Unix和Linux操作系统广泛使用的GNU Bourne Again Shell(Bash)发现了一个允许远程执行代码的严重安全漏洞。该漏洞是Stephane Schazelas发 现的,与Bash处理来自操作系统或调用Bash脚本的应用程序的环境变量有关。如果Bash是默认的系统shell,网络攻击者可以通过发送Web请 求、secure shell、telnet会话或其它使用Bash执行脚本的程序攻击服务器和其它Unix和Linux设备。
该漏洞在影响范围上与Heartbleed漏 洞相当,在危险程度上也许没有Heartbleed高。漏洞影响GNU Bash v1.14到v4.3,主要Linux发行版如Red Hat Enterprise Linux (v4到7)、Fedora、CentOS、Ubuntu和Debian都已经发布了补丁。
但补丁尚未完全修复问题。你可以输入命令env x='() { :;}; echo vulnerable’ bash -c “echo this is a test”测试你的系统是否存在漏洞,如果存在漏洞会返回“vulnerable this is a test”。
流行加密工具TrueCrypt背后的匿名开发者在今年早些时候突然宣布项目终止开发,并警告使用TrueCrypt不安全,软件可能包含未修正的安全问题。
TrueCrypt作者自己写的开源许可证对fork有很多限制,而TrueCrypt的一位开发者认为在参考TrueCrypt源代码的情况下重写并不需要太多工作。现在,一群开发者宣布fork终止已经开发的TrueCrypt,创建CipherShed项目,将在标准的开源许可证下公开源代码。
钓鱼岛最新消息:今天是“9·18”事变83周年。在香港,15日因受台风“海鸥”影响而未能出海的5名“保钓行动委员会”成员在今天乘坐保钓船“启丰二号”,从香港筲箕湾避风港再度出航,准备到钓鱼岛宣示主权。但据“保钓行动委员会”成员称,当天下午4点左右,香港水警人员在“启丰二号”在行驶至香港南丫岛海域时紧急登船,并将“启丰二号”带回西湾河水警基地接受调查。
“保钓行动委员会”主席罗堪就称,虽然保钓船曾于9月15日出港,但因受台风“海鸥”影响,未能如期离开香港海域。因此“保钓行动委员会”决定于“9·18”事变83周年当天再出航。18日下午1点45分,“启丰二号”从香港筲箕湾避风港再度出航。
由于香港海事部门认为“启丰二号”只能用于捕捞不能用于去钓鱼岛宣示主权,否则按法律起诉。因此“保钓行动委员会”将本次行动定位为“捕鱼”,并在出港后于香港南丫岛海域展开“捕鱼活动”。
在2012年登陆钓鱼岛之后,“启丰二号”保钓船屡次计划出海前往钓鱼岛,但均遭香港海事部门拦截。而“保钓行动委员会”副主席古桂耀在被问及若本次出海再次受到香港海事部门阻拦时该如何处理,古桂耀对此回答说:“我们不理他,争取穿过去。”而行动委员会罗堪就则称,这次“启丰二号”若能成功驶入公海,台湾的“保钓行动委员会”方面也会展开配合。 Continue reading »
2014-09-18 22:29:50 来源:中国社会科学院
据朝中社17日消息,朝鲜人权研究协会(North Korea’s Association for Human Rights Studies)本周就朝鲜的人权状况发布报告,称朝鲜秉持以人为本的科学思想,指责美国捏造“反朝”人权信息,称“美国人生活在地狱中”,而朝中社也随后刊文质疑美国任命一个同性恋负责撰写人权报告的合理性。
在这份53558字的英文报告中,朝鲜人权研究协会详细介绍了朝鲜保护和增进人权的历史和现状,以及朝鲜对国际人权公约的履行情况等。
报告称,朝鲜人民享有“真正的人权”,批评国际社会的人权评判标准以欧美、日韩为基础,报告指出,朝鲜人民“对其全世界最先进的人权系统感到非常自豪”。
今年2月,联合国就朝鲜人权状况发布的一份报告称,朝鲜对本国公民进行监视,对政见异己者实行关押、施以酷刑、甚至杀害。
