编者按：这个消息是几个月前曝出的，也许我们该对基础软件的安全问题更加重视。

谷歌披露的一个严重漏洞影响到了主流的 Linux 发行版。glibc 的漏洞可能导致远程代码执行。

几个月前，Linux 用户都在竞相给一个可以使系统暴露在远程代码执行风险中的核心 glibc 开放源码库的严重漏洞打补丁。这个 glibc 的漏洞编号被确定为 CVE-2015-7547，题为“getaddrinfo 基于堆栈的缓冲区溢出”。

glibc，或 GNU C 库，是一个开放源码的 C 和 C++ 编程语言库的实现，是每一个主流 Linux 发行版的一部分。谷歌工程师们在他们试图连接到某个主机系统时发生了一个段错误导致连接崩溃，偶然发现了 CVE-2015-7547 问题。进一步的研究表明， glibc 有缺陷而且该崩溃可能实现任意远程代码执行的条件。

谷歌在一篇博客文章中写道, “当 getaddrinfo() 库函数被使用时，glibc 的 DNS 客户端解析器易受基于堆栈缓冲区溢出的攻击，使用该功能的软件可能通过攻击者控制的域名、攻击者控制的 DNS [域名系统] 服务器，或通过中间人攻击方式（MITM）进行破坏。”

其实利用 CVE-2015-7547 问题并不简单，但它是可能的。为了证明这个问题能被利用，谷歌发布了论证一个终端用户或系统是否易受攻击的概念验证（POC）代码到 GitHub 上。

GitHub 上的 POC 网页说“服务器代码会触发漏洞，因此会使客户端代码崩溃”。

Duo Security 公司的高级安全研究员 Mark Loveless 解释说 CVE-2015-7547 的主要风险在于依赖于 DNS 响应的基于 Linux 客户端的应用程序。

Loveless 告诉 eWEEK “需要一些特定的条件，所以不是每个应用程序都会受到影响，但似乎一些命令行工具，包括流行的 SSH[安全 Shell] 客户端都可能触发该漏洞，我们认为这是严重的，主要是因为对 Linux 系统存在的风险，但也因为潜在的其他问题。”

其他问题可能包括一种通过电子邮件触发调用易受攻击的 glibc 库 getaddrinfo() 攻击的风险。另外值得注意的是，该漏洞被发现之前已存在于代码之中多年。

谷歌的工程师不是第一或唯一发现这个 glibc 安全风险的团体。这个问题于 2015 年 7 月 13 日首先被报告给了 glibc 的 bug跟踪系统。该缺陷的根源可以更进一步追溯到在 2008 五月发布的 glibc 2.9 的代码提交时首次引入缺陷。

Linux 厂商红帽也独立找到了 glibc 中的这个 bug，而且是在 2016 年 1 月 6 日，谷歌和红帽开发人员证实，他们作为最初与上游 glibc 的维护者私下讨论的部分人员，已经独立在为同一个漏洞工作。

红帽产品安全首席软件工程师 Florian Weimer 告诉 eWEEK “一旦确认了两个团队都在为同一个漏洞工作，我们会合作进行可能的修复，缓解措施和回归测试，我们还会共同努力，使测试覆盖尽可能广，捕捉代码中的任何相关问题，以帮助避免今后更多问题。”

由于缺陷不明显或不易立即显现，我们花了几年时间才发现 glibc 代码有一个安全问题。

Weimer 说“要诊断一个网络组件的漏洞，如 DNS 解析器，当遇到问题时通常要看抓到的数据包的踪迹，在这种情况下这样的抓包不适用，所以需要一些实验来重现触发这个 bug 的确切场景。”

Weimer 补充说，一旦可以抓取数据包，就会投入大量精力到验证修复程序中，最终完成回归测试套件一系列的改进，有助于上游 glibc 项目。

在许多情况下，安全增强式 Linux (SELinux) 的强制访问安全控制可以减少潜在漏洞风险，但是这个 glibc 的新问题例外。

Weimer 说“由于攻击者提供的任意代码的执行，会对很多重要系统功能带来风险。一个合适的 SELinux 策略可以遏制一些攻击者可能会做的损害，并限制他们访问系统，但是 DNS 被许多应用程序和系统组件使用，所以 SELinux 策略只提供了针对此问题有限的遏制。”

