Canonical发布支持CephFS的OpenStack Charms 20.02
Canonical近日宣布了OpenStack Charms 20.02的全面上市,这是用于在Ubuntu上设计,构建和管理OpenStack私有云的强大工具的主要版本。OpenStack Charms 20.02是一个令人兴奋的版本,它增加了主要的新功能并比以前的版本进行了改进。最大的变化似乎是作为新的CephFS支持Ceph文件系统,它可以用作Manila(OpenStack的共享文件系统服务)支持的存储。虽然在早期版本中通过通用插件提供了Manila,但尚未为企业部署做好准备。通过OpenStack Charms 20.02版本,用户现在可以在企业中同时使用CephFS和Manila超级按钮。
“CephFS后端将OpenStack共享文件系统服务带到了企业级。通过使租户能够受益于Ceph提供的所有最佳功能,例如高可用性,容错,可伸缩性和安全性,” Canonical说。在OpenStack Charms 20.02版本中包含的其他功能中,可以在Octavia超级按钮和OpenStack仪表板上应用策略覆盖,还可以通过在Windows Server 2003中使用新的disable-instance-snapshot配置选项禁用实例快照作为启动源。OpenStack仪表板。
此外,现在可以通过超级按钮动作暂停和恢复保险柜服务,以及使用Swift超级按钮部署全局集群。还包括用于OVN(开放虚拟网络)建模的魅力的最新技术预览,该工具可为Open vSwitch提供开源网络虚拟化,并在InnoDB集群(mysql-innodb-cluster)或路由器中部署MySQL 8( mysql-router),现在可在Ubuntu 19.10(Eoan Ermine)中使用。
如何使用Traefik引导Kubernetes访客
在本文中,我们将部署一些简单的网站,并学习使用Traefik将来自地面世界的访问者引入到我们的集群中。所需材料如下:为了与本文一起观察,您只需要构建k3s Raspberry Pi集群。由于您的集群将要从网上获取照片,因此集群需要具有进入Web的能力。为了合理化功能,一些配置记录数据和模式HTML记录数据将在本文中得到证明。以前,我们使用kubectl进行了直接部署。不过,这不应该是部署问题的日常解决方案。通常,将使用YAML配置记录数据,这就是我们将在本文中使用的数据。我们将从头开始,并按照自上而下的策略创建配置记录数据。
首先是部署配置。该配置已通过验证,原因如下。有时,我会使用Kubernetes文档中的示例作为起点,然后将其修改为我想要的。例如,在从部署文档复制模式后修改配置。
详细了解:
https://breakingexpress.com/2020/03/11/directing-kubernetes-visitors-with-traefik/
Kubernetes集群的攻击防御
Kubernetes正在成为管理和协调容器的实际标准。它具有管理和部署原生云应用程序的功能,但存在安全配置错误的风险。Kubernetes是一个复杂的软件,很容易犯错误并使群集面临各种安全风险。我们将研究各种缓解Kubernetes集群安全问题的技术,包括集群强化措施和安全最佳实践。旨在面向渗透测试人员和安全顾问,他们被分配任务来审核和渗透Kubernetes集群配置以及集群中运行的工作负载。
该博客分为两个部分:强化/防御和攻击集群。强化将涵盖安全最佳实践。进攻将涵盖进攻方,并包括进行渗透测试的步骤。与攻击群集有关的更多详细信息将在单独的博客中介绍(如果需要)。作为渗透测试人员,请在审核集群时仔细检查所有要点。
如果我们使用Kubernetes即服务(KaaS),则无法访问由kube-apiserver,kube-controller,kube-scheduler和ETCD组成的集群的控制平面。这些由服务提供商(例如AWS,GCP,Azure)进行管理,我们希望这些提供商已经得到强化,并遵循安全最佳实践。如果您正在使用KaaS审核群集设置,请忽略清单中与强化相关的测试用例。
