业界新闻

再次扩散:Linux系统bash漏洞CVE-2014-6271仍未被彻底修复,红帽再发补丁

昨天发文扩散这次Linux严重漏洞的检测和修复方法。 今天上午,RedHat官网再发新补丁: 详见:https://rhn.redhat.com/errata/RHSA-2014-1306.html 所以,手持服务器的童鞋,赶紧修复吧! 修复方法: 需再次升级Bash。 ①、CentOS:  ②、Ubuntu:  ③、RPM在线安装: Ps:其他系统请自行网络查找升级方法,这里就不赘述了。 测试方法 执行如下命令: 未升级之前,结果如下:   成功升级之后: 还好没急着给公司所有服务器升级bash,否则要一夜回到“解放前”了。手头上有VPS的朋友,抓紧时间去修复吧!在线安装rpm包的时候,切记看清楚版本哦!运维群里就有一个家伙装错了包,导致无法登陆了! 好了,就说这么多,请看到本文的朋友紧急扩散,避免造成没必要的损失!
阅读全文
业界新闻

紧急扩散:Linux系统bash严重安全漏洞CVE-2014-6271的检测及修复方法

今天白天,重量网络在群里提醒我,说Linux出现了严重的bash漏洞,一直在忙也没怎么关注,晚上空闲看了下,发现确实非常严重,必须紧急扩散出去,防止服务器被黑客入群,造成严重的后果! 9月25日消息,继“心脏流血”漏洞之后,安全研究专家又发现了一个危险级别为“毁灭级”(catastrophic)的漏洞,开源软件公司Red Hat在一份报告中称,在Linux系统中广泛使用的Bash软件漏洞有可能让黑客利用攻击一切连入互联网的设备。 该漏洞编号为CVE-2014-6271,主要存在于bash 1.14 - 4.3版本中,受影响的linux系统包括:Red Hat企业Linux (versions 4 ~7) 、Fedora distribution、CentOS (versions 5 ~7)、Ubuntu 10.04 LTS,12.04 LTS和14.04 LTS、Debian等。  受影响的软件及系统:GNU Bash <= 4.3。 GNU Bash 4.3及之前版本在处理某些构造的环境变量时存在安全漏洞,向环境变量值内的函数定义后添加多余的字符串会触发此漏洞,攻击者可利用此漏洞改变或绕过环境限制,以执行shell命令。 漏洞可以直接在Bash支持的Web CGI环境下远程执行任意命令!一些路由器、堡垒机、VPN等网络设备也可能会受到影响.当cgi程序里需要创建子进程,且环境变量可控时,攻击者可以通过useragent,querystring等http特性构造恶意攻击代码进行远程攻击,可能直接导致服务器被恶意控制,从而导致数据存在泄露的风险。 美国国土安全部下属的美国电脑紧急响应团队(以下简称“US-CERT”)发出警告称,这一漏洞可能影响基于Unix的操作系统,包括Linux和Mac OS X。 漏洞详情页面:http://seclists.org/oss-sec/2014/q3/650 漏洞级别:非常严重 RedHat官方提供漏洞详情: A flaw was found in the way Bash evaluated certain specially crafted environment variables. An attacker could use this flaw to override or bypass environment restrictions to execute shell commands. Certain services and applications allow remote unauthenticated attackers to provide environment variables, allowing them to exploit this issue. RedHat官方提供的检测方式: 登录终端,运行如下命令: 如果返回以下内容:表示存在次漏洞,则请尽快升级。 目前官方已经提供了升级包请执行如下命令进行升级处理: 升级后,再一次执行前面的命令进行检测,若出现如下信息,则表示已修复: 而Ubuntu 用户则可以通过如下命令升级bash: 其他Linux发行版,没有在线安装功能的,请使用以下脚本编译安装bash漏洞补丁: 漏洞是否修复成功的检测方法与前文一样。另外,有人提到升级后是否需要重启服务器?其实是不需要的,只要通过漏洞检测即可。当然,你要不放心,重启下也是可以的。。。 此次漏洞很严重,请看到此消息的朋友互相宣传扩散,谨防此漏洞带来任何损失。 最新补充:已更新最新的漏洞情况及修复检测方法,请移步==>
阅读全文
新增五大顶级功能,RHEL7 开放下载,CentOS7 即将到来 业界新闻