在揭露漏洞的今天，现在有一个可用的补丁来减少 CVE-2015-7547 的潜在风险。

via: http://www.eweek.com/security/linux-systems-patched-for-critical-glibc-flaw.html

作者：Michael Kerner 译者：robot527 校对：wxy

本文由 LCTT 原创翻译，Linux 中国 荣誉推出

Linux 内核开发很少吸引像华盛顿邮报这样主流媒体的关注，内核社区在安全方面进展的冗长功能列表就更少人看了。所以当这样一个专题发布到网上，就吸引了很多人的注意（LCTT 译注：华盛顿邮报发表了一篇很长的专题文章，批评 Linux “没有一个系统性的机制以在骇客之前发现和解决安全问题，或引入更新的防御技术”，“Linux 内核开发社区没有一个首席安全官”等等）。关于这篇文章有不同的反应，很多人认为这是对 Linux 直接的攻击。文章背后的动机很难知道，但是从历史经验来看，它也可以看作对我们早就该前进的方向的一次非常必要的推动。

回顾一件昏暗遥远过去的事件 - 确切地说是在 1999 年 4 月。一家叫 Mindcraft 的分析公司发布了一份报告显示 Windows NT 在 Web 服务器开销方面完胜 Red Hat Linux 5.2 加 Apache。Linux 社区，包括当时还很年轻的 LWN，对此反应很迅速而且强烈。这份报告是微软资助的 FUD 的一部分，用来消除那些全球垄断计划的新兴威胁。报告中所用的 Linux 系统有意配置成低性能，同时选择了当时 Linux 并不能很好支持的硬件，等等。

在大家稍微冷静一点后，尽管如此，事实很明显：Mindcraft 的人，不管什么动机，说的也有一定道理。当时 Linux 确实在性能方面存在一些已经被充分认识到的问题。然后社区做了最正确的事情：我们坐下来解决问题。比如，单独唤醒的调度器可以解决接受连接请求时的惊群问题。其他很多小问题也都解决了。在差不多一年里，内核在这类开销方面的性能已经有了非常大的改善。

这份 Mindcraft 的报告，某种意义上来说，往 Linux 屁股上踢了很有必要的一脚，推动整个社区去处理一些当时被忽略的事情。

华盛顿邮报的文章明显以负面的看法看待 Linux 内核以及它的贡献者。它随意地混淆了内核问题和其他根本不是内核脆弱性引起的问题（比如，AshleyMadison.com 被黑）。不过供应商没什么兴趣为他们的客户提供安全补丁的事实，就像一头在房间里巨象一样明显。还有谣言说这篇文章后面的黑暗势力希望打击一下 Linux 的势头。这些也许都是真的，但是也不能掩盖一个简单的事实，就是文章说的确实是真的。

我们会合理地测试并解决问题。而这些问题，不管是不是安全相关，能很快得到修复，然后再通过稳定更新的机制将这些补丁发布给内核用户。比起外面很多应用程序（自由的和商业的），内核的支持工作做的非常好。但是指责我们解决问题的能力时却遗漏了关键的一点：解决安全问题终究来说是一个打鼹鼠游戏。总是会出来更多的鼹鼠，其中有一些在攻击者发现并利用后很长时间我们都还不知道（所以没法使劲打下去）。尽管 Linux 的商业支持已经非常努力地在将补丁传递给用户，这种问题还是会让我们的用户很受伤 - 只是这并不是故意的。

关键是只是解决问题并不够，一些关心安全性的开发者也已经开始尝试做些什么。我们必须认识到，缺陷永远都解决不完，所以要让缺陷更难被发现和利用。这意思就是限制访问内核信息，绝对不允许内核执行用户空间内存中的指令，让内核去侦测整形溢出，以及 Kee Cook 在十月底内核峰会的讲话中所提出的其他所有事情。其中许多技术被其他操作系统深刻理解并采用了；另外一些需要我们去创新。但是，如果我们想充分保护我们的用户免受攻击，这些改变是必须要做的。

