2019 年热门开源项目中的漏洞增加了一倍以上

RiskSense 发布了一份新报告，该报告提供了有关目前热门的开源软件中漏洞的深入发现，其中包括武器化漏洞数、哪种软件最容易受到威胁、攻击的最主要类型等内容。RiskSense 查看了 50 个最受欢迎的开源软件项目，发现开源正以前所未有的速度产生新的漏洞。从 2018 年的 421 个增长到了去年的 968 个。

来源：开源中国

硬核老王点评：开源软件在急速发展的同事，其潜在的质量问题和安全缺陷也应该引起注意。不能因为“集市”就放松品质要求，尤其是流行的、重要的、基础的软件。因此，预期会出现更多专门针对开源软件进行审计和加固的开源组织和商业机构。

印度黑客公司 7 年入侵 1 万多电邮账户，多国政要被殃及

总部位于新德里的 BellTroX 信息技术服务公司专门瞄准欧洲的政府官员、巴哈马的博彩大亨和以及包括美国私募股权巨头 KKR 和做空机构浑水在内的著名投资机构。“这是有史以来受雇开展的规模最大的间谍活动之一。”Citizen Lab 研究员 John Scott-Railton 说。

来源：新浪科技

硬核老王点评：印度在黑客产业方面越走越远了。

IBM 发布完全同态加密工具集

IBM 发布了完全同态加密（FHE）工具集，源代码发布在 GitHub 上，采用 MIT 许可证。同态加密允许对密文进行特定的代数运算得到仍然是加密的结果，与对明文进行同样的运算再将结果加密一样。这项技术可以在加密的数据中进行检索、比较等操作，整个处理过程中无需对数据进行解密。

来源：solidot

硬核老王点评：这对于保密数据的第三方处理非常有价值。

GNOME 基金会发布 2019 年度报告

根据 GNOME 基金会公布的财报数据，去年的总收入比 2018 年稍有下降；支出方面，2019 年的总支出高于 2018 年，尤其是用于支付员工薪资的花费，差不多是翻了一倍。；发布了两个稳定版——Taipei (3.32) 和 Thessaloniki (3.34)；技术成果包括 GNOME Flatpak runtime,VM 镜像和改进持续集成；组织了 10 次活动和 13 次 Hackfests；参加了 11 场会议，并代表 GNOME 设立了展台和发表演讲。

来源：开源中国

全球非法走私量最大的哺乳动物穿山甲已从中国药典“除名”

在最新出版的 2020 年版《中国药典》中，穿山甲、马兜铃、天仙藤、黄连羊肝丸等四个品种未被继续收载。《中国药典》2020 版编制大纲中明确提出，野生资源枯竭的品种将从药典退出，这或为穿山甲未收载进本次药典的原因之一。穿山甲被认为是“世界上被贩卖最多的哺乳动物”。而马兜铃、天仙藤的基源均为马兜铃同属植物的不同药用部位，未收载的原因或是由于其存在肾毒性。黄连羊肝丸未收载的原因，是因为处方中含有夜明砂（蝙蝠类动物的粪便）。

来源：快科技

硬核老王点评：科学对待中医药，并要积极保护濒危生物。

Linux 与 Windows 10 相比的一个优势是它更安全，但是 Linux 系统并不是绝对可靠的， 美国国家标准技术研究院 （ National Institute of Standards and Technology ） （NIST）的 国家漏洞数据库 （ National Vulnerability Database ） （NVD）的最新数据似乎证实了这一点。

Windows 中的安全缺陷更少

根据其数据，在 1999 - 2019 年期间，Debian Linux 是所有操作系统中带有安全漏洞最多的一个。在此期间，在 Debian Linux 中报告了 3067 个漏洞，在 Ubuntu 中报告了 2007 个漏洞。另一方面，Windows 7 受到了 1283 个漏洞的困扰，在 Windows 10 中才发现了 1111 个漏洞。

从历史上看，Windows 并不是为安全而设计的，但是从 Windows XP 开始微软更加重视 Windows 的安全性，在 Windows XP 中就包括了各种安全功能和强大的防火墙。为了应对日益增长的安全性问题，微软还开始给 Windows 更新更多的安全性和隐私功能，但是 Windows 的一个主要目标仍然是为大多数个人和商用计算机提供了动力。

另外，对于更早的 Windows 7 而言这个数字实际上要低于 Windows 10。例如，在 2019 年，Windows 7 中发现了 250 个安全缺陷，而 Windows 10 中发现了 357 个安全缺陷。

