npm 重大漏洞使得 Linux 系统崩溃+英特尔对Meltdown、Spectre漏洞知情不报数个月【马哥教育早报-205期】

2018年02月24日 星期六
【马哥教育新闻快报205期】

导读:npm 重大漏洞使得 Linux 系统崩溃+英特尔对Meltdown、Spectre漏洞知情不报数个月


每日一句


君子之学也以美其身,小人之学也以为禽犊。


早报内容


0.npm 重大漏洞使得 Linux 系统崩溃,强制用户重新安装

npm 用户 Crunkle指出 ,npm 5.7.0 完全破坏了他的文档系统权限,使得他必须手动修复重大文档与文件夹的权限。

根据 GitHub 上的 npm 臭虫报告,npm 用户 Crunkle 指出,npm 5.7.0 完全破坏了他的文档系统权限,使得他必须手动修补重大文档与文件夹的权限。另一名用户 juggy 则表示,单次的 npm 5.7.0 部署就摧毁了 3 台运作中的服务器。AWS EC2 的 Linux AMI 用户 redboltz 也说,他在部署 npm 5.7.0 之后便无法执行 sudo 指令,只好重建 EC2 实例。

变更文档权限可能造成程序或系统崩溃,甚至无法开机。

npm,Inc. 隔天就释出了 npm 5.7.1 进行修补。

1.传英特尔对Meltdown、Spectre漏洞知情不报数个月

苹果和 Alphabet 两公司本周致函美国众议员,状告英特尔早在去年年中就已获知 Meltdown、Spectre 三个漏洞,但却没有通报美国资安主管机关。
英特尔对CPU漏洞的应有态度不够积极,引起科技巨头们的联名指责。

本信是两大科技公司写给众议员能源与商务委员会主席Greg Walden,随后由路透社取得,Walden曾在稍早质疑科技公司何时获知漏洞消息。信中指出,Alphabet旗下Google的安全研究团队Project Zero早在6月就已发现CPU中的三项漏洞,并分别通知英特尔、AMD及ARM三家芯片公司。

2.MongoDB 4.0有望支持跨文档事务

自MongoDB并购了WiredTiger及其关系数据库存储引擎以来,很多技术专家一直翘首以待MongoDB何时提供对跨文档事务(multi-document transaction)的支持。MongoDB在本周宣布,跨文档事务有望于今年夏天加入到MongoDB 4.0中。

据MongoDB的Grigori Melnik宣称,“80%到90%的应用是完全不需要跨文档事务的”。然而他的说法有待商榷,在层次数据库中很有可能存在大量的反规范化(denormalized)数据,此类数据需要支持多地同时更新以确保一致性。

3. 新加坡国防部付费邀请白帽子寻找漏洞,加固政府网络安全

新家坡国防部邀请数百名白帽子对其网站进行攻击测试,以寻找漏洞、加固政府网络安全。项目结束时,新家坡政府共为此支付奖金 14750 美元。

2017 年,新家坡国防部某 web 端口遭入侵,约 850 名军人等雇员个人信息遭黑客窃取,这引起了政府部门对于网络安全的重视。因此,新家坡国防部在 2018 年伊始就在 HackerOne 上发起了这个漏洞奖励项目。项目中共提交了 97 份漏洞报告,不过有 35 份被宣布无效。

4.深交所:本所对“乐视网”股票的交易情况进行了重点监控

2月23日夜间,深交所通过其官方微博发布消息表示对“乐视网”股票的交易情况进行了重点监控。

深交所称,本周,本所共对207起证券异常交易行为进行了分析,涉及盘中拉抬打压、虚假申报、拉抬收盘价等异常交易情形,本所及时采取了监管措施。共对10起上市公司重大事项进行核查,并上报证监会7起涉嫌违法违规案件线索。同时,本所对“乐视网”股票的交易情况进行了重点监控。


【每日一个知识点】


【每日一个知识点第84期-Linux】

问题:Linux磁盘分区的命名方式和常用目录?

答案:http://www.magedu.com/75137.html

【每日一个知识点第85期-Python】

问题:Python字典内置函数&方法都有哪些?

答案:http://www.magedu.com/75140.html


【近期开班】


Linux面授班30期:2018年03月26日(北京)

Linux网络班29期:2018年02月24日(网络)

Python面授班10期:2018年03月05号(北京)

Python网络班11期:2018年03月17号(网络)

相关新闻

历经多年发展,已成为国内好评如潮的Linux云计算运维、SRE、Devops、网络安全、云原生、Go、Python开发专业人才培训机构!