为什么内核还没有引入这些技术？华盛顿邮报的文章坚定地指责开发社区，特别是 Linus Torvalds。内核社区的传统就是相对安全性更侧重于性能和功能，在需要牺牲性能来改善内核安全性时并不愿意折衷处理。这些指责一定程度上是对的；好的一面是，因为问题的范围变得清晰，态度看上去有所改善。Kee 的演讲都听进去了，而且很明显让开发者开始思考和讨论这些问题了。

而被忽略的一点是，并不仅仅是 Linus 在拒绝有用的安全补丁。而是就没有多少这种补丁在内核社区里流传。特别是，在这个领域工作的开发者就那么些人，而且从没有认真地尝试把自己的工作整合到上游。要合并任何大的侵入性补丁，需要和内核社区一起工作，为这些改动编写用例，将改动分割成方便审核的碎片，处理审核意见，等等。整个过程可能会有点无聊而且让人沮丧，但这却是内核维护的运作方式，而且很明显只有这样才能在长时间的开发中形成更有用更可维护的内核。

几乎没有人会走这个流程来将最新的安全技术引入内核。对于这类补丁可能收到的不利反应，有人觉得也许会导致“寒蝉效应”，但是这个说法并不充分：不管最初的反应有多麻烦，多年以来开发者已经合并了大量的改动。而少数安全开发者连试都没试过。

他们为什么不愿意尝试？一个比较明显的答案是，几乎没有人会因此拿到报酬。几乎所有引入内核的工作都由付费开发者完成，而且已经持续多年。公司能看到利润的领域在内核里都有大量的工作以及很好的进展。而公司觉得和它们没关系的领域就不会这样了。为实时 Linux 的开发找到赞助支持的困难就是很明显的例子。其他领域，比如文档，也在慢慢萧条。安全性很明显也属于这类领域。可能有很多原因导致 Linux 落后于防御式安全技术，但是其中最关键的一条是，靠 Linux 赚钱的公司没有重视这些技术的开发和应用。

有迹象显示局面已有所转变。越来越多的开发人员开始关注安全相关问题，尽管对他们工作的商业支持还仍然不够。对于安全相关的改变已经没有之前那样的下意识反应了。像内核自我保护项目这样，已经开始把现有的安全技术集成进入内核了。

我们还有很长的路要走，但是，如果能有一些支持以及正确的观念，短期内就能有很大的进展。内核社区在确定了自己的想法后可以做到很让人惊叹的事情。幸运的是，华盛顿邮报的文章将有助于提供形成这种想法的必要动力。以历史的角度看，我们很可能会把这次事件看作一个转折点，我们最终被倒逼着去完成之前很明确需要做的事情。Linux 不应该再继续讲述这个安全不合格的故事了。

via: https://lwn.net/Articles/663474/

作者：Jonathan Corbet 译者：zpl1025 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

回到 Kernel 2.6 时代，那时候引入了一个新的安全系统，用以提供访问控制安全策略的机制。这个系统就是 Security Enhanced Linux (SELinux)，它是由美国国家安全局（NSA）贡献的，它为 Linux 内核子系统引入了一个健壮的 强制控制访问 （ Mandatory Access Control ） 架构。

如果你在之前的 Linux 生涯中都禁用或忽略了 SELinux，这篇文章就是专门为你写的：这是一篇对存在于你的 Linux 桌面或服务器之下的 SELinux 系统的介绍，它能够限制权限，甚至消除程序或守护进程的脆弱性而造成破坏的可能性。

在我开始之前，你应该已经了解的是 SELinux 主要是红帽 Red Hat Linux 以及它的衍生发行版上的一个工具。类似地， Ubuntu 和 SUSE（以及它们的衍生发行版）使用的是 AppArmor。SELinux 和 AppArmor 有显著的不同。你可以在 SUSE，openSUSE，Ubuntu 等等发行版上安装 SELinux，但这是项难以置信的挑战，除非你十分精通 Linux。

说了这么多，让我来向你介绍 SELinux。

DAC vs. MAC

Linux 上传统的访问控制标准是 自主访问控制 （ Discretionary Access Control ） （DAC）。在这种形式下，一个软件或守护进程以 User ID（UID）或 Set owner User ID（SUID）的身份运行，并且拥有该用户的目标（文件、套接字、以及其它进程）权限。这使得恶意代码很容易运行在特定权限之下，从而取得访问关键的子系统的权限。

