以太坊钱包Parity被爆安全漏洞 致价值2.8亿以太坊被冻结

作为比特币的竞争对手,成立于2014年的加密货币以太坊(Ethereum)在全球市场日益升温,总价值超过280亿美元。但在全球火爆的背后安全问题也日益突显,今年7月以太坊钱包Parity被黑客攻击窃取了15.3万以太坊(约合3200万美元)之后,今天再次被曝光存在安全漏洞,导致价值数亿美元的以太坊被冻结。 继续阅读以太坊钱包Parity被爆安全漏洞 致价值2.8亿以太坊被冻结

漏洞预警:WordPress 储存型 XSS 漏洞

2017年10月19日, 官方发布了一条安全通告表示在4.8.1版本中发现了一个存储型的XSS漏洞,通过该漏洞,攻击者可以在受影响网站的评论区写下包含恶意代码的留言,当该留言页面被打开时,其中的恶意代码会执行,导致该网站的权限,插件等被更改,甚至被完全控制,安全风险为高危。 继续阅读漏洞预警:WordPress 储存型 XSS 漏洞

阿里云幸运券包含哪些服务

目前阿里云幸运券包含的服务很多,目前已知可以分为五大模块:云计算基础服务、安全(云盾)、大数据(数加)、域名解析、虚拟主机,并且这五大模块可以通过领取阿里云幸运券获得购买优惠。

如何成为阿里云云大使,如何获得阿里云幸运券
如何成为阿里云云大使,如何获得阿里云幸运券

一、云计算基础服务

  1. 云服务器ECS:可弹性扩展、安全、稳定、易用的计算服务
  2. 关系型数据库RDS:源码优化,支持读写分离等多种运维方案
  3. 云数据库Redis版:持久化数据高速读写
  4. 数据传输服务DTS:比GoldenGate更易用,异地多活
  5. 分布式关系型数据库服务DRDS:高度兼容 全生命周期的运维管控能力
  6. 数据管理DM:数据操作、资源大盘、授权审计、数据可视化等服务
  7. 轻量应用服务器:简单易用,易上手,1分钟快速创建应用

二、安全(云盾)

  1. 态势感知SAS:机器学习 全网威胁情报 可行动
  2. 服务器安全托管(安骑士):安全配置核查、漏洞管理、入侵防护
  3. web应用防火墙(网络安全):10余攻防经验,全力保护网站业务安全
  4. 移动安全:检测APP安全漏洞、恶意代码、仿冒应用
  5. 云盾加密服务(数据安全):云上数据加密,密钥管理、加解密运算
  6. 云盾证书服务(数据安全):云上签发,部署简单,防监听、防劫持
  7. 安全管家服务(安全服务):全方位技术和咨询,持续优化的防御体系
  8. 高防IP(网络安全):防御DDoS攻击和CC攻击,大流量克星

三、大数据(数加)

  1. 网站日志分析:极致简单、零SQL、拖拽式多维报表分析
  2. 公众趋势分析:分析品牌形象、公共事件的认知趋势
  3. 分析型数据库ADS:瞬息之间数据探索,快速发现数据价值

四、域名解析

  1. 云解析:稳定可靠,安全智能,快速平滑

五、虚拟主机

  1. 独享云虚拟主机:建站首选!独享资源,独立IP,不限流量!

附:阿里云幸运券领取地址:幸运券

Ubuntu 16.04 LTS迎来新Kernel Live更新:共修复14处漏洞

如果你正在使用Canonical的Kernel Live补丁更新系统实现免重启Linux Kernel更新,那么Benjamin M. Romer提醒你今天有重大更新上线。根据Kernel Live补丁安全公告LSN-0021-1, 16.04 LTS(Xenial Xerus)共计修复了14个Linux Kernel漏洞。

本次修复的14个漏洞有CVE-2017-7308, CVE-2017-6074, CVE-2016-5195, CVE-2016-7910, CVE-2016-7911, CVE-2016-7912, CVE-2016-7916, CVE-2016-8399, CVE-2016-8630, CVE-2016-8633, CVE-2016-9191, CVE-2016-9555, CVE-2016-9756, 和 CVE-2017-2583,如果想要查看详细信息,可以点击链接进行查看。