新增五大顶级功能,RHEL7 开放下载,CentOS7 即将到来

早在2012年红帽峰会上,红帽就透露了一些RHEL 7新功能。如今,RHEL 7终于开放下载。在经历了长达六个多月的公共测试之后,最终版本的RHEL 7配备了众多最新的企业和数据中心功能。让我们一起来看看RHEL 7五个顶级新增功能。 Docker RHEL 7中最亮眼的新增功能当属Docker了。目前爆炸式流行的Docker容器功能其实早在在RHEL 6.5中就存在了。本周Docker刚刚推出1.0版本,RHEL 7现在推出是再适合不过了。 Docker是基于目前流行的应用虚拟化技术。应用被打包在Docker中,与系统和其他应用完全隔离,因此可以在系统之间迁移并正常运行。RHEL 7充分有效地利用Docker技术,因此应用程序之间不会产生争夺资源的问题。 Docker也是本周的热门话题之一。从RHEL支持Docker长远计划来看,以后很可能将操作系统拆分成一系列Docker容器,以最小的操作系统完成尽可能多的部署,从而实现最小化开销。Red Hat与Docker公司创建了Project Atomic,目的是把Docker容器推向自己的客户,二来可以确保不论Docker在哪里运行,红帽企业级Linux都能运行。 Systemd 在系统和服务上,RHEL 7.0使用systemd替换了SysV。Systemd进程管理器引发了系统管理员和Linux专家之间的争论。Systemd目的是要取代Unix时代以来一直在使用的init系统,而且够在进程启动过程中更有效地引导加载服务。 自2010年推出的Fedora 15版本以来红帽就将systemd作为默认功能,由此更好地体验了systemd在现实世界中的表现。红帽并不是随便地将systemd加入RHEL 7,而是其伟大的操作系统计划的一部分。红帽想通过systemd加强RHEL 7对Docker的支持方式。 XFS RHEL 7第三个重大变化是将XFS替代ext4作为默认的文件系统。XFS支持高达500TB的容量,而ext4仅支持50TB。但RHEL 7仍支持ext4。 XFS最初是由Silicon Graphics International创建,并一直在Linux系统中投入生产。RHEL 6尽管附带XFS选项,但使用ext4作为默认文件系统。红帽的竞争对手Suse Linux也支持XFS,但默认支持是ext3。 不幸的是,除了备份和恢复,目前还没有实际的方法可以将RHEL上的其他文件系统比如ext4或btrfs迁移到XFS。 微软兼容的身份认证管理 即使不崇尚微软Windows的管理员也不得不对微软的活动目录表示赞同。RHEL 7增加了两个关键性的新特征改善了RHEL对AD的处理方式。现在,RHEL 7和AD之间建立了跨域信任(Cross-realm trusts),因此AD用户可以在Linux端无需登录就能访问资源。RHEL 7增加的两外一个AD相关的功能是realmd,实现自动化查询与添加AD(或其他红帽认证服务)DNS信息。 Performance Co-Pilot 没有动态统计的性能调优就像是驾驶没有挡风玻璃的汽车。因此RHEL 7引入了新的性能监控系统PCP(Performance Co-Pilot)。该系统最初是由Silicon Graphics International开发,现在作为RHEL 7的一部分。除了监控和记录系统状态,PCP还支持APIs以及将数据提供给其他子系统的工具集,比如systemd。 RHEL 7.0 支持 64 位 AMD/Intel、IBM POWER7/POWER8/System z 等架构, 可从其官方网站下载评估版本: 为了方便各位,张戈特上传到网盘,打包分享: RedHat Enterprise Server 7.0 for x86_64: rhel-server-7.0-x86_64-dvd.iso SHA-256 Checksum:85a9fedc2bf0fc825cc7817056aa00b3ea87d7e111e0cf8de77d3ba643f8646c   其他相关下载: RedHat Enterprise Server 7.0 for x86_64 Boot Disk: rhel-server-7.0-x86_64-boot.iso SHA-256 Checksum:b7a4f8b4d0132776ea20147abbb0a605d1a506ece92c704af5ab50796edc9a9b 下载地址:百度网盘 RHEL 7.0 Supplementary DVD supp-server-7.0-rhel-7-x86_64-dvd.iso SHA-256 Checksum:75177a35b0c4e55086bdddc9e820d88a14ceef0b4e1ca0f2181df1c94020035f 下载地址:百度网盘 Red Hat直接将 RHEL7的源代码 发布到了 CentOS 的网站上,鉴于Centos事实上是Red Hat资助的社区发行版,Centos 7应该很快会发布。 最新补充:张戈博客已整理分享CentOS 7.0正式版的下载地址,请移步查看:http://zhangge.net/4120.html
阅读全文
百度抛弃加速乐,独立推出百度云加速,你期待吗? 业界新闻

百度抛弃加速乐,独立推出百度云加速,你期待吗?

