1、VPNFilter 大规模来袭,感染几十个国家 50 万台路由器和存储设备
思科公司发布安全预警称,俄罗斯黑客利用恶意软件,已感染几十个国家的至少50万台路由器和存储设备。攻击中使用了高级模块化恶意软件系统“VPNFilter”,这是思科 Talos 团队与多个部门以及执法机构一直追踪研究的恶意软件。尽管目前研究尚未完成,但思科决定提前公布结果,以便受害者及潜在受害者及时防御与响应。
2、Mesa 开始将代码迁移至 GitLab,希望提升开发效率
本月早些时候,FreeDesktop.org 已将其基础设施项目迁移至 GitLab,现在 Mesa 也选择了采用这种以 Git 为中心的软件来管理代码。
开发团队目前正在鼓励 Mesa 贡献者开始使用 GitLab。这对 Mesa 开发者的好处包括:更好的 Web 界面、更好的访问权限管理、可选的内置 Wiki 支持,内置的持续基础架构支持等等。
3、Node.js 10.2.0 发布,功能改进和 Bug 修复
Node.js 10.2.0 已发布,这是针对 10.x 系列的第二个维护版本,包含一些改进和修复。主要亮点:
addons:
- Fixed a memory leak for users of AsyncResource and N-API. (Michael Dawson) #20668
crypto:
- The authTagLength option has been made more flexible. (Tobias Nie?en) #20235, #20039
- ......(详情:https://nodejs.org/en/download/current/)
4、Google 的 Java 核心工具库 Guava 25.1 发布
Guava 25.1 已发布,更新如下:
- Switched to the type annotation version of @Nullable in the JRE/Java 8 flavor.
- base: Added Strings.lenientFormat(), copied from Preconditions.format().
- net: Added Token Binding HTTP headers to HttpHeaders.
- ......(详情:https://github.com/google/guava/releases)
5、黑鸭子开源报告:私有软件使用开源代码的比例在增长
Black Duck Software 审计了超过 1000 个商业代码库,发现 96% 含有开源组件,平均每个程序含有 257 个组件,代码库里开源组件的比例从 36% 增长到了 57%,显示私有软件使用开源代码的比例在增长,很多私有程序包含的开源代码比私有代码更多。
Black Duck 还发现,78% 的代码库包含至少一个与开源组件相关的安全漏洞,平均每个代码库发现 64 个漏洞。
6、满身漏洞的 WordPress 被曝为其安装后门插件的新方法
据外媒报道,黑客发现了一种在运行开源 CMS 系统 WordPress 的网站上安装后门插件的前所未有的方法,这个方法依赖于使用弱保护的 WordPress.com 帐户和 Jetpack 插件。
据 WordPress 的报告,自 5 月 16 日后,依然出现不少被攻击的案例。攻击步骤大致如下:
- 黑客从公开漏洞中获取用户名和密码,并尝试登录 WordPress.com 帐户,使用相同密码并且没启用双因子认证的用户特别容易受到攻击。
- 黑客通过 Jetpack 安装后台插件,它是 WordPress 网站最受欢迎的插件之一。该插件的特点是能够将自主托管的 WordPress 网站连接到 WordPress.com 帐户。
目前受感染网站的数量未知,并且检测受感染网站也很困难。建议开发者如果发现可疑插件,应立即更改其 WordPress.com 帐号密码,启用该帐号的双因子身份验证,并启动站点清理程序。
閱讀更多 W3Cschool 的文章