Ubuntu 16.04 LTS迎来新Kernel Live更新:共修复14处漏洞
16.04 LTS迎来新Kernel Live更新:共修复14处漏洞

 

今天面向Ubuntu 16.04 LTS(Xenial Xerus)操作系统的最新稳定版内核更新补丁包版本号为4.4.0-71.92,目前已经在常规和lowlatency衍生版本中上线,因此非常推荐用户进行安装。至于如何安装,可以参考以下视频:http://player.youku.com/player.php/sid/XMjcxNDQwOTQwOA==/v.swf

iOS 9.3.5系统更新背后有个像谍战一样的故事

阿联酋知名民权活动家艾哈迈德·曼苏尔的 6收到一条短信,称有“阿联酋监狱虐囚的新秘密”,文末附有超链接。如果他点下链接,这部 便会被远程控制,发件人将能看到里面的所有短信、邮件、通话记录,并且可以追踪到屏幕上的每一次点击。甚至,他们可以监听手机周遭的声音,而曼苏尔的 屏幕上什么都看不出来。

控制这部手机的,是以希腊神话中的“天马”(Pegasus)命名的黑客工具。

尽管整件事听上去和《谍影重重5》里中情局发起的远程攻击类似,但这不是好莱坞编剧构想的电影情节,而是已经发生的事情。

本周五,苹果发出 9.3.5系统更新,唯一目的便是为了防御“天马”的攻击。 继续阅读iOS 9.3.5系统更新背后有个像谍战一样的故事

wordpress WP_Image_Editor_Imagick 指令注入漏洞,不要惊慌

WP_Image_Editor_Imagick是不是注入漏洞?

我的回答是:并不是注入漏洞,管WordPress鸟事啊。

阿里云最近提醒用户关于 WP_Image_Editor_Imagick 指令注入漏洞

】尊敬的用户:您的服务器*.*.*.**存在wordpress WP_Image_Editor_Imagick 指令注入漏洞,已为您准备补丁可一键修复漏洞,为避免被黑客入侵,建议您登录云盾控制台-服务器安全(安骑士)页面进行查看和处理,同时建议您在控制台使用安全巡检功能对服务器进行全面检查。

wordpress WP_Image_Editor_Imagick
我已经忽略了wordpress WP_Image_Editor_Imagick

WP_Image_Editor_Imagick并非主机或程序自带的一个漏洞,而是如果你的服务器环境中安装了ImageMagick组件且没有补丁的情况下才会被利用。我非常鄙视阿里云这一做法:

一是为了安全:提醒用户,这一点我承认,但是并不是所有WordPress站点的服务器都安装了ImageMagick这个软件的,所以不需要修复。

如何检测是否存在ImageMagick漏洞?

方法一:查看rpm包

服务器未安装ImageMagick
服务器未安装ImageMagick

方法二:执行CONVERT命令

检测未安装

如果是服务器并没有安装,那请直接在阿里云后台忽略这个提示即可,反之只需要升级ImageMagick即可。

如果服务器安装了ImageMagick怎么办

一种是直接升级组件即可:yum install ImageMagick -y,还可以手动修改WordPress源码

敲击28次退格键之后:Linux漏洞可导致机器被“一键”入侵

有人说‘癫狂’的定义就是不停地重复某件事情,却期待有一个不同的结果。然而事实证明,不停地敲击相同的按键,还是会产生一个有趣的结果——如果你运行的是Linux系统的话。对于注重安全的人们来说,此事显然犹如晴天霹雳。一对来自西班牙的安全研究人员,最近发现了可能是Linux历史上最奇怪的一个漏洞。

backspace
backspace

这个bug位于Grub2的bootloader中,并且允许你绕过用户名/密码提示。

你所需要做的,就是敲击退格键(←backspace)28次以调出Grub‘救援界面’(rescue shell),用户可在这里访问系统上的所有文件。

万幸的是这个bug是被安全研究人员所发现的,因此我们可以寄希望于他们能够记录问题并创建一个补丁,、红帽和Debian都已为它们的系统发布补丁(强烈建议更新)。