就在刚刚,张戈进入百度加速乐首页看到2014-5-12才发布的最新消息:《关于加速乐将以独立品牌运营的说明》,内容如下:   尊敬的各位用户: 知道创宇加速乐产品与百度合作即将期满,百度加速乐从即日起恢复为加速乐,加速乐运营方知道创宇公司将继续为用户提供稳定、可靠的云安全加速服务。 百度亦已全新推出加速、安全服务平台——“百度云加速”,为站长提供一站式的解决方案。 所有对网站加速与安全有需求的用户,均可根据需求选择“百度云加速”或者“加速乐”,共同推进网络安全的进步。 合作期满,不续签?看来百度是抛弃了创宇云的加速乐了,打算自己独立推百度云加速产品。 百度云加速,为站长提供一站式的解决方案? 且大胆猜测下,百度云加速是否会和百度云网盘强强联合?提供强大的网站后台静态存储?并提供外链服务? 反正,张戈是挺期待的,但能否在加速性能上打败360网站卫士,就有待测试了。 以上消息,元芳,你怎么看? 2014/5/13/20:16补充: 刚看到百度云加速的官网:http://yunjiasu.baidu.com/ 进去看了下套餐,发现免费和收费之间的差距也太大了点吧?也没有张戈之前期待的百度云盘服务,失望。 且来看图: 如图,有4种套餐,除了免费的之外,最便宜的99/月,我不知道用阿里云主机??   国内其它CDN都有的永久在线,前两个套餐居然没有,也没有协同防御。     最拉仇恨的来了,尼玛别人用你百度的东西,很大一部分还不是因为想要百度收录给力点么?前两个套餐居然不具备这2个很眼馋的功能!99¥/月的都没有。。。。果断节操没了。   另外,张戈再吐槽一下:对比一下百度加速乐和360网站卫士的免费服务,抛开功能不说,在最基本的节点上,百度加速乐就已经败了!这也是张戈近日从加速乐转移到网站卫士的根本原因! 百度加速乐节点不少,但是分配给免费用户的就4~5个节点,而且,最最最无语的居然是一个地方的节点,如图:张戈博客最开始使用的时候,分配的就是苏州同一个电信机房的4个节点:   之所以叫CDN,最基本的功能就是处理区域性网络阻塞的问题,比如北京联通访问南方电信可能就会非常慢,这时候CDN就应该给北京联通用户分配一个就近的CDN节点,以便获得正常或更快的访问速度! 如下图所示,加速乐居然是分配到一个机房!是智商问题还是技术问题? Ps:后来,才知道付费用户才可以分配到各地的节点,具体可以去ping卢松松的域名就知道了。 同比之下,360网站卫士的节点分配就比较合理,不同的地域访问将分配最快的那个节点。这也是张戈不怕小"度"鸡肠的百度给我降权的根本原因!毕竟,在免费服务这一块,360还是比百度慷慨多了!   最后,再吐槽一下,张戈博客从加速乐转到360加速之后,博客顶级域名被K(www做了301),几天不收录:   而且处理效率也是慢腾腾的,更换域名后,我在百度站长平台提交一个改版请求,几天了才处理了3页,别人谷歌一晚上就全部转移了!学学吧! 吐槽完毕,希望百度即将推出的百度云加速能给力一点,不要再那么的小"度"鸡肠了。
阅读全文
红旗Linux开发商中科红旗倒闭 业界新闻