另一方面， 强制访问控制 （ Mandatory Access Control ） （MAC）基于保密性和完整性强制信息的隔离以限制破坏。该限制单元独立于传统的 Linux 安全机制运作，并且没有超级用户的概念。

SELinux 如何工作

考虑一下 SELinux 的相关概念:

• 主体 （ Subjects ）
• 目标 （ Objects ）
• 策略 （ Policy ）
• 模式 （ Mode ）

当一个 主体 （ Subject ） （如一个程序）尝试访问一个 目标 （ Object ） （如一个文件）， SELinux 安全服务器 （ SELinux Security Server ） （在内核中）从 策略数据库 （ Policy Database ） 中运行一个检查。基于当前的 模式 （ mode ） ，如果 SELinux 安全服务器授予权限，该主体就能够访问该目标。如果 SELinux 安全服务器拒绝了权限，就会在 /var/log/messages 中记录一条拒绝信息。

听起来相对比较简单是不是？实际上过程要更加复杂，但为了简化介绍，只列出了重要的步骤。

模式

SELinux 有三个模式（可以由用户设置）。这些模式将规定 SELinux 在主体请求时如何应对。这些模式是：

• Enforcing （ 强制 ） — SELinux 策略强制执行，基于 SELinux 策略规则授予或拒绝主体对目标的访问
• Permissive （ 宽容 ） — SELinux 策略不强制执行，不实际拒绝访问，但会有拒绝信息写入日志
• Disabled （ 禁用 ） — 完全禁用 SELinux

图 1：getenforce 命令显示 SELinux 的状态是 Enforcing 启用状态。

默认情况下，大部分系统的 SELinux 设置为 Enforcing。你要如何知道你的系统当前是什么模式？你可以使用一条简单的命令来查看，这条命令就是 getenforce。这个命令用起来难以置信的简单（因为它仅仅用来报告 SELinux 的模式）。要使用这个工具，打开一个终端窗口并执行 getenforce 命令。命令会返回 Enforcing、Permissive，或者 Disabled（见上方图 1）。

设置 SELinux 的模式实际上很简单——取决于你想设置什么模式。记住：永远不推荐关闭 SELinux。为什么？当你这么做了，就会出现这种可能性：你磁盘上的文件可能会被打上错误的权限标签，需要你重新标记权限才能修复。而且你无法修改一个以 Disabled 模式启动的系统的模式。你的最佳模式是 Enforcing 或者 Permissive。

你可以从命令行或 /etc/selinux/config 文件更改 SELinux 的模式。要从命令行设置模式，你可以使用 setenforce 工具。要设置 Enforcing 模式，按下面这么做：

1. 打开一个终端窗口
2. 执行 su 然后输入你的管理员密码
3. 执行 setenforce 1
4. 执行 getenforce 确定模式已经正确设置（图 2）

图 2：设置 SELinux 模式为 Enforcing。

要设置模式为 Permissive，这么做：

1. 打开一个终端窗口
2. 执行 su 然后输入你的管理员密码
3. 执行 setenforce 0
4. 执行 getenforce 确定模式已经正确设置（图 3）

图 3：设置 SELinux 模式为 Permissive。

注：通过命令行设置模式会覆盖 SELinux 配置文件中的设置。

如果你更愿意在 SELinux 命令文件中设置模式，用你喜欢的编辑器打开那个文件找到这一行：

SELINUX=permissive

你可以按你的偏好设置模式，然后保存文件。

还有第三种方法修改 SELinux 的模式（通过 bootloader），但我不推荐新用户这么做。

策略类型

SELinux 策略有两种：

• Targeted （ 目标 ） — 只有目标网络进程（dhcpd，httpd，named，nscd，ntpd，portmap，snmpd，squid，以及 syslogd）受保护
• Strict （ 严格 ） — 对所有进程完全的 SELinux 保护