手动设置群集非常耗时,因此容易出错,因此不建议这样做。因此,大多数群集都是使用选项2创建的。这些工具带有许多默认的安全配置,但是仍然值得对其进行审核,因为在某些情况下可能已更改了默认配置以使某些功能正常工作,从而引入了安全性。漏洞。
详情请阅读:
https://www.roguesecurity.in/2020/03/11/attacking-and-defending-kubernetes-cluster/
Vmware:为什么大型组织信任Kubernetes
大型企业显然信任Kubernetes,并将其用于生产中。尽管采用过程中存在障碍,但使用Kubernetes所带来的生产力和弹性收益值得他们付出。新调查的主要亮点包括:59%的大型组织在生产中使用Kubernetes;这些用户中有53%缩短了开发周期;40%的人认为在选择Kubernetes发行版时缺乏内部一致性是一个挑战;64%的人在本地运行Kubernetes。
在我们最新的“ Kubernetes 2020年状况”调查中,有59%的受访者表示正在生产中运行Kubernetes,其中20%的人正在运行50个或更多集群,高于2018年的18%。
图1.生产中的Kubernetes
我们的调查对象组织至少有1,000名或更多的员工,超过50%的公司有5,000名或更多的员工。那些是大企业。如果我们从最近的CNCF调查中查看生产使用量数据,其中只有44%的受访者来自类似规模的组织,那么我们会看到Kubernetes在生产中的采用率更高。CNCF调查还显示,生产使用量大幅增长,从2018年的58%增长到2019年的78%。
无论您采用哪种方式削减公司规模,都对Kubernetes高度信任和使用。日益增长的生产使用量清楚地表明,组织不仅会疲劳,而且还信任Kubernetes来运行其应用程序。
大型组织中的许多高管都认为改进应用程序和改善客户体验之间有着直接的联系。当世界由软件组成时,应用程序开发是业务和增长的核心工具。您可以使软件供应链效率越高,生产率越高,则对业务越有利。正如我们的调查表明的那样,Kubernetes直接为这些改进做出了贡献,超过50%的受访者表示资源利用率得到了提高,开发周期缩短了。他们从每花一美元中获得了更多收益,并且更快地推出了软件。
图2:Kubernetes的好处
与以往一样,这是需要花费更长的时间进行变革和改进人机交互。在建立像Kubernetes这样的平台时,这通常意味着定义您的需求,在运营和开发人员之间建立共识,计划初始项目以及创建业务案例以证明最初花费的时间和金钱是合理的。正如DevOps小组的工作人员喜欢说的:容器不会解决您的破碎文化。我们的调查证明了这一点,有40%的受访者表示,内部一致性方面的挑战减缓了他们转向Kubernetes的速度。同时,有83%的受访者表示,多个团队参与了Kubernetes发行版的选择。您知道这个故事,很多会议似乎都没有决定要结束。
一旦组织克服了选择Kubernetes发行版的麻烦,技能和培训就成为他们的首要问题。在我们的调查受访者中,有70%的受访者认为缺乏经验和专业知识是最大的部署挑战。对于新技术,这是可以预期的,并指出需要制定有计划的计划以建立内部专业知识。您不仅可以进行大规模切换,还可以这将需要一些时间,您必须慢慢走。“从小做起,” Swisscom Cloud Labs云实验室副总裁 Stephan Massalt 说。他建议首先将非关键任务应用程序带到Kubernetes精心设计的容器中。“这是他们制作应用程序的方式的重大变化。给人们时间去调整。”
在哪里运行应用程序将成为未来五年最受关注的热点之一。目前,大型组织在各处运行应用程序,但是严重偏向本地或私有云。这样做的原因有很多,包括拥有和控制整个堆栈的愿望,与其他本地服务集成,成本和性能控制的需求,甚至是有趣的边缘计算案例,这些案例都在边缘而不是边缘。在公有云中。我们的调查重点是大型组织,有64%的受访者表示他们在本地运行Kubernetes。