红旗Linux开发商中科红旗倒闭

作为国产 Linux 发行版本代表的红旗 Linux,将很有可能在 2014 年画上休止符,负责开发维护这一分支版本的中科红旗有限公司日前已经陷入实质破产状态。 12 月 27 日,国内 Linuxeden 开源社区发布了来自红旗 Linux 发行商——北京中科红旗软件技术有限公司——员工的一封请愿书《风雨飘摇,中科红旗路在何方?》。中科红旗员工在请愿书中表示:“自 2013 年 4 月 1 日开始,由于中科院软件所 (编者注:中科红旗股东之一) 未兑现承诺支付我公司承担的核高基专项配套资金,致使公司资金链中断,从而停发全员工资至今。” 员工们原以来这样的情况会很快结束,但最终等来的是:4 月份以后的工资全部都不能发放。 最初中科红旗的员工们还有办公场地,但去年 12 月末,由于长期拖欠物业租金等费用,中科红旗位于北京海淀区紫金大厦的总部被停供水电,被迫关门。 最终,员工们选择付诸法律,向海淀法院申请劳动仲裁。虽然最终法院在今年年初作出了有利于员工们的仲裁,但员工们至今也没有拿到总额达到上千万元的工资。 维权无果让中科红旗的员工们心力交瘁,但他们自始至终也不明白一家正常运营的公司为什么会突然陷入亏损,出现资金链断裂问题。多位在中科红旗供职多年的员工告诉新浪科技:“自 2004 年起,中科红旗实际上一直处于盈利状态。” 中科院软件所显然不愿意承担这个“责任”。在中科红旗员工到工信部门前维权之后,中科院软件所在 1 月 6 号发布了《关于中科红旗情况的声明》。在这份声明中,中科院软件所作出了详细的回应。 中科院软件所在声明中说: 1、配套资金未能到位的原因是中科红旗单方面退出; 2、中科红旗遭遇困境主要是因为管理团队经营不善,与“核高基”配套资金并没有关系。 按照中科院软件所的意思,中科红旗是因为自身问题才导致关门的。 对于这一点,一些中科红旗员工则表达了不同的看法。他们认为,中科红旗在过去 10 多年的经营中客户规模在不断扩大,一直处于盈利状态,并不存在经营困难的问题。中科红旗的倒闭,软件所的折腾“功不可没”。 2 月 10 日,中科红旗的几位股东终于达成一致,同意解散公司,并进入清算程序。就这样,有着 14 年发展历史的中科红旗走到了终点。 图为2014年2月10日,中科红旗贴出的公司清算公告。   中科红旗的北京总部已经搬空,大门上锁,办公室内只剩下接待的前台。 
阅读全文
黄牛教你用抢票软件(攻略)打破规则抢票成刷票机 业界新闻

黄牛教你用抢票软件(攻略)打破规则抢票成刷票机

黄牛10分钟抢走1245张票让不少人傻眼啦。昨天,央视报道了一则春运期间网络黄牛囤票案,揭示了黄牛们利用区别于商业网站“小打小闹”的抢票插件的付费抢票软件,十分钟刷走1245张火车票。 调查发现,这种付费抢票软件,个人版每月50元,企业版每月两千到三千元。2013年12月25日记者与一名网络工程师从黄牛手中高价购买了企业级抢票软件,并用它来尝试购买2013年12月29日广州到北京的车票。G80次、T16次……10分钟就买到了1245张车票。 据了解,这种抢票软件,破解了12306网站每5秒钟抢一次的限制,以毫秒速度实时刷票,并可实现自动识别验证码,速度要比人手快百倍。这种软件还可多账户挂机,黄牛们利用前期得到的假身份证在12306注册成百上千账号批量刷票,不受12306网站对普通用户每次可买5张车票的限制,垄断票源。 参与调查的网络工程师解释,12306网站对火车票有45分钟支付期,黄牛抢到票后,会在45分钟之内找买家。真实的买家付款后,黄牛会把囤积的票放出来,然后再用真实买家的信息去买到这张票。据了解,如果在45分钟内找不到买家车票会“回炉”,但也还是能用抢票软件再抢回来的。  据了解,这一软件还具有自动生成身份证号码功能,能批量生成大量假身份证号和姓名,12306网站目前无法辨别身份证信息的真假,他们因此才可以用假信息大量囤票,然后加价倒卖。 博主看到此文,只想问下铁道部为啥不引入公安局身份证验证系统?对于这个万恶的刷票机,对于这些烦人的黄牛党,博主只想说:请问哪里可以买到?囧ing...
阅读全文