你可以在 /etc/selinux/config 文件中修改策略类型。用你喜欢的编辑器打开这个文件找到这一行：

SELINUXTYPE=targeted

修改这个选项为 targeted 或 strict 以满足你的需求。

检查完整的 SELinux 状态

有个方便的 SELinux 工具，你可能想要用它来获取你启用了 SELinux 的系统的详细状态报告。这个命令在终端像这样运行：

sestatus -v

你可以看到像图 4 那样的输出。

图 4：sestatus -v 命令的输出。

仅是皮毛

和你预想的一样，我只介绍了 SELinux 的一点皮毛。SELinux 的确是个复杂的系统，想要更扎实地理解它是如何工作的，以及了解如何让它更好地为你的桌面或服务器工作需要更加地深入学习。我的内容还没有覆盖到疑难解答和创建自定义 SELinux 策略。

SELinux 是所有 Linux 管理员都应该知道的强大工具。现在已经向你介绍了 SELinux，我强烈推荐你回到 Linux.com（当有更多关于此话题的文章发表的时候）或看看 NSA SELinux 文档 获得更加深入的指南。

LCTT - 相关阅读：鸟哥的 Linux 私房菜——程序管理与 SELinux 初探

via: https://www.linux.com/learn/docs/ldp/883671-an-introduction-to-selinux

作者：Jack Wallen 译者：alim0x 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

两位俄罗斯的安全研究人员刚刚在著名的图像处理库 ImageMagick 中发现了严重的安全漏洞。ImageMagick 用在大量的网站中，所以这个发现的零日漏洞一举将不计其数的网站暴露在安全攻击面前。

该漏洞被称之为“ImageTragick”，CVE 编号是 CVE-2016-3714。这个安全漏洞影响极其广泛，因为 ImageMagick 是除了 GD 之外使用最多的图像处理库，被广泛用于各种语言的图像处理，比如 PHP、Java、Python、Ruby 等等。许多开源软件，比如 WordPress、Drupal、Discuz 等都使用了它的图像处理功能。

通过 ImageMagick 的漏洞可以黑掉网站

据两位研究人员称，ImageMagick 中有多个安全缺陷，但是这个漏洞会导致那些允许用户上传图片（比如会员头像）的网站受到恶意制作的图片的攻击。

目前这个零日漏洞已经被 ImageMagick 项目所证实，但是尚未有修复版本发布，需要等到这个周末才能释出。不过，该项目提供了一些可以缓解该风险的方法。更多的缓解措施，可以参考 ImageTragick 网站 上的相关说明。

目前已经出现了验证该漏洞的 PoC，比如这个和另一个。

攻击者只需要找到能够上传图片的网站就行了

ImageMagick 是很多图像处理库和模块的基础，大量的编程语言都使用它来处理图像，比如 PHP、 Java、 Ruby、 JavaScript/Node.js 等等，而只要是用这些语言开发的网站就处于安全风险之中。

而唯一的条件就是网站允许用户上传图片（比如用户头像）并使用 ImageMagick 相关的库来处理它。

研究人员建议，要对上传的图片文件进行文件格式检查，比如通过 Magic Byte 来判断文件类型。Magic Byte 是一种通过文件头部的特定字节来判断文件类型的机制。

通过该漏洞，攻击者只需要构造一个特殊的文件，伪造成图片上传到服务器，服务器就会执行其中的任意代码，这相当于将整个网站的权限都交给了攻击者。

请在相应的补丁出来请先做防御性的缓解策略，并在更新版本出来后尽快更新。

InfoWorld 在部署、运营和保障网络安全领域精选出了年度开源工具获奖者。

最佳开源网络和安全软件

BIND, Sendmail, OpenSSH, Cacti, Nagios, Snort -- 这些为了网络而生的开源软件，好些家伙们老而弥坚。今年在这个范畴的最佳选择中，你会发现中坚、支柱、新人和新贵云集，它们正在完善网络管理，安全监控，漏洞评估，rootkit 检测，以及很多方面。

Icinga 2

Icinga 起先只是系统监控应用 Nagios 的一个衍生分支。Icinga 2 经历了完全的重写，为用户带来了时尚的界面、对多数据库的支持，以及一个集成了众多扩展的 API。凭借着开箱即用的负载均衡、通知和配置文件，Icinga 2 缩短了在复杂环境下安装的时间。Icinga 2 原生支持 Graphite（系统监控应用），轻松为管理员呈现实时性能图表。不过真的让 Icinga 今年重新火起来的原因是 Icinga Web 2 的发布，那是一个支持可拖放定制的 仪表盘 和一些流式监控工具的前端图形界面系统。