DevOps Institute发布 2020年提高技能:企业DevOps技能报告
全球先进的DevOps会员协会DevOps Institute宣布发布“ Upskilling 2020:Enterprise DevOps技能报告”的数据和结果。该报告定义了全球范围内各种规模的企业IT组织中实现DevOps转换目标所需的最关键和需求的技能。该报告所依据的数据是通过全球社区研究项目和公开调查收集的,来自1200多个受访者。
DevOps Institute致力于推动DevOps成功的人为因素。作为一个基于会员的全球性协会,DevOps Institute是连接IT从业人员,教育合作伙伴,顾问,人才培养和业务主管的首选学习中心。
DevOps Institute致力于推动DevOps成功。作为一个基于会员的全球性协会,DevOps Institute是连接IT从业人员,教育合作伙伴,顾问,人才培养和业务主管的首选学习中心。
该研究和数据分析由DevOps Institute首席研究分析师Eveline Oehrlich领导,并获得了白金赞助商ServiceNow,金牌赞助商CloudBees,银牌赞助商BMC和铜牌赞助商Micro Focus和HCL UrbanCode的支持。
该报告可从(https://devopsinstitute.com/upskilling-2020)免费下载。
DevOps Institute首席执行官Jayne Groll表示:“人的转型是为企业IT组织提供DevOps实践和模式的最关键的成功因素。“传统的技能提升和人才培养方法不足以使企业保持竞争力,因为对具有核心人类技能的IT专业人员的需求不断增长,这已经升级到企业领导者一生中从未见过的地步。我们必须通过与我们的技术一样频繁且具有相同重点的新技能。”
《2020年提高技能:企业DevOps技能报告》的主要发现包括:对于超过50%的受访者而言,DevOps转型的旅程仍然非常困难:管理与DevOps转型相关且必要的人员,流程和技术都很困难。每个类别都收到了同样数量的挑战挑战。
寻找和吸引熟练的DevOps人才在2020年仍然是一个挑战:报告中58%的受访者[PA(2]表示,找到熟练的DevOps人士是一个挑战,而48%的受访者则表示很难留住熟练的DevOps专业人员。根据Robert Half Technology 2020年薪资指南(https://www.roberthalf.com/salary-guide)的数据,DevOps工程师的年薪可超过179,250美元,加上目前的技能差距,2020年对于招聘经理和人力资源而言将是艰难的一年人员配置公司Robert Half Technology的执行董事Jeff Weber表示:“在各种类型和规模的组织中,对DevOps人才的搜寻无处不在。一家公司的DevOps专业人员可能需要另一家公司的不同技能和经验,使招募和雇用变得非常困难。”
DevOps Human 必须是混合型的,并且必须具备以下三个关键技能类别:过程技能和知识(占受访者的69%),自动化技能(占受访者的67%)和人员技能(占受访者的61%)是三大必备技能这是2020年的类别。这与2019年的研究有所不同,在该研究中,自动化技能是最重要的技能类别,而过程技能和知识则排名第二重要的必备技能类别。
现在,提升技能需要企业领导者的关注:提升技能的挑战并不新鲜,根据世界经济论坛的说法,拥有技术工作是全球最大的挑战。不幸的是,超过38%的受访者组织没有提高技能计划,目前有21%的组织正在进行这项工作,还有7%的人甚至不知道他们的组织是否有提高技能计划。但是,有31%的受访者表示,他们的公司已经在其组织内部实施了正式的技能提升计划。
