1、jQuery文件上传漏洞存在8年,只有黑客知道
jQuery的框架中存在数千个插件。尽管每个插件的使用方法都有明确的教程,但相当一部分的插件的安全问题在多年的使用时间中从未被人重视。
Akamai SIRT的安全研究员Larry Cashdollar在分析其插件的时候发现jQuery有一个文件上传漏洞存在时间长达八年之久。开发人员表示,该漏洞是由于Apache 2.3.9发生变更而引起的,该改动默认禁用存储与文件夹相关的.htaccess安全设置文件,并且除非管理员启用该文件,否则将自动忽略,因此导致攻击者可以从外部获取webshell并运行命令。
该漏洞编号为CVE-2018-9206,最新版的jQuery已修复了这个问题。
2、接受信息泄露教训:传Facebook有意收购网络安全公司
据美国科技媒体The Information援引知情人士消息称,Facebook上周日已与几家网络安全公司就潜在收购事宜进行接触,收购目标尚未最终确定,但交易结果或将在今年年底宣布。
在经历了历史上最重大的黑客攻击事件之后,催生了Facebook强化网络安全的最新举措,Facebook希望它的数十亿用户知道平台已经准备投入网络安全领域。
3、小米正式开源 SQL 智能优化与改写工具 SOAR
小米正式开源 SQL 智能优化与改写工具 SOAR,SOAR,即 SQL Optimizer And Rewriter,是一款 SQL 智能优化与改写工具,SOAR 主要由语法解析器、集成环境、优化建议、重写逻辑、工具集五大模块组成,相比业内其他优秀产品有自己的优势。(详情:https://github.com/XiaoMi/soar)
4、Python 3.7.1 和 3.6.7 正式发布,常规维护版本
Python 3.7.1 和 3.6.7 现已正式发布。Python 3.7.1 是 Python 最新功能版本 Python 3.7 的第一个维护版本,包含许多新功能和优化。Python 3.6.7 是 Python 3.6 的第一个维护版本,包含许多新功能和优化。(详情:https://docs.python.org/3.7/whatsnew/changelog.html#python-3-7-1-final)
5、Apache Tomcat Native 1.2.18 发布
Apache Tomcat Native 1.2.18 发布了,Tomcat Native 这个项目可以让 Tomcat 使用 Apache 的 apr 包来处理引用文件和网络 IO 操作,以提升性能。可以看到该版本已添加了对 TLS 1.3 的支持,主要更新内容:
- Windows binaries built with APR 1.6.5 and OpenSSL 1.0.2p.
- Windows binaries built with APR 1.6.5 and OpenSSL 1.1.1.
- TLSv1.3 support when built with OpenSSL 1.1.1
- ......(详情:http://tomcat.apache.org/download-native.cgi)
6、HealthCare.gov注册系统被黑客入侵,75000人数据遭泄露
注册系统名为联邦便民交易所(Federally Facilitated Exchanges),由医疗保险和医疗补助服务中心(CMS)联合管理,医疗保险代理人员可通过该系统将用户在HealthCare.gov的资料导入Obamacare计划中。
CMS表示从上周起(10月13日)在系统中发现了一些异常活动,并对其展开了调查,随后确认了黑客行为,约75000人信息被盗。当前该系统已被停用。
目前CMS已通知联邦调查局以及所有受影响的用户,以争取尽快解决问题。