头条消息

今天看来是“安全日”，各种安全消息爆仓了。

前两天刚刚曝出的零日漏洞 ImageTragick 是对广泛使用的 ImageMagick 图片处理库中的一个严重攻击。而现在，CloudFlare 和 Sucuri 已经发现了利用该漏洞的真实攻击。 vBulletin 和 IP.Board 论坛是非常流行的论坛系统，很多网站都采用它们搭建在线论坛，而目前已经有针对这些程序发起的攻击了。相信在国内很快也会有针对 Discuz 论坛的攻击出现。

安全研究人员发现了一个名为 Enigma 的勒索软件，但是这个勒索软件是仅针对俄语用户的——所以非俄语用户可以偷着乐了：“We're Currently Safe”。笑哭了……

看起来这个世界充满了恶意，Adobe 刚刚宣布在 Flash 中发现了一个零日漏洞 CVE-2016-4117，而且，该漏洞已经被实际利用了进行攻击！这个漏洞影响到了运行在所有平台上的低于 21.0.0.226 版本的 Adobe Flash Player。

而且，据调查，1/4 的企业使用的过期的 IE，而只有 40% 的企业保持了 Flash Player 的更新。

不过，我们也有专门用于白帽子的 道德黑客工具 （ Ethical Hacking Tools ） 发行版：BlackArch Linux，在它刚刚发布的 BlackArch Linux 2016.04.28 版中，新增加了 80 个安全工具，已经有 1400 个之多的道德黑客工具！这里是工具列表，你可以看看！

版本更迭

• Red Hat 发布了其 RHEL 6 的第八个维护版本，支持多达 300TB 的 XFS 文件系统。
• 在经过三次延迟后，Fedora 24 终于发布了 Beta 版本。该版本带有 GNOME 3.20.1 桌面（默认只在工作站版本中）、最新的 GNU C 库 2.23 和 GCC 6，并使用了最新的 Linux 4.5.2 内核。当然，也解决了很多 Alpha 版本中的问题。正式版的 Fedora 预计在 6 月 14 日发布。
  
• KDE Applications 16.04.1 和 KDE Plasma 5.6.4 发布，修复了若干问题。
• Univention Corporate Server （UCS）4.1-2 发布，带来了几个重要的安全更新。
  

两位俄罗斯的安全研究人员刚刚在著名的图像处理库 ImageMagick 中发现了严重的安全漏洞。ImageMagick 用在大量的网站中，所以这个发现的零日漏洞一举将不计其数的网站暴露在安全攻击面前。

该漏洞被称之为“ImageTragick”，CVE 编号是 CVE-2016-3714。这个安全漏洞影响极其广泛，因为 ImageMagick 是除了 GD 之外使用最多的图像处理库，被广泛用于各种语言的图像处理，比如 PHP、Java、Python、Ruby 等等。许多开源软件，比如 WordPress、Drupal、Discuz 等都使用了它的图像处理功能。

通过 ImageMagick 的漏洞可以黑掉网站

据两位研究人员称，ImageMagick 中有多个安全缺陷，但是这个漏洞会导致那些允许用户上传图片（比如会员头像）的网站受到恶意制作的图片的攻击。

目前这个零日漏洞已经被 ImageMagick 项目所证实，但是尚未有修复版本发布，需要等到这个周末才能释出。不过，该项目提供了一些可以缓解该风险的方法。更多的缓解措施，可以参考 ImageTragick 网站 上的相关说明。

目前已经出现了验证该漏洞的 PoC，比如这个和另一个。

攻击者只需要找到能够上传图片的网站就行了

ImageMagick 是很多图像处理库和模块的基础，大量的编程语言都使用它来处理图像，比如 PHP、 Java、 Ruby、 JavaScript/Node.js 等等，而只要是用这些语言开发的网站就处于安全风险之中。

而唯一的条件就是网站允许用户上传图片（比如用户头像）并使用 ImageMagick 相关的库来处理它。

研究人员建议，要对上传的图片文件进行文件格式检查，比如通过 Magic Byte 来判断文件类型。Magic Byte 是一种通过文件头部的特定字节来判断文件类型的机制。

通过该漏洞，攻击者只需要构造一个特殊的文件，伪造成图片上传到服务器，服务器就会执行其中的任意代码，这相当于将整个网站的权限都交给了攻击者。

请在相应的补丁出来请先做防御性的缓解策略，并在更新版本出来后尽快更新。

头条消息

Ubuntu Tweak 的创始人和维护者周鼎宣布，Ubuntu Tweak 项目死亡！虽然之前也听说过 Ubuntu Tweak 不再开发了，但是一直没有一个官方的、态度坚决的宣布结束的公告。而现在，周鼎终于做出了这个艰难的决定。Ubuntu Tweak 已经落下了帷幕。更多详情……

两个俄罗斯安全研究人员发现了被广泛使用的 ImageMagick 图片处理库中存在严重的零日安全缺陷。它是除了 GD 之外使用最多的图片处理库，有不计其数的网站在使用它来进行图片处理，比如对用户上传的图片进行裁剪和缩放。因此，利用该漏洞，攻击者可以上传特别制作的图片文件，从而达到在服务器端执行恶意代码的目的。这个漏洞缺陷编号为：CVE-2016–3714 。目前已经出现了概念验证代码。

在 Ubuntu 在线峰会上， Canonical 宣布即将发布 Snappy Ubuntu Core 16 操作系统，并支持树莓派2和 DragonBoard 410c 等设备。目前还没有任何镜像发布，连 alpha 版本都没有，需要再等一段时间。它是作为其 15.04 版本的延伸，但是大部分的代码都进行了修改。在 Snappy Ubuntu Core 16 中，所有的东西都是 snap，包括设备、文件、内核、应用等等，甚至这个系统本身也是一个 snap。

在 Ubuntu 在线峰会上，来自 Canonical 的开发者 David Callé 宣布为 Ubuntu Touch 移动系统的 Scopes 功能带来两款全新标签化设计的两款模型，并已经在社区上邀请有兴趣的用户进行尝鲜体验。

之前我们报道过，Ubuntu 16.04 LTS 中使用 GNOME “软件”作为图形界面的软件安装系统，替代其原来的“软件中心”，但是这个版本存在一个问题，就是不能通过它来安装第三方的 .deb 软件包（当然，你可以通过命令行来安装）。在上游的 GNOME 开发人员推出修复的更新之后，Ubuntu 16.04 LTS 今天也更新解决了这个问题。

重要的开源软件版本更新

• 一个以简洁漂亮为目标的 Linux 发行版 Simplicity Linux 发布了最新版本 16.04。它是一个基于 LXPup 的发行版，采用的是 LXDE 桌面环境。它分为三个不同的版本： Desktop、X 和 Mini。
• 在 Wine 1.9.9 发布了一周之后，Wine Staging 1.9.9 发布了，不过没啥重要的新功能，只是修复了一些 bug。
• Black Lab Linux 即将发布的企业桌面版第 8 版的第六个开发者预览版可以下载了，在这个版本中，增加了实时内核补丁，也就是说，以后可以不用重启而对该发行版的内核进行升级了。
• CoreOS 899.17.0 发布，对最近出现严重安全问题的 OpenSSL、NTP 和 git 进行了升级。
• Linux 内核 4.5 发布了第三个维护版本 4.5.3。
• Ubuntu Make 发布了 16.05 版本。Ubuntu Make 是为开发者和程序员们所设计的，可以为他们安装各种不在 Ubuntu 主软件库中或没有 PPA 的第三方软件。它是一个非常简便而又值得拥有的命令行工具。这次更新修复了一些问题。