敏捷,DevOps和ITIL正受到站点可靠性工程(SRE)的激烈竞争:自2019年基准报告以来,敏捷采用(81%),DevOps应用(75%)和ITIL应用(25%)有所增长,而SRE从在2019年将10%的采用率提高到2020年的15%。还将利用诸如价值流管理(19%)和系统思维(13%)之类的其他哲学。这些学科和/或框架中有许多在组织内部共存。
多云和边缘部署正受安全性和连接性问题威胁
根据Volterra对400多名IT高管的调查,组织在支持多云和边缘部署方面主要面临基础架构和安全性挑战。调查显示,多云部署的主要驱动力是最大限度地提高应用程序的可用性和可靠性,而在边缘,物联网是推动部署的首要用例。但是,由于云提供商之间的差异以及在跨多个云管理工作负载方面的运营挑战,多云部署受到安全性和连接性问题的威胁。同时,边缘部署因无法满足独特的基础架构需求以及在跨不同边缘站点管理应用程序方面遇到困难而遭受苦难。“越来越多的技术(包括AI,机器学习和IoT)的部署使应用程序和数据越来越多地分布在多个云和边缘站点中。对于试图支持多云和边缘部署的组织来说,这将给企业带来一系列严峻的运营和安全挑战。” Volterra首席执行官Ankur Singla说。
“在这项调查中,我们发现70%的IT领导者认为在边缘云与公有云与私有云之间拥有一致的运营经验非常重要。但是,正如数据所示,在边缘站点和多个云中存在阻止此问题的巨大问题。”
97%的IT领导者表示他们计划跨两个或更多云分布工作负载。通过确保一个云发生故障,该应用仍可在另一个云中使用,多云部署可提供更高的可用性和可靠性。由于法规和合规性原因,它也很有利,因为它允许组织在当地法律要求的情况下将应用程序的数据保留在特定的地理区域中。
最后,多云使组织能够利用每个云的独特优势,例如Google Cloud Platform在机器学习方面的优势或Microsoft Azure与Office 365数据库的无缝集成。但是,安全性,连接可靠性和性能以及不一致的服务产品等主要问题使得难以有效地部署和操作多云部署。当被问及跨云提供商管理工作负载的最大挑战时,IT领导者强调了以下主要问题:提供商之间的安全可靠连接(60%);不同的支持和咨询流程(54%);不同平台服务(53%)。
此外,受访者表示,在云提供商之间共享工作负载时面临的最大挑战是安全性(54%),可靠性(44%)和性能(39%)。Propeller Insight关于边缘计算的调查数据表明,组织正在边缘部署应用程序,主要支持物联网(57%),智能制造(52%)和内容交付(46%)。受访者解释说,他们的组织将这些工作负载置于边缘而不是公有云或私有云中,因为他们需要在本地控制和分析这些用例的数据(54%),并且在将边缘数据发送到基于公有云的应用程序时存在太多延迟(47%)。
但是,边缘部署也面临着严峻的挑战,跨众多边缘站点管理基础架构和应用程序构成了成功的潜在障碍。当被要求确定有关在边缘安装应用程序时最大的业务问题时,IT高管指出:跨多个边缘位置管理应用程序的难度(44%);无法容纳托管和边缘运行所需的IT基础架构(38%)。此外,当被问及在边缘描述更具体的技术挑战时,受访者指出了集成自动化,CI / CD和性能管理等云原生工作流的困难(69%),并且难以安装全套应用程序基础架构(计算) / storage / network / security)(67%)。该调查还研究了长期管理边缘部署的挑战,发现在整个生命周期中操作边缘应用程序面临的两个最大挑战是:缺乏资源或时间来保持应用程序和基础架构的最新状态(37%);将分布式集群作为孤立的实例而不是单个资源进行管理(26%)。Ankur Singla说:“有几个关键主题从数据中脱颖而出,并说明了组织为何要为多云和边缘部署而苦苦挣扎。”
PPP Daemon 漏洞可接管Linux发行版,使网络设备遭到攻击
未经身份验证的攻击者可以利用点对点协议守护程序(pppd)软件中的漏洞(CVE-2020-8597),该漏洞已出现在许多基于Linux和类Unix的操作系统和网络设备上。在目标系统上执行并接管目标系统。该漏洞影响Debian GNU / Linux,NetBSD,Red Hat,Ubuntu,OpenWRT,TP-LINK和Cisco产品以及其他软件/产品。
