bash代码注入的安全漏洞
很多人或许对上半年发生的安全问题“心脏流血”(Heartbleed Bug)事件记忆颇深,这两天,又出现了另外一个“毁灭级”的漏洞——Bash软件安全漏洞。这个漏洞由法国GNU/Linux爱好者Stéphane Chazelas所发现。随后,美国电脑紧急应变中心(US-CERT)、红帽以及多家从事安全的公司于周三(北京时间9月24日)发出警告。 关于这个安全漏洞的细节可参看美国政府计算安全的这两个漏洞披露:CVE-2014-6271 和 CVE-2014-7169。
这个漏洞其实是非常经典的“注入式攻击”,也就是可以向 bash注入一段命令,从bash1.14 到4.3都存在这样的漏洞。我们先来看一下这个安全问题的症状。
目录
Shellshock (CVE-2014-6271)
AfterShock – CVE-2014-7169 (又叫Incomplete fix to Shellshock)
原理和技术细节
bash的环境变量
bash的函数
bash的bug
...
谁写了Linux
2009年8月,Linux软件基金会发布了一份叫《Who Writes Linux and Who Supports It》(PDF)的报告。这份报告主要对Linux 2.6.x的开发进行了全方位的统计。看了以后才知道,原来Linux的开发的生产率竟是这样的惊人,而且相当的的令人振奋,所以,在第一时间转过来给大家看看。让人不得不惊叹,这不可思议的具有非凡活力的社区。(注意,我们这里说的是Linux,不是GNU的那些东西,所谓Linux就是Linux的Kernel)
下面是一个导读,希望每一个看到这篇文章的朋友都能看看原文的报告:《Who Writes Linux and Who Supports It》(PDF)
这份报告的一开始就对Linux的开发进行了总结:
每2-3个月一个release
最近的每一次release都超过10000个补丁
有超过1000个开发人员进行开发,他们来自200个公司或组织。
自2005年以来,超过5000个来自500个不同公司的开发人员为Linux内核做过贡献。
自2008年以来,每次release,都大约增加了10%左右的开发人员,而且, ...
Ksplice Uptrack — Ubuntu更新不用重启
Ksplice是马萨诸塞州坎布里奇的一家新兴厂商,它开发的软件可以帮助计算机用户保持其操作系统的安全性而且不需要经常麻烦的重新启动就可升级操作系统,Ksplice被评为麻省理工10万美元创业竞赛的6个入围项目之一。
Ksplice是Web/IT类冠军,它将与其他5个类别的入围者争夺总奖金。该公司是去年由四个麻省理工学院校友成立的,
Ksplice目前支持Linux内核的更新,但它声称其免重启更新技术工作在目标代码层,可以适用于任何操作系统或者用户空间应用。该公司说,其技术对安全更新来说特别有益,可以解决因不方便重启而使安全更新不能及时生效的问题。
昨日他们在剑桥发布了Ksplice解决方案,运用这种技术将实现无缝更新,从企业软件、系统补丁乃至Linux内核的更新都不需要重启就可以直接完成,改变了数十年来计算机运行最新代码需要重启的麻烦问题。
相关链接:
Ksplice Uptrack 主页在这里:http://www.ksplice.com/uptrack/
安装指南在这里:http://www.ksplice.com/uptrack/download