重要的是要知道，计算机上的许多漏洞都是由硬件组件（例如芯片组和驱动程序）引起的，而不是由操作系统本身引起的。 许多 Windows 漏洞都是针对企业的，因此，某些漏洞可能不会对最终用户造成不良影响。

不过，值得注意的是，Debian Linux 表示其社区通常会在几天内修复该漏洞。另一方面，Windows 用户有时必须等待一个月。

整体微软产品线安全缺陷最多

但是回溯这整整 20 年来看，这些数据所描述的景象更加完整。在查看整个公司的产品时，微软产品的安全缺陷比任何其他公司都要多。自 1999 年以来，微软产品总共发现了 6814 个漏洞。以下是前 5 名：

1. 微软：6814 个安全缺陷
2. 甲骨文：6115 个安全缺陷
3. IBM：4679 个安全缺陷
4. 谷歌：4572 个安全缺陷
5. 苹果：4512 个安全缺陷

Android 的安全缺陷数量持续霸榜

近年来，在所有技术产品中，安全缺陷数量逐年保持稳定高位的是谷歌的 Android 操作系统。根据该数据报告，Android 在 2019 年、2017 年和 2016 年是所有操作系统中安全缺陷最多的一个。只有在 2018 年，Android 才从冠军席位上临时掉下来一次，当年 Debian GNU/Linux 的安全缺陷更多。在 2019 年，Android 凭借着 414 个安全缺陷位居榜首，而 Debian Linux 以 360 个安全缺陷“夺得”亚军，而 Windows 10/Windows Server 2016&2019 以 357 个安全缺陷“屈居”季军。

以下是历年来安全缺陷最多的产品：

也许最令人担忧的趋势是，随着操作系统和其他软件产品变得越来越复杂，漏洞在最近 20 年中才有所增加。1999 年，仅报告了 894 个技术漏洞。而在 2019 年报告了 12174 个技术漏洞，增长了 14 倍以上。

不过，对此数据的解读，Android 发言人发表了以下声明：

“我们致力于提高透明度，并每月发布有关 Android 中已解决的问题的公共安全公告，以加强生态系统的安全性。我们不同意这样的观点，即衡量操作系统中已解决的安全问题的数量来表示平台的安全性。这实际上是 Android 生态系统按预期工作的开放性的结果。”

Ref：softpedia.com，fastcompany.com，windowslatest.com

L1 终端错误（L1TF）影响英特尔处理器和 Linux 操作系统。让我们了解一下这个漏洞是什么，以及 Linux 用户需要为它做点什么。

昨天（LCTT 译注：本文发表于 2018/8/15）在英特尔、微软和红帽的安全建议中宣布，一个新发现的漏洞英特尔处理器（还有 Linux）的漏洞称为 L1TF 或 “ L1 终端错误 L1 Terminal Fault ”，引起了 Linux 用户和管理员的注意。究竟什么是这个漏洞，谁应该担心它？

L1TF、 L1 Terminal Fault 和 Foreshadow

处理器漏洞被称作 L1TF、L1 Terminal Fault 和 Foreshadow。研究人员在 1 月份发现了这个问题并向英特尔报告称其为 “Foreshadow”。它类似于过去发现的漏洞（例如 Spectre）。

此漏洞是特定于英特尔的。其他处理器不受影响。与其他一些漏洞一样，它之所以存在，是因为设计时为了优化内核处理速度，但允许其他进程访问数据。

另请阅读：[22 个必要的 Linux 安全命令]

已为此问题分配了三个 CVE：

• CVE-2018-3615：英特尔 软件保护扩展 Software Guard Extension （英特尔 SGX）
• CVE-2018-3620：操作系统和 系统管理模式 ystem Management Mode （SMM）
• CVE-2018-3646：虚拟化的影响

英特尔发言人就此问题发表了这一声明：

“L1 Terminal Fault 通过今年早些时候发布的微代码更新得到解决，再加上从今天开始提供的操作系统和虚拟机管理程序软件的相应更新。我们在网上提供了更多信息，并继续鼓励每个人更新操作系统，因为这是得到保护的最佳方式之一。我们要感谢 imec-DistriNet、KU Leuven、以色列理工学院，密歇根大学，阿德莱德大学和 Data61 的研究人员以及我们的行业合作伙伴，他们帮助我们识别和解决了这个问题。“