Pppd是一个守护程序,用于管理类Unix操作系统上的两个节点之间的PPP会话建立和会话终止。CVE-2020-8597是由于eap_request和eap_response子例程中的可扩展身份验证协议(EAP)数据包处理漏洞而引起的缓冲区溢出漏洞。通过简单地将未经请求的特制EAP数据包发送到易受攻击的ppp客户端或服务器,无需身份验证即可远程利用它。该漏洞由IOActive渗透测试主管Ilja Van Sprundel发现并负责任地披露。它会影响2.4.2至2.4.8的pppd版本,并已在2月初进行了修补。“
PPP是用于通过拨号调制解调器,DSL连接以及许多其他类型的点对点链接建立互联网链接的协议,包括虚拟专用网(VPN),例如点对点隧道协议(PPTP)。pppd软件还可以使用多个身份验证协议(包括EAP)对连接的对等方进行身份验证和/或向对等方提供身份验证信息。” IOActive在安全通报中解释道。
“由于点对点协议守护程序(pppd)中的可扩展身份验证协议(EAP)数据包处理存在缺陷,未经身份验证的远程攻击者可能会导致堆栈缓冲区溢出,从而可能允许在服务器上执行任意代码。目标系统。此漏洞是由于在将提供的数据复制到内存之前验证输入大小时出错。由于数据大小的验证不正确,因此可以将任意数据复制到内存中,并导致内存损坏,可能导致执行不需要的代码。”
IOActive建议:“使用软件供应商提供的最新可用补丁来更新软件。如果未启用EAP或远程对等方未使用密码或口令协商EAP,则认为pppd不易受到攻击是不正确的。这是由于经过身份验证的攻击者仍然能够发送未经请求的EAP数据包来触发缓冲区溢出。”
AWS推出Bottlerocket,一个基于Linux的用于容器托管的操作系统
AWS已发布了自己的开源操作系统,可在虚拟机和裸机主机上运行容器。Bottlerocket是一种精简的Linux发行版,类似于CoreOS现已停用的Container Linux和Google的容器优化OS等项目。该操作系统目前处于开发人员预览阶段,但您可以将其作为EC2的Amazon Machine Image(也可以在Amazon EKS下进行扩展)进行测试。
正如AWS首席传教士Jeff Barr在公告中指出的那样,Bottlerocket支持Docker映像和符合Open Container Initiative映像格式的映像,这意味着它基本上将运行您可以使用的所有基于Linux的容器。
使Bottlerocket脱颖而出的一项功能是它取消了基于软件包的更新系统。取而代之的是,它使用基于图像的模型,正如Barr所说,“如果需要,可以允许快速而完整的回滚。”这里的想法是,这使更新更容易。此更新过程的核心是“更新框架”,这是由Cloud Native Computing Foundation托管的开源项目。
AWS表示,它将为自己的Bottlerocket构建提供三年的支持(在发布通用可用性之后)。当然,到目前为止,该项目非常专注于AWS,但是该代码可在GitHub上获得,而且我们很可能会看到其他人在AWS的工作上有所扩展。
该公司正在与Alcide,Armory,CrowdStrike,Datadog,New Relic,Sysdig,Tiger,趋势科技和Waveworks等众多合作伙伴合作启动该项目。“容器优化的操作系统将为开发团队提供额外的速度和效率,以更高的安全性和正常运行时间来运行更高的吞吐量工作负载,” Datadog产品管理总监Michael Gerstenhaber说。我们很高兴与AWS在Bottlerocket上合作,以便随着客户利用规模扩大带来的优势,他们可以继续自信地监控这些短暂的环境。”
Linux也拥有出色的游戏基准测试工具
一个名为FlightlessMango的开发人员开发了一个名为MangoHUD的出色工具——MangoHUD:Vulkan叠加层,用于监视和基准化Linux游戏。
