与你的产品相关？

Ryan：在探讨有多少之前，以任何形式发布软件的任何人都应该记住。即使你采取一切努力确保你发布的软件没有已知的漏洞，你的软件也会存在漏洞。它们只是不知道而已。例如，如果你发布了一个基于 Linux 内核 4.4.1 的产品，那么截止今日，已经有了 9 个CVE。这些都会影响你的产品，尽管事实上在你使用它们时不知道。

此时，CVE 数据库包含 80,957 个条目（截止至 2017 年 1 月 30 日），包括最早可追溯到 1999 年的所有记录，当时有 894 个已记录问题。迄今为止，一年中出现最大的数字的是 2014 年，当时记录了 7,946 个问题。也就是说，我认为过去两年该数字减少并不是因为安全漏洞的减少。这是我将在我的谈话中说到的东西。

Linux.com：开发人员可以使用哪些策略来跟上这些信息？

Ryan：开发人员可以通过各种方式跟上这些如洪水般涌来的漏洞信息。我最喜欢的工具之一是 CVE Details。它以一种非常容易理解的方式展示了来自 MITRE 的信息。它最好的功能是创建自定义 RSS 源的能力，以便你可以跟踪你关心的组件的漏洞。那些具有更复杂的追踪需求的人可以从下载 MITR CVE 数据库（免费提供）开始，并定期更新。其他优秀工具，如 cvechecker，可以让你检查软件中已知的漏洞。

对于软件栈中的关键部分，我还推荐一个非常有用的工具：参与到上游社区中。这些是最理解你所使用的软件的人。世界上没有比他们更好的专家。与他们一起合作。

Linux.com：你怎么知道你的产品是否解决了所有漏洞？有推荐的工具吗？

Ryan：不幸的是，正如我上面所说，你永远无法从你的产品中移除所有的漏洞。上面提到的一些工具是关键。但是，我还没有提到一个对你发布的任何产品来说都是至关重要的部分：软件更新机制。如果你无法在当场更新产品软件，则当客户受到影响时，你无法解决安全问题。你的软件必须能够更新，更新过程越容易，你的客户将受到更好的保护。

Linux.com：开发人员还需要知道什么才能成功管理安全漏洞？

Ryan：有一个我反复看到的错误。开发人员总是需要牢记将攻击面最小化的想法。这是什么意思？在实践中，这意味着只包括你的产品实际需要的东西！这不仅包括确保你不将无关的软件包加入到你的产品中，而且还可以关闭不需要的功能的配置来编译项目。

这有什么帮助？想象这是 2014 年。你刚刚上班就看到 Heartbleed 的技术新闻。你知道你在产品中包含 OpenSSL，因为你需要执行一些基本的加密功能，但不使用 TLS 心跳，该问题与该漏洞相关。你愿意：

a. 花费时间与客户和合作伙伴合作，通过关键的软件更新来修复这个高度安全问题？

b. 只需要告诉你的客户和合作伙伴，你使用 “-DOPENSSLNOHEARTBEATS” 标志编译 OpenSSL 产品，他们不会受到损害，你就可以专注于新功能和其他生产活动。

最简单解决漏洞的方法是你不包含这个漏洞。

（题图：Creative Commons Zero Pixabay）

via: https://www.linux.com/news/event/elcna/2017/2/how-manage-security-vulnerabilities-your-open-source-product

作者：AMBER ANKERHOLZ 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在开源缓存软件 memcached 修复了三个关键漏洞的八个月之后，仍有超过 70000 台未打补丁的缓存服务器直接暴露在互联网上。安全研究员警告说，黑客可能会在服务器上执行恶意代码或从其缓存中窃取潜在的敏感数据。

memcached 是一个实现了高性能缓存服务的软件包，用于在内存中存储从数据库和 API 调用中获取的数据块。这有助于提高动态 Web 应用程序的响应速度，使其更加适合大型网站和大数据项目。

虽然 memcached 不是数据库的替代品，但它存储在内存中的数据包括了来自数据库查询的用户会话和其他敏感信息。因此，该服务器在设计上并不能直接暴露在互联网等不受信任的环境中，其最新的版本已经支持了基本身份验证。

去年 10 月份，memcached 的开发者修复了由 思科 Talos 部门 安全研究员发现并报告的三个远程代码执行漏洞（CVE-2016-8704、CVE-2016-8705 和 CVE-2016-8706）。所有这些漏洞都影响到了 memcached 用于存储和检索数据的二进制协议，其中一个漏洞出现在 Simple Authentication and Security Layer （SASL）的实现中。

在去年 12 月到今年 1 月期间，成队的攻击者从数万个公开的数据库中擦除数据，这包括 MongoDB、CouchDB、Hadoop 和 Elasticsearch 集群。在很多情况下，攻击者勒索想要恢复数据的服务器管理员，然而没有任何证据表明他们的确对所删除的数据进行了复制。

Talos 的研究人员认为， memcached 服务器可能是下一个被攻击的目标，特别是在几个月前发现了漏洞之后。所以在二月份他们决定进行一系列的互联网扫描来确定潜在的攻击面。

扫描结果显示，大约有 108000 个 memcached 服务器直接暴露在互联网上，其中只有 24000 个服务器需要身份验证。如此多的服务器在没有身份验证的情况下可以公开访问已经足够糟糕，但是当他们对所提交的三个漏洞进行测试时，他们发现只有 200 台需要身份验证的服务器部署了 10 月的补丁，其它的所有服务器都可能通过 SASL 漏洞进行攻击。

总的来说，暴露于互联网上的 memcached 服务器有大约 80%，即 85000 个都没有对 10 月份的三个关键漏洞进行安全修复。

由于补丁的采用率不佳，Talos 的研究人员决定对所有这些服务器的 IP 地址进行 whois 查询，并向其所有者发送电子邮件通知。

本月初，研究人员决定再次进行扫描。他们发现，虽然有 28500 台服务器的 IP 地址与 2 月份时的地址不同，但仍然有 106000 台 memcached 服务器暴露在因特网上。

在这 106000 台服务器中，有大约 70%，即 73400 台服务器在 10 月份修复的三个漏洞的测试中仍然受到攻击。超过 18000 个已识别的服务器需要身份验证，其中 99% 的服务器仍然存在 SASL 漏洞。

即便是发送了成千上万封电子邮件进行通知，补丁的采用率也仅仅提高了 10%。

Talos 研究人员在周一的博客中表示：“这些漏洞的严重程度不能被低估。这些漏洞可能会影响到小型和大型企业在互联网上部署的平台，随着最近大量的蠕虫利用漏洞进行攻击，应该为全世界的服务器管理员敲响警钟。如果这些漏洞没有修复，就可能被利用，对组织和业务造成严重的影响。”

这项工作的结论表明，许多网络应用程序的所有者在保护用户数据方面做得不好。首先，大量的 Memcached 服务器直接暴露在互联网上，其中大多数都没有使用身份验证。即使没有任何漏洞，这些服务器上缓存的数据也存在着安全风险。

其次，即使提供了关键漏洞的补丁，许多服务器管理员也不会及时地进行修复。

在这种情况下，看到 memcached 服务器像 MongoDB 数据库一样被大规模攻击也并不奇怪。

via: https://thenewstack.io/70000-memcached-servers-can-hacked-using-eight-month-old-flaws/

作者：Lucian Constantin 译者：firmianay 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出