来源:huangguisu
链接:http://blog.csdn.net/hguisu/article/details/8930668
[......]
博文作者:深夜饮酒
发布日期:2015-11-23
阅读次数:650
博文内容:
[......]
今天我们开源了一个新的项目,Clair,这是一个用来对容器安全进行监控的工具。Clair是个API驱动(API-Driven)的分析引擎,能逐层逐层地对已知的安全漏洞进行审查。你能轻松使用Clair构建出针对容器安全漏洞的持续监控服务。CoreOS深信,那些能改善世界基础设施的安全工具,值得所有的用户和公司都拥有,所以我们将其开源。为了同样的目标,我们期待大家对Clair项目的反馈和贡献。[......]
最近Redis服务被曝出因配置不当,可能造成数据库被恶意清空,或被黑客利用写入后门文件造成进一步入侵,请关注!
一、漏洞发布日期
2015年11月10日
二、已确认被成功利用的软件及系统
对公网开放,且未启用认证的redis服务器。
三、漏洞描述[......]
有过痛苦的经历,特别能写出深刻的文章 —— 凯尔文. 肖
直接内存是IO框架的绝配,但直接内存的分配销毁不易,所以使用内存池能大幅提高性能。但,要重新培养被Java的自动垃圾回收惯坏了的惰性。 [......]
http://bbs.aliyun.com/read/227732.html
安全研究人员近日曝出一个名为幽灵(GHOST)的严重安全漏洞,这个漏洞可以允许攻击者远程获取操作系统的最高控制权限,影响市面上大量Linux操作系统及其发行版。该漏洞CVE编号为CVE-2015-0235。[......]
[......]
【编者按】去年年底美国大型零售商Target被曝受到黑客攻击,导致高达4000万张信用卡和7000万消费者的个人信息被黑客所窃,Aorato的研究员及其团队记录了攻击者用来攻击Target的所有工具,并讲述攻击者是如何渗透到零售商、在其网络内传播、并最终从PoS系统抓取信用卡数据的。[......]
安全的程序开发实践的一个关键方面就是安全代码审查。安全代码审查,与常规的代码审查一样,可以使用自动化工具完成,也可以要求开发者亲自参与到代码审查中人工完成。那么,安全代码审查与常规的代码审查有哪些差别、如何做到更有效的安全代码审查呢?大家可以通过本文了解一下。[......]
“零日漏洞”(zero-day)又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。通俗地讲,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。[......]
近日,很多安全公司和互联网公司安全部门的工程师们都没睡好觉,通宵达旦地在加班。
Struts 这个漏洞这次来势之所以这么凶猛,直接导致国内的很多银行、政府机构、几乎所有的大中型互联网公司,国外的包括苹果的开发者网站都被黑掉了,和 Struts 官方不负责任的态度有很大关系。Struts 这次在自己的漏洞公告中直接把漏洞利用代码给贴出来了,这是一种很罕见的做法。[......]
Apache Struts团队6月底发布了Struts 2.3.15版本,由于该版本被发现存在重要的安全漏洞,因此该团队今天发布了Struts 2.3.15.1安全更新版本。
该版本修复的主要安全漏洞如下:[......]
乌云网是国内一个立足于计算机厂商和安全研究者之间的安全问题反馈及发布平台,用户可以在线提交发现的网站安全漏洞,企业用户也可通过该平台获知自己网站的漏报。乌云网上线几年来,一直是it软件开发者技术交流的论坛,所探讨的技术也仅是各自领域内所接触的各类技术bug,并通过网上互动交流促进软件开发技术的发展。乌云网成立的初衷也是致力于成为一个服务于互联网IT人士技术开发的互动平台,在业界有着一定[......]
安全专家Jarmoc在博客中称,过去几天,一些基于Rails的Web应用程序和服务器遭到了攻击,攻击者成功入侵后,会在服务器上安装一个机器人,以接受来自IRC频道的进一步指示。
攻击者利用的是CVE-2013-0156这个安全漏洞,尽管Rails团队已经在今年1月份修复了该漏洞,但目前还有大量的服务器未更新至最新的版本,使得攻击者有机可乘。
该漏洞存在于Action Pack模块的参数解析代码中,允许攻击者绕过认证系统,注入并执行任意SQL代码,或对Rails应用执行DoS攻击。新的Rails版本中已经修复了该漏洞。[......]