MangoHUD是一个Vulkan叠加层,可以在通过Steam Proton运行的任何游戏中激活(将Microsoft的DirectX图形API巧妙地转换为Vulkan,Linux可以理解)。也可以在使用Vulkan的本地Linux游戏中或通过Lutris之类的软件调用它。
它在GitHub页面上定义为监视CPU,GPU和RAM使用情况以及监视最小,最大和平均帧率的工具。但是它的作用远不止于此,并且看起来绝对漂亮。这是因为MangoHUD还可以一键将数据记录到文本文件中,类似于FRAPS或MSI Afterburner的工作方式。但是FlightlessMango通过在他的网站上创建“用户基准”部分,使事情更进一步,您可以上传这些文本文件并观看创建华丽的交互式图表的过程。
GNOME 3.36“ Gresik”桌面环境发布,这是新功能
GNOME 3.36桌面环境已于近日正式发布,带来了新的功能和应用,视觉增强以及许多改进。在印度尼西亚的Gresik举行的2019年GNOME亚洲峰会之后,被称为“ Gresik”的GNOME 3.36是一个主要发行版,它有望为众多GNU / Linux发行版使用的开源桌面环境提供许多出色的补充。GNOME 3.36发行版的亮点包括更新的登录和解锁屏幕以及经过改进的现代设计,以提供更平滑,更快速的登录和解锁体验,以及更优美的GNOME Shell,可通过拖放操作轻松创建应用程序文件夹应用程序网格,并提供更流畅的工作区切换体验。
在谈论GNOME Shell时,现在提供了一个名为Extensions的新独立应用程序,默认情况下已安装该应用程序,以允许用户启用,禁用,更新和删除扩展名以及更改扩展名首选项。日历弹出窗口已经过改进,现在集成了“请勿打扰”开关,该开关在打开时将使所有通知静音,但电池电量不足警告除外。当启用“请勿打扰”功能时,时钟旁也会显示一个图标。
顶部面板中的另一个明显变化是系统托盘区域中重新组织的“关闭电源/注销”选项,使注销当前会话以及挂起或关闭计算机电源变得更加容易。GNOME控制中心在GNOME 3.36中引起了很多关注。首先,详细信息和设备面板已删除,侧栏窗格中的部分已重新排序。Thunderbolt设置已移至“隐私”面板,该面板已扩展为具有更多隐私设置,以使用户可以更好地控制应用程序对麦克风,摄像头等的访问。
同时还扩展了“关于”面板,该面板现在显示有关您正在使用的服务器(X11或Wayland)以及其他系统详细信息的更多信息。重新设计了“用户帐户”面板以使其看起来更好,并且“区域和语言”面板具有重新设计的“格式”对话框。显示已安装的Snap软件包,适用于应用程序的新的“在后台运行”和“设置桌面后台”开关,以及对SAE(系统体系结构演进)的支持。另一个有趣的更改是使用户可以通过密码字段中的新按钮在所有需要身份验证的系统对话框中查看密码文本。这些身份验证对话框中的大多数已经过重新设计,以使其看起来更好,更一致。
除其他更改外,还有一个新的USB保护守护程序,带有家长控件的刷新的GNOME初始设置对话框,新的下载管理器,新的VM创建助手,UEFI支持以及对设置GNOME Box中CPU数量的支持以及在其中的计量数据支持。GNOME软件。GNOME Clocks应用程序已完全重新设计,GNOME Music现在具有按需专辑封面和Last.fm scrobbler支持,并且Files(Nautilus)现在支持Google Drive中的移动和复制操作,以及对Nextcloud和ownCloud与self共享的支持签名的证书。
最后但并非最不重要的一点是,Epiphany Web浏览器现在支持使用PDF.js查看PDF文件,并为较小的屏幕(如Librem 5和PinePhone Linux手机)提供了更好,响应更快的设计。此外,五个核心GNOME应用程序已更新了图标。尽管GNOME 3.36已正式发布,但GNU / Linux发行版需要一些时间才能在其软件存储库中提供这些软件包,这是安装桌面环境的推荐方法。也可以从Flathub安装各种GNOME 3.36应用程序和组件,但我强烈建议您从发行版的稳定存储库中进行升级。Arch Linux是第一个已在其存储库中交付GNOME 3.36的公司,未来数周内还将发布许多其他发行版。