管理员可以查看、过滤、并按优先顺序排列发现的问题，同时可以跟踪已经采取的动作。一个新的矩阵视图使管理员能够在单一页面上查看主机和服务。你可以通过查看特定时间段的事件或筛选事件类型来了解哪些事件需要立即关注。虽然 Icinga Web 2 有着全新界面和更为强劲的性能，不过对于传统版 Icinga 和 Web 版 Icinga 的所有常用命令还是照旧支持的。这意味着学习新版工具不耗费额外的时间。

-- Fahmida Rashid

Zenoss Core

这

是另一个强大的开源软件，Zenoss Core 为网络管理员提供了一个完整的、一站式解决方案来跟踪和管理所有的应用程序、服务器、存储、网络组件、虚拟化工具、以及企业基础架构的其他元素。管理员可以确保硬件的运行效率并利用 ZenPacks 中模块化设计的插件来扩展功能。

在2015年二月发布的 Zenoss Core 5 保留了已经很强大的工具，并进一步改进以增强用户界面和扩展 仪表盘。基于 Web 的控制台和 仪表盘 可以高度可定制并动态调整，而现在的新版本还能让管理员混搭多个组件图表到一个图表中。想来这应该是一个更好的根源分析和因果分析的工具。

Portlets 为网络映射、设备问题、守护进程、产品状态、监视列表和事件视图等等提供了深入的分析。而且新版 HTML5 图表可以从工具导出。Zenoss 的控制中心支持带外管理并且可监控所有 Zenoss 组件。Zenoss Core 现在拥有一些新工具，用于在线备份和恢复、快照和回滚以及多主机部署等方面。更重要的是，凭借对 Docker 的全面支持，部署起来更快了。

-- Fahmida Rashid

OpenNMS

作为一个非常灵活的网络管理解决方案，OpenNMS 可以处理任何网络管理任务，无论是设备管理、应用性能监控、库存控制，或事件管理。凭借对 IPv6 的支持、强大的警报系统和记录用户脚本来测试 Web 应用程序的能力，OpenNMS 拥有网络管理员和测试人员需要的一切。OpenNMS 现在变得像一款移动版 仪表盘，称之为 OpenNMS Compass，可让网络专家随时，甚至在外出时都可以监视他们的网络。

该应用程序的 IOS 版本，可从 iTunes App Store 上获取，可以显示故障、节点和告警。下一个版本将提供更多的事件细节、资源图表、以及关于 IP 和 SNMP 接口的信息。安卓版可从 Google Play 上获取，可在 仪表盘 上显示网络可用性，故障和告警，以及可以确认、提升或清除告警。移动客户端与 OpenNMS Horizon 1.12 或更高版本以及 OpenNMS Meridian 2015.1.0 或更高版本兼容。

-- Fahmida Rashid

Security Onion

如同一个洋葱，网络安全监控是由许多层组成。没有任何一个单一的工具可以让你洞察每一次攻击，为你显示对你的公司网络中的每一次侦查或是会话的足迹。Security Onion 在一个简单易用的 Ubuntu 发行版中打包了许多久经考验的工具，可以让你看到谁留在你的网络里，并帮助你隔离这些坏家伙。

无论你是采取主动式的网络安全监测还是追查可能的攻击，Security Onion 都可以帮助你。Onion 由传感器、服务器和显示层组成，结合了基于网络和基于主机的入侵检测，全面的网络数据包捕获，并提供了所有类型的日志以供检查和分析。

这是一个众星云集的的网络安全工具链，包括用于网络抓包的 Netsniff-NG、基于规则的网络入侵检测系统 Snort 和 Suricata，基于分析的网络监控系统 Bro，基于主机的入侵检测系统 OSSEC 和用于显示、分析和日志管理的 Sguil、Squert、Snorby 和 ELSA （ 企业日志搜索和归档 （ Enterprise Log Search and Archive ） ）。它是一个经过精挑细选的工具集，所有的这些全被打包进一个向导式的安装程序并有完整的文档支持，可以帮助你尽可能快地上手监控。