L1TF 会影响你的 Linux 系统吗？

简短的回答是“可能不会”。如果你因为在今年 1 月爆出的 Spectre 和 Meltdown 漏洞修补过系统，那你应该是安全的。与 Spectre 和 Meltdown 一样，英特尔声称真实世界中还没有系统受到影响的报告或者检测到。他们还表示，这些变化不太可能在单个系统上产生明显的性能影响，但它们可能对使用虚拟化操作系统的数据中心产生大的影响。

即使如此，仍然推荐频繁地打补丁。要检查你当前的内核版本，使用 uname -r 命令：

$ uname -r
4.18.0-041800-generic

更多资源

请查看如下资源以了解 L1TF 的更多细节，以及为什么会出现这个漏洞：

• L1TF explained in ~3 minutes (Red Hat)
• L1TF explained in under 11 minutes (Red Hat)
• Technical deep dive
• Red Hat explanation of L1TF
• Ubuntu updates for L1TF

via: https://www.networkworld.com/article/3298157/linux/linux-and-l1tf.html

作者：Sandra Henry-Stocker
选题：lujun9972
译者：geekpi
校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

英特尔处理器曝出了一个严重的硬件设计漏洞，迫使包括 Linux、Windows 在内的主要操作系统和各大云计算服务商都忙着打补丁。因为漏洞信息没有解密，所以目前只能通过已发布的补丁反推这个漏洞。

这里是一篇对该漏洞的技术分析文章。

在十月底的时候，KAISER 补丁集被披露了；它做了一项工作，将内核空间与用户空间使用的 页表 page tables 进行了隔离，以解决 x86 处理器上向攻击者透露内核布局的安全漏洞。这些补丁是自它们被公布以来，这一星期中最值关注的事情，但是，它们似乎正在接近最终的状态。这应该是再次审视它们的合适机会。

这项工作被重命名为 “ 内核页表隔离 kernel page-table isolation ” （KPTI），但是目的是一样的：分割页表，将现在被用户空间和内核空间共享使用的这张表分成两套，内核空间和用户空间各自使用一个。这对内核的内存管理产生了根本性的变化，并且，这是本来人们期望先争论多年再做决定的，尤其是考虑到它的性能影响的时候。不过，KPTI 仍然处于快速发展的轨道上。一组预备补丁 已被被合并到 4.15 - rc4 之后的主版本线上了 — 一般情况下仅重要的修复才被允许这样做 — 并且其余的似乎被确定进入 4.16 版的合并窗口中。许多内核开发者都在这项工作上投入了大量的时间，并且 Linus Torvalds 要求 将这项工作 回迁 （ backport ） 到长期稳定内核中。

也就是说，KPTI 已经在最后期限的压力下安全补丁的所有标记都已经就绪了。对于任何基于 ARM 的读者，在这里值的注意的是，在这项工作中有一个 为 arm64 的等效补丁集。

51 个补丁乃至更多

在这篇文章中，x86 补丁系列正处在 163 版本。它包含 51 个补丁，因此，我们应该感谢那些没有公开的版本。最初的补丁集，由 Dave Hansen 发布，由 Thomas Gleixner、Peter Zijlstra、Andy Lutomirski、和 Hugh Dickins 根据许多其它人的建议，做了大量的修订。任何还存在的缺陷都不是由于没有足够多的有经验的开发人员过目所导致的。

在现代系统中，页表是以一个树形结构进行组织的，这样可以高效地存储稀疏内存映射和支持巨页特性；可以查看这篇 2005 年的文章 了解更多细节以及它是怎么工作的示意图。在一个有四级页面表的系统上（目前的大多数大型系统都是这样），顶级是页面全局目录（PGD）。紧接着是页面上层目录（PUD）、页面中层目录（PMD）和页面表条目（PTE）。有五级页面表的系统是在 PGD 下面插入了一层（称为 P4D）。

页面故障解析通常遍历整个树去查找所需的 PTE，但是，巨页可以被更高层级的特定条目所表示。例如，一个 2MB 的内存 块 chunk 既可以由 PMD 层级的一个单个的巨页条目表示，也可以由一个单页 PTE 条目的完整页面表示。

在当前的内核中，每个处理器有一个单个的 PGD；在 KPTI 系列补丁中所采取的第一步的其中一个措施是，去创建一个第二个 PGD。当内核运行时，原来的仍然在使用；它映射所有的地址空间。当处理器运行在用户空间时，（在打完该系列补丁之后）第二个被激活。它指向属于该进程的页面的相同目录层次，但是，描述内核空间（位于虚拟地址空间的顶端）的部分通常都不在这里。