研究:Sensor Tower暗中通过手机VPN、防广告App采集超过千万用户资料
知名App资料分析业者Sensor Tower被发现正通过旗下数款VPN、广告过滤程序,来暗中采集用户资讯,高达千万人受害,部份App已遭两大App平台下架。Buzzfeed协同外部安全研究者调查发现此事。Sensor Tower分析的App资讯供许多开发商做为行销管理的参考,也为许多投资业者所用。从2015年以来,这家公司出品了至少20款Android及iOS App,其中最受欢迎的免费App包括Mobile Data、Free and Unlimited VPN、Luna VPN、及Adblock Focus,总下载次数超过3千万。
参与研究的Malwarebytes研究人员发现,这些App在安装时会要求用户安装根凭证,借此采集所有流经手机的流量和资料。之后即在未告知用户情况下,将用户资料传送给Sensor Tower,作为后者分析App欢迎度、使用趋势和App营收之用。
Sensor Tower表示,该公司只是采集匿名资讯,不过其行为已经违反了Google及苹果对App平台的管理政策。苹果已经将Adblock Focus下架,并对Luna VPN启动调查。Google则下架了Mobile Data,其他App则还在调查中,该公司的3款App,都还能在Google Play Store找到。Google和苹果都禁止App在装置植入根凭证。
一些免费App似乎都不免有暗中采集用户资料的行为。2018年脸书的VPN App Onavo Protect VPN App及程序锁Bolt App Lock,即爆采集用户上网行为违反苹果隐私条款,而遭到下架。Sensor Tower的竞争者App Annie一款免费VPN产品,也被发现会暗中监控用户流量。
微软修补115个安全漏洞,有26个被列为重大风险
微软在今年3月的Patch Tuesday例行性修补日,修补了115个安全漏洞,当中有26个被列为重大(Critical)风险,但此次并未出现零时差攻击漏洞。趋势科技旗下的Zero Day Initiative(ZDI),列出了其中4个容易被恶意程序作者利用的远端程序攻击漏洞,它们分别是存在于Word的CVE-2020-0852、出现在Dynamics Business Central的CVE-2020-0905、藏身于LNK中的CVE-2020-0684,以及Application Inspector中的CVE-2020-0872。
当中的CVE-2020-0684,同样也被思科(Cisco)旗下的威胁情报组织Talos点名。根据微软的说明,CVE-2020-0684漏洞位于Windows中,骇客只要通过一个伴随着恶意执行程序的恶意.LNK档案,就能触发该漏洞,骇客的手法可能是通过远端分享或是随身碟,来诱导使用者执行恶意.LNK档案,成功开采的骇客,将可取得本地端用户的同样权限。Talos也特别提出了出现在Microsoft Media Foundation中的4个安全漏洞,包括CVE-2020-0801、CVE-2020-0807、CVE-2020-0809及CVE-2020-0869,它们属于记忆体损毁漏洞,骇客只要诱导使用者开启一个恶意档案或网页,就能触发相关漏洞,成功开采将允许骇客在受害装置上安装程序、变更或删除档案,以及建立新的使用者帐号。
还有另外两个重大漏洞位于GDI+,这是C语言与C++语言的API,相关漏洞为CVE-2020-0881与CVE-2020-0883,骇客只要设置一个恶意网站并吸引使用者开启就能开采,属于远端程序攻击漏洞。在此次微软修补的91个重要(Important)漏洞中,Talos特别强调了CVE-2020-0850、CVE-2020-0851、CVE-2020-0852与CVE-2020-0855,它们都是出现在Word处理记忆体中物件的时候,骇客可利用一个特製的档案,来代替使用者采取行动。
