1、VPNFilter 大規模來襲,感染幾十個國家 50 萬臺路由器和存儲設備
思科公司發佈安全預警稱,俄羅斯黑客利用惡意軟件,已感染幾十個國家的至少50萬臺路由器和存儲設備。攻擊中使用了高級模塊化惡意軟件系統“VPNFilter”,這是思科 Talos 團隊與多個部門以及執法機構一直追蹤研究的惡意軟件。儘管目前研究尚未完成,但思科決定提前公佈結果,以便受害者及潛在受害者及時防禦與響應。
2、Mesa 開始將代碼遷移至 GitLab,希望提升開發效率
本月早些時候,FreeDesktop.org 已將其基礎設施項目遷移至 GitLab,現在 Mesa 也選擇了採用這種以 Git 為中心的軟件來管理代碼。
開發團隊目前正在鼓勵 Mesa 貢獻者開始使用 GitLab。這對 Mesa 開發者的好處包括:更好的 Web 界面、更好的訪問權限管理、可選的內置 Wiki 支持,內置的持續基礎架構支持等等。
3、Node.js 10.2.0 發佈,功能改進和 Bug 修復
Node.js 10.2.0 已發佈,這是針對 10.x 系列的第二個維護版本,包含一些改進和修復。主要亮點:
addons:
- Fixed a memory leak for users of AsyncResource and N-API. (Michael Dawson) #20668
crypto:
- The authTagLength option has been made more flexible. (Tobias Nie?en) #20235, #20039
- ......(詳情:https://nodejs.org/en/download/current/)
4、Google 的 Java 核心工具庫 Guava 25.1 發佈
Guava 25.1 已發佈,更新如下:
- Switched to the type annotation version of @Nullable in the JRE/Java 8 flavor.
- base: Added Strings.lenientFormat(), copied from Preconditions.format().
- net: Added Token Binding HTTP headers to HttpHeaders.
- ......(詳情:https://github.com/google/guava/releases)
5、黑鴨子開源報告:私有軟件使用開源代碼的比例在增長
Black Duck Software 審計了超過 1000 個商業代碼庫,發現 96% 含有開源組件,平均每個程序含有 257 個組件,代碼庫裡開源組件的比例從 36% 增長到了 57%,顯示私有軟件使用開源代碼的比例在增長,很多私有程序包含的開源代碼比私有代碼更多。
Black Duck 還發現,78% 的代碼庫包含至少一個與開源組件相關的安全漏洞,平均每個代碼庫發現 64 個漏洞。
6、滿身漏洞的 WordPress 被曝為其安裝後門插件的新方法
據外媒報道,黑客發現了一種在運行開源 CMS 系統 WordPress 的網站上安裝後門插件的前所未有的方法,這個方法依賴於使用弱保護的 WordPress.com 帳戶和 Jetpack 插件。
據 WordPress 的報告,自 5 月 16 日後,依然出現不少被攻擊的案例。攻擊步驟大致如下:
- 黑客從公開漏洞中獲取用戶名和密碼,並嘗試登錄 WordPress.com 帳戶,使用相同密碼並且沒啟用雙因子認證的用戶特別容易受到攻擊。
- 黑客通過 Jetpack 安裝後臺插件,它是 WordPress 網站最受歡迎的插件之一。該插件的特點是能夠將自主託管的 WordPress 網站連接到 WordPress.com 帳戶。
目前受感染網站的數量未知,並且檢測受感染網站也很困難。建議開發者如果發現可疑插件,應立即更改其 WordPress.com 帳號密碼,啟用該帳號的雙因子身份驗證,並啟動站點清理程序。
閱讀更多 W3Cschool 的文章