页表条目包含权限描述位，它们记录了内存该如何被访问；不用说都知道，这些位是用来设置阻止用户空间访问内核页面的，即便是通过那些被映射到该地址空间的页面访问。不幸的是，一些硬件级的错误允许用户空间的攻击者去确定一个给定的内核空间地址是否被映射，而不管那个页面上映射的地址是否被允许访问。而那个信息可以被用于击败内核地址空间布局随机化，可以使一个本地的攻击者更易于得逞。在 KPTI 背后的核心思想是，切换到一个没有内核空间映射的 PGD，将会使基于这个漏洞的攻击失效，而到现在为止，我们还没有看到这些攻击。

细节

这个想法很简单，但是，就像经常发生的那样，有各种各样麻烦的细节使得这个简单的想法变成了一个由 51 个部分构成的补丁集。其中最初的一个是，如果处理器在用户模式运行时响应一个硬件中断，处理中断需要的内核代码将在地址空间中不存在。因此，必须有足够的内核代码映射在用户模式中，以能够切换回到内核 PGD，使剩余的代码也可用。对于 traps、非屏蔽中断、和系统调用，也存在一个相似的情况。这个代码很小而且可以与其它部分隔离，但是，在处理安全且有效地切换时，涉及到一些很复杂的细节。

另一个难题来自 x86 本地描述符表（LDT）的构成，它可以被用于去改变用户空间的内存布局。它可以使用鲜为人知的 modify_ldt() 系统调用来做微调。例如，在 Linux 上早期的 POSIX 线程实现，使用了 LDT 去创建一个本地线程存储区域。在现在的 Linux 系统上，LDT 几乎不再使用了，但是，一些应用程序（比如，Wine）仍然需要它。当它被使用时，LDT 必须能够被用户空间和内核空间都可以访问到，但是，它必须一直处于内核空间中。KPTI 补丁集打乱内核附近的内存，在 PGD 级别上为 LDT 保留一个完全的条目；因此，vmalloc() 调用的可用空间收缩到仅有 12,800TB。那是一个非常巨大的 LDT 空间数，可以满足有很多 CPU 系统的需要。这种变化的其中一个结果是，LDT 的位置将是固定的，并且已知道用户空间 ——因此这将是个潜在的问题，由于覆写 LDT 的能力很容易被用来破坏整个系统。在这个系列的最终的补丁是映射为只读 LDT，以阻止此类攻击。

另一个潜在的安全缺陷是，如果内核可以一直被操纵直至返回用户空间，以至于不切换回经过过滤的 PGD。因为内核空间 PGD 也映射用户空间内存，这种疏忽可能在一段时间内不会被察觉到。对此问题的应对方法是将虚拟内存空间中用户空间的部分以非可执行的方式映射到内核的 PGD。只要用户空间（的程序）开始从一个错误的页面表开始执行，它将会立即崩溃。

最后，虽然所有已存在的 x86 处理器似乎都会受到这个信息泄露的漏洞影响，但是，以后的处理器可能不会受此影响。KPTI 有一个可测量的运行时成本，估计在 5%。有些用户也许不愿意为这些成本埋单，尤其是他们拿到了不存在这个问题的新处理器之后。为此将会有一个 nopti （内核）命令行选项来在启动的时候禁用这个机制。这个补丁系列也增加了一个新的“特性”标识（X86_BUG_CPU_INSECURE）去标识有漏洞的 CPU；它被设置在现在所有的 x86 CPU 上（LCTT 译注：AMD 表示不背这锅），但是在以后的硬件上可能没有。如果没有该特性标识，页面隔离将自动被关闭。

在 4.16 版的合并窗口打开之前剩下将近一个月。在这期间，针对一些新发现而不可避免的小毛病，KPTI 补丁集毫无疑问的将迎来一系列的小修订。一旦所有的事情都敲定了，看起来这些代码将会被合并同时以相对快的速度迁回到稳定版本的内核。显而易见的是，我们将会收到一个更慢，但是更安全的内核作为一个新年礼物。

via: https://lwn.net/SubscriberLink/741878/eb6c9d3913d7cb2b/

作者：Jonathan Corbet 译者：qhwdw 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

WordPress 是一个免费开源、可高度自定义的内容管理系统（CMS），它被全世界数以百万计的人来运行博客和完整的网站。因为它是被用的最多的 CMS，因此有许多潜在的 WordPress 安全问题/漏洞需要考虑。

然而，如果我们遵循通常的 WordPress 最佳实践，这些安全问题可以避免。在本篇中，我们会向你展示如何使用 WPSeku，一个 Linux 中的 WordPress 漏洞扫描器，它可以被用来找出你安装的 WordPress 的安全漏洞，并阻止潜在的威胁。