两名刚参加完RSA安全会议的Exabeam员工被确诊感染新冠状病毒
位于美国加州的安全管理平台供应商Exabeam近日通过Twitter宣布,该公司有两名员工已被确诊感染新冠状病毒,而且这两名员工曾在今年2月24日及28日之间,到旧金山参加RSA安全会议,呼吁曾与这两名员工接触的人应提高警觉。Exabeam表示,他们并不确定这两名员工是在RSA会议举行之前、之后,或者是在会议期间受到感染,呼吁曾与他们接触的人,要特别小心自己是否出现新冠状病毒的症状。
而RSA会议也发出了声明,通知所有曾参与该会议的人此一信息,但说目前并不确定这两名确诊病人在参与该会议时,是否处于潜伏期或已有症状。根据RSA会议的统计,尽管包括AT&T Cybersecurity与IBM等业者,在会前就宣布不参加今年的会议,但今年仍吸引了704名讲者及3.6万名安全研究人员参加。
由于新冠状病毒的潜伏期长、感染力强,迄今已有多个大型会议取消或延后举行,例如GSMA取消了MWC 2020,脸书取消了F8年度开发者大会,Google取消了原本要在5月举行的Google I/O年度开发者大会,而游戏开发者会议则延后到夏天举行。
非开源领域资讯推荐:
拼多多营收不及预期 周三收盘股价跌6.98%
周三收盘,拼多多(Nasdaq:PDD)股价下跌6.98¥,报35.06美元。拼多多之前发布了截至12月31日的2019财年第四季度及全年财报。第四季度,拼多多总营收为人民币107.927亿元(约合15.503亿美元),市场预期109.3亿元,与上年同期的人民币56.539相比增长91%。
谷歌建议英国及中东和非洲所有员工无限期在家办公
谷歌周三证实,该公司已经建议英国以及欧洲、中东和非洲(EMEA)员工从当地时间周四开始在家办公,直到另行通知时为止。目前唯一照常上班的地区只剩拉丁美洲,但谷歌发言人表示,随着形势的发展也可能会发生变化。
谷歌母公司Alphabet正试图动员其30多万名员工应对新冠病毒危机,此前世界卫生组织(WHO)已在周三早些时候宣布新冠病毒爆发为全球大流行病,世界范围内共有超过4291人因此丧生,至少119470人感染。在此以前,谷歌已在当地时间10日晚上向北美所有员工发出指示,要求其至少在4月10日以前都要远程办公。谷歌目前的北美员工总数约为10万多人。
苹果无限期关闭意大利所有17家零售店
苹果公司将无限期关闭其在意大利的17个零售店。苹果表示仍将为客户提供在线和电话支持。目前,意大利新冠肺炎累计确诊12462例,死亡病例升至827例。疫情继续蔓延到整个欧洲和其他地区,同时,世界卫生组织总干事谭德塞在周三表示,新冠肺炎疫情已具有全球大流行特征。
中国联通总裁李国华退休
3月11日,中国联通发布公告称,由于年龄原因,李国华已退任公司执行董事兼总裁职务,自2020年3月11日起生效。李国华已确认与董事会并无任何意见分歧,而就其退任一事,亦无任何其他事宜需提呈公司股东注意。
英国宣布对Facebook、谷歌、亚马逊征收2%的数字税
英国财政部在预算文件中表示,将对搜索引擎、社交媒体服务和在线市场征收数字服务税。英国财政部表示:“将现行的公司税规则运用于在数字经济企业上,导致在对利润征税和创造价值的地方之间产生了不一致。”英国财政部表示,数字税税率为2%,并为公共财政筹集约20亿英镑,将于4月份生效。
周鸿祎在美国参加数千人大会:两人确诊新冠肺炎
近日,新冠肺炎疫情在不少国家爆发,确诊人数不断增加,截止目前最严重的意大利已有8648人,美国也有963人。美国时间2月24-28日,一年一度的RSA 2020信息安全大会在美国旧金山召开,探讨IT与安全加密方面的技术,内地的奇安信、360集团、绿盟、山石网科、ExcelSecu和台湾地区的BlockChain security、iBASE赴美参会。据外媒最新报道,参加本次安全大会的也有两人被确诊为新冠肺炎患者。