而朝鲜在该报告中谈到了自身的11年义务教育系统,针对性别平等的立法、保护劳工每天8小时工作制的监管、民众的选举和被选举权、言论自由权等。
朝中社也在报道中称,美国等西方国家在国际舞台上散播“人权高于主权”的见解,是为其干涉他国内政的行为正名。如果一个国家丧失了主权,那么议论该国人民的人权问题便是纸上谈兵。朝鲜的殖民地历史和当今伊拉克局势就充分证明了这一点。主权才是不可被剥夺的绝对权利。
朝方报告在结尾处称,无论他人观点如何,这份报告都是绝对正确的。
最近将Nginx从1.60升级到1.61,然后发现php不能解析了。
切换回Apache,工作正常,说明不是php5-fpm的问题,而确实是nginx出问题了。
生产环境,若要稳定,还是apache比较好,很多年了从来没有出现类似的问题。
但是nginx的性能是有目共睹的。
回到正题,google了一下,解决办法如下: Continue reading »
2014年9月9日消息,小米手机“自动回传用户资料”一事刚平息不久又起波澜,《苹果日报》香港版连发两篇文章——《资料传北京 Apps疑被做手脚》、《小米泄密风波 私隐署跟进》,先是援引资讯安全公司Nexusguard Consulting测试,指责更新后的红米1S(小米此前表示更新OTA后会解决自动回传问题)还是没解决自动回传问题,每隔半小时便会将手机资料上传至新加坡服务器,后又指控小米商店App被“做手脚”。
以下为原文摘要:
香港资讯保安专家杨和生和资讯安全公司Nexusguard对新的红米1S手机进行13天测试,结果发现如果不更新由小米公司提供的“更新包”,手机每天上午会自动把资料加密传送到北京服务器,即使安装小米公司的“更新包”,红米手机仍会每隔半小时自动上传手机资料,到新加坡一个租用的亚马逊服务器。
小米手机分中国大陆版本及香港/国际版本。中国版沒有Google Play服务,小米于是自行开发小米应用商店取代,店内有facebook、WhatsApp等热门Android Apps,还包括一些Google Play上的收费Apps,全供免费下載,吸引不少香港版用户使用。
资讯安全公司Nexusguard Consulting测试过小米应用商店内的Apps,发现这些Apps会连接中国内地伺服器。例如在Google Play下载的官方WhatsApp,用户发短讯时,资料内容只会经过Google及WhatsApp的美国服务器,再传到目标用户的手机。但在小米应用商店下载的小米版WhatsApp,则疑被人预先修改,发短讯时资料会传到九个中国服务器。
根据IP资料,九个服务器分别属于中国联通、北京森华易腾通信技术有限公司及北京蓝讯通信技术有限责任公司,分别位处北京及广州。北京森华易腾主要经营互联网数据中心及网络安全服务,也会向其他公司提供收集大数据(Big Data)等服务。
此外,小米版Apps的档案普遍较大。以WhatsApp及facebook为例,小米版与官方的程式版本相同,但小米版的档案大小为15.3MB及13.67MB,官方则只有14.59MB及13.66MB。另现时Google play上的官方facebook App,版本为15.0;小米版却已去到17.0,比官方还要“新”。 Continue reading »
随着Firefox 32的发布,Mozilla正式终止支持1024位CA证书。早在2011年美国国家标准技术研究所就建议企业升级到2048位或更长的密钥,尽管当时因式分解和破解1024位长的RSA密钥仍然需要大量的计算资源。除了Firefox外,Mozilla的邮件客户端Thunderbird也停止了对1024位密钥的支持。
有多少网站会受到影响?Rapid7的Project Sonar扫描了6500万证书,索引了约2000万网站,大约有107,535个网站的证书将会不被信任,但其中76,185个网站使用的证书已经过期了,任何浏览器都会发出警告。