WPSeku 是一个用 Python 写的简单的 WordPress 漏洞扫描器，它可以被用来扫描本地以及远程安装的 WordPress 来找出安全问题。

如何安装 WPSeku - Linux 中的 WordPress 漏洞扫描器

要在 Linux 中安装 WPSeku，你需要如下从 Github clone 最新版本的 WPSeku。

$ cd ~
$ git clone https://github.com/m4ll0k/WPSeku

完成之后，进入 WPSeku 目录，并如下运行。

$ cd WPSeku

使用 -u 选项指定 WordPress 的安装 URL，如下运行 WPSeku：

$ ./wpseku.py -u http://yourdomain.com 

WordPress 漏洞扫描器

以下命令使用 -p 选项搜索 WordPress 插件中的跨站脚本（x）、本地文件夹嵌入（l）和 SQL 注入（s）漏洞，你需要在 URL 中指定插件的位置：

$ ./wpseku.py -u http://yourdomain.com/wp-content/plugins/wp/wp.php?id= -p [x,l,s]

以下命令将使用 -b 选项通过 XML-RPC 执行暴力密码登录。另外，你可以使用 --user 和 --wordlist 选项分别设置用户名和单词列表，如下所示。

$ ./wpseku.py -u http://yourdomian.com --user username --wordlist wordlist.txt -b [l,x]   

要浏览所有 WPSeku 使用选项，输入：

$ ./wpseku.py --help

WPSeku WordPress 漏洞扫描帮助

WPSeku Github 仓库：https://github.com/m4ll0k/WPSeku

就是这样了！在本篇中，我们向你展示了如何在 Linux 中获取并使用 WPSeku 用于 WordPress 漏洞扫描。WordPress 是安全的，但需要我们遵循 WordPress 安全最佳实践才行。你有要分享的想法么？如果有，请在评论区留言。

作者简介：

Aaron Kili 是一个 Linux 及 F.O.S.S 热衷者，即将成为 Linux 系统管理员、web 开发者，目前是 TecMint 的内容创作者，他喜欢用电脑工作，并坚信分享知识。

via: https://www.tecmint.com/wpseku-wordpress-vulnerability-security-scanner/

作者：Aaron Kili 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

两位俄罗斯的安全研究人员刚刚在著名的图像处理库 ImageMagick 中发现了严重的安全漏洞。ImageMagick 用在大量的网站中，所以这个发现的零日漏洞一举将不计其数的网站暴露在安全攻击面前。

该漏洞被称之为“ImageTragick”，CVE 编号是 CVE-2016-3714。这个安全漏洞影响极其广泛，因为 ImageMagick 是除了 GD 之外使用最多的图像处理库，被广泛用于各种语言的图像处理，比如 PHP、Java、Python、Ruby 等等。许多开源软件，比如 WordPress、Drupal、Discuz 等都使用了它的图像处理功能。

通过 ImageMagick 的漏洞可以黑掉网站

据两位研究人员称，ImageMagick 中有多个安全缺陷，但是这个漏洞会导致那些允许用户上传图片（比如会员头像）的网站受到恶意制作的图片的攻击。

目前这个零日漏洞已经被 ImageMagick 项目所证实，但是尚未有修复版本发布，需要等到这个周末才能释出。不过，该项目提供了一些可以缓解该风险的方法。更多的缓解措施，可以参考 ImageTragick 网站 上的相关说明。

目前已经出现了验证该漏洞的 PoC，比如这个和另一个。

攻击者只需要找到能够上传图片的网站就行了

ImageMagick 是很多图像处理库和模块的基础，大量的编程语言都使用它来处理图像，比如 PHP、 Java、 Ruby、 JavaScript/Node.js 等等，而只要是用这些语言开发的网站就处于安全风险之中。

而唯一的条件就是网站允许用户上传图片（比如用户头像）并使用 ImageMagick 相关的库来处理它。

研究人员建议，要对上传的图片文件进行文件格式检查，比如通过 Magic Byte 来判断文件类型。Magic Byte 是一种通过文件头部的特定字节来判断文件类型的机制。

通过该漏洞，攻击者只需要构造一个特殊的文件，伪造成图片上传到服务器，服务器就会执行其中的任意代码，这相当于将整个网站的权限都交给了攻击者。

请在相应的补丁出来请先做防御性的缓解策略，并在更新版本出来后尽快更新。