-- Victor R. Garza

Kali Linux

Kali Linux 背后的团队今年为这个流行的安全 Linux 发行版发布了新版本，使其更快，更全能。Kali 采用全新 4.0 版的内核，改进了对硬件和无线驱动程序的支持，并且界面更为流畅。最常用的工具都可从屏幕的侧边栏上轻松找到。而最大的改变是 Kali Linux 现在是一个滚动发行版，具有持续不断的软件更新。Kali 的核心系统是基于 Debian Jessie，而且该团队会不断地从 Debian 测试版拉取最新的软件包，并持续的在上面添加 Kali 风格的新特性。

该发行版仍然配备了很多的渗透测试，漏洞分析，安全审查，网络应用分析，无线网络评估，逆向工程，和漏洞利用工具。现在该发行版具有上游版本检测系统，当有个别工具可更新时系统会自动通知用户。该发行版还提过了一系列 ARM 设备的镜像，包括树莓派、Chromebook 和 Odroid，同时也更新了 Android 设备上运行的 NetHunter 渗透测试平台。还有其他的变化：Metasploit 的社区版/专业版不再包括在内，因为 Kali 2.0 还没有 Rapid7 的官方支持。

-- Fahmida Rashid

OpenVAS

开放式漏洞评估系统 （ OpenVAS，Open Vulnerability Assessment System ） ，是一个整合多种服务和工具来提供漏洞扫描和漏洞管理的软件框架。该扫描器可以使用每周更新一次的网络漏洞测试数据，或者你也可以使用商业服务的数据。该软件框架包括一个命令行界面（以使其可以用脚本调用）和一个带 SSL 安全机制的基于 Greenbone 安全助手 的浏览器界面。OpenVAS 提供了用于附加功能的各种插件。扫描可以预定运行或按需运行。

可通过单一的主控来控制多个安装好 OpenVAS 的系统，这使其成为了一个可扩展的企业漏洞评估工具。该项目兼容的标准使其可以将扫描结果和配置存储在 SQL 数据库中，这样它们可以容易地被外部报告工具访问。客户端工具通过基于 XML 的无状态 OpenVAS 管理协议访问 OpenVAS 管理器，所以安全管理员可以扩展该框架的功能。该软件能以软件包或源代码的方式安装在 Windows 或 Linux 上运行，或者作为一个虚拟应用下载。

-- Matt Sarrel

OWASP

OWASP（ 开放式 Web 应用程序安全项目 （ Open Web Application Security Project ） ）是一个专注于提高软件安全性的在全球各地拥有分会的非营利组织。这个社区性的组织提供测试工具、文档、培训和几乎任何你可以想象到的开发安全软件相关的软件安全评估和最佳实践。有一些 OWASP 项目已成为很多安全从业者工具箱中的重要组件：

ZAP（ ZED 攻击代理项目 （ Zed Attack Proxy Project ） ）是一个在 Web 应用程序中寻找漏洞的渗透测试工具。ZAP 的设计目标之一是使之易于使用，以便于那些并非安全领域专家的开发人员和测试人员能便于使用。ZAP 提供了自动扫描和一套手动测试工具集。

Xenotix XSS Exploit Framework 是一个先进的跨站点脚本漏洞检测和漏洞利用框架，该框架通过在浏览器引擎内执行扫描以获取真实的结果。Xenotix 扫描模块使用了三个 智能模糊器 （ intelligent fuzzers ） ，使其可以运行近 5000 种不同的 XSS 有效载荷。它有个 API 可以让安全管理员扩展和定制漏洞测试工具包。

O-Saft（ OWASP SSL 高级审查工具 （ OWASP SSL advanced forensic tool ） ）是一个查看 SSL 证书详细信息和测试 SSL 连接的 SSL 审计工具。这个命令行工具可以在线或离线运行来评估 SSL ，比如算法和配置是否安全。O-Saft 内置提供了常见漏洞的检查，你可以容易地通过编写脚本来扩展这些功能。在 2015 年 5 月加入了一个简单的图形用户界面作为可选的下载项。

OWTF（ 攻击性 Web 测试框架 （ Offensive Web Testing Framework ） ）是一个遵循 OWASP 测试指南和 NIST 和 PTES 标准的自动化测试工具。该框架同时支持 Web 用户界面和命令行，用于探测 Web 和应用服务器的常见漏洞，如配置失当和软件未打补丁。

-- Matt Sarrel

BeEF

Web 浏览器已经成为用于针对客户端的攻击中最常见的载体。BeEF （ 浏览器漏洞利用框架项目 （ Browser Exploitation Framework Project ） ），是一种广泛使用的用以评估 Web 浏览器安全性的渗透工具。BeEF 通过浏览器来启动客户端攻击，帮助你暴露出客户端系统的安全弱点。BeEF 建立了一个恶意网站，安全管理员用想要测试的浏览器访问该网站。然后 BeEF 发送命令来攻击 Web 浏览器并使用命令在客户端机器上植入软件。随后管理员就可以把客户端机器看作不设防般发动攻击了。

BeEF 自带键盘记录器、端口扫描器和 Web 代理这样的常用模块，此外你可以编写你自己的模块或直接将命令发送到被控制的测试机上。BeEF 带有少量的演示网页来帮你快速入门，使得编写更多的网页和攻击模块变得非常简单，让你可以因地适宜的自定义你的测试。BeEF 是一个非常有价值的评估浏览器和终端安全、学习如何发起基于浏览器攻击的测试工具。可以使用它来向你的用户综合演示，那些恶意软件通常是如何感染客户端设备的。

-- Matt Sarrel

Unhide

Unhide 是一个用于定位开放的 TCP/UDP 端口和隐藏在 UNIX、Linux 和 Windows 上的进程的审查工具。隐藏的端口和进程可能是由于运行 Rootkit 或 LKM（ 可加载的内核模块 （ loadable kernel module ） ） 导致的。Rootkit 可能很难找到并移除，因为它们就是专门针对隐蔽性而设计的，可以在操作系统和用户前隐藏自己。一个 Rootkit 可以使用 LKM 隐藏其进程或冒充其他进程，让它在机器上运行很长一段时间而不被发现。而 Unhide 则可以使管理员们确信他们的系统是干净的。

Unhide 实际上是两个单独的脚本：一个用于进程，一个用于端口。该工具查询正在运行的进程、线程和开放的端口并将这些信息与系统中注册的活动比较，报告之间的差异。Unhide 和 WinUnhide 是非常轻量级的脚本，可以运行命令行而产生文本输出。它们不算优美，但是极为有用。Unhide 也包括在 Rootkit Hunter 项目中。

-- Matt Sarrel

查看更多的开源软件优胜者

InfoWorld 网站的 2015 年最佳开源奖由下至上表扬了 100 多个开源项目。通过以下链接可以查看更多开源软件中的翘楚：

2015 Bossie 评选：最佳开源应用程序

2015 Bossie 评选：最佳开源应用程序开发工具

2015 Bossie 评选：最佳开源大数据工具

2015 Bossie 评选：最佳开源数据中心和云计算软件

2015 Bossie 评选：最佳开源桌面和移动端软件

2015 Bossie 评选：最佳开源网络和安全软件

via: http://www.infoworld.com/article/2982962/open-source-tools/bossie-awards-2015-the-best-open-source-networking-and-security-software.html

作者：InfoWorld staff 译者：robot527 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

低成本的 DROWN 攻击能在数小时内完成数据解密，该攻击对采用了 TLS 的邮件服务器也同样奏效。

一个国际研究小组于周二发出警告，据称逾 1100 万家网站和邮件服务采用的用以保证服务安全的 传输层安全协议 TLS，对于一种新发现的、成本低廉的攻击而言异常脆弱，这种攻击会在几个小时内解密敏感的通信，在某些情况下解密甚至能瞬间完成。 前一百万家最大的网站中有超过 81,000 个站点正处于这种脆弱的 HTTPS 协议保护之下。

这种攻击主要针对依赖于 RSA 加密系统)的 TLS 所保护的通信，密钥会间接的通过 SSLv2 暴露，这是一种在 20 年前就因为自身缺陷而退休了的 TLS 前代协议。该漏洞允许攻击者可以通过反复使用 SSLv2 创建与服务器连接的方式，解密截获的 TLS 连接。

via: https://www.linux.com/news/software/applications/889455--more-than-11-million-https-websites-imperiled-by-new-decryption-attack

作者：ArsTechnica 译者：Ezio 校对：martin2011qi, wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出