Drupal开发人员发布了Drupal的 7.69、8.7.11和8.8.1版本，这些版本解决了多个漏洞，其中包括一个严重的文件处理问题。 Archive_Tar第三方库相关漏洞是本次修复中遇到的最难处理的。Archive_Tar是处理PHP中的TAR存档文件的工具。此漏洞影响到了Drupal 7x，8.7.x和8.8.x版本。Drupal的Jasper Mattsson报告了此漏洞。 Drupal针对漏洞SA-CORE-2019-012发布安全公告称：“ Drupal项目使用第三方库Archive_Tar，该库已发布的安全更新将会影响Drupal配置。如果允许上传.tar, .tar.gz, .bz2 or .tlz 文件并对其进行处理，则可能触发多个漏洞 。Drupal的最新版本将Archive_Tar升级为1.4.9，以降低文件处理漏洞严重性。” 专家指出某些配置容易受到攻击，允许上传TAR，TAR.GZ，BZ2或TLZ文件的网站有一定安全风险。 开发团队发布了1.4.9版本以解决此问题。 Drupal开发人员解决的其他漏洞是： Drupal core –中等严重–绕过权限– SA-CORE-2019-011 –该漏洞与Media Library有关，在某些情况下无法控制媒体应用使用权限； Drupal core –中等严重–多个漏洞– SA-CORE-2019-010； Drupal core –中等严重–拒绝服务– SA-CORE-2019-009 –DoS漏洞。 等级为“严重”的问题影响版本8.7.x和8.8.x。   消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

施耐德电气公司近期解决了Modicon M580，M340，Quantum和Premium控制器中的DoS漏洞，并表示这三个缺陷都是由于检查不当造成的。 这三个漏洞是： 第一个是CVE-2019-6857，CVSS v3.0 的基本评分为 7.5，具有高危险性。使用Modbus TCP读取特定的存储器块时，该漏洞可能导致控制器遭遇DoS攻击。 CVE-2019-6856，CVSS v3.0 评分同样为 7.5，具有高危险性。在使用Modbus TCP编写特定的物理内存块时可能会导致DoS 攻击。 第三个漏洞编号为CVE-2018-7794，CVSS v3.0 评分为 5.9，为中度危险。当使用Modbus TCP读取的数据的索引无效时，该漏洞可能导致DoS攻击。 来自Nozomi Networks的Mengmeng Young和Gideon Guo（CVE-2019-6857），Chansim Deng（CVE-2019-6856）和Younes Dragoni（CVE-2018-7794）已报告了漏洞。 施耐德还告知其用户，EcoStruxure下有三个产品（ Power SCADA Operation 的电源监控软件等）出现了多个漏洞。 根据Applied Risk的报告，漏洞源于一个严重堆栈溢出漏洞，黑客可以利用该漏洞触发DoS。 报告还指出：“Schneider ClearSCADA出现了一个文件权限引发的漏洞。黑客由此可以修改系统配置和数据文件。” 施耐德电气还发现了EcoStruxure Control Expert编程软件中的一个中级漏洞（该软件为Modicon可编程自动化控制器提供服务），该漏洞可能使黑客绕过软件与控制器之间的身份验证过程。     消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Android系统发布了2019年12月的安全更新，此次解决的漏洞中包含一个可能导致DoS攻击的严重漏洞（CVE-2019-2232）。 12月1日的补丁解决了Framework中的六个漏洞，两个媒体框架漏洞，系统中的七个以及Google Play系统更新中的两个漏洞。 CVE-2019-2232 DoS漏洞将会影响Framework组件，以及Android版本8.0、8.1、9和10。 Google发布安全公告称：“黑客可能利用漏洞伪造特殊消息，进而导致永久拒绝服务。”。 Google还解决了Framework中的5个漏洞，三个特权提升漏洞（CVE-2019-9464，CVE-2019-2217，CVE-2019-2218），一个高风险信息泄露（CVE-2019-2220 ），以及一个中等级别的特权提升错误 （CVE-2019-2221）。 系统中修补的漏洞严重性较高，例如远程执行代码，特权提升和五个信息泄露漏洞。 12月5日的补丁各自解决了Framework和System中的一个高危信息泄露漏洞。它还修复了内核中的三个高风险特权提升漏洞以及高通组件中的十二个高危漏洞。 除此之外，Google还解决了Pixel设备上的一系列安全漏洞。     消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

对于开发者而言，Stack Overflow 和 GitHub 是最为熟悉不过的两大平台，这些平台充斥着大量开源项目信息和解决各类问题的代码片段。而就在近日，Palantir的 Java 开发人员，也是 StackQflow（与编程相关的问题的问答网站）中排名最高的参与者之一  Andreas Lundblad 却承认，一段自己十年前写的代码，也是 Stack Overflow 上复制次数最多、传播范围最广的代码段均包含一个错误。 据悉，2018年发表的一篇学术论文[PDF]确定了在网站上发布的代码片段 Lundblad 是从 StackOverflow 提取的复制最多的 Java 代码，然后在开源项目中重复使用。 该代码段以人类可读格式（例如 123.5 MB）打印了字节数（123,456,789 字节）。学者发现，此代码已被复制并嵌入到 6,000 多个 GitHub Java 项目中，比其他任何 StackOverflow Java 代码段都多。 而在上周发布的博客文章中，Lundblad 则承认，该代码存在缺陷，并且错误地将字节数转换为人类可读的格式。他表示，在学习了学术论文及其结果之后，已重新审视了代码。同时再次查看了该代码，并在其博客上发布了更正的版本。 STACKOVERFLOW 代码有时包含安全性错误 据了解，尽管 Lundblad 的代码段是存在一个琐碎的转换错误，仅导致文件大小估计稍有不准确，但情况或许可能会更糟。例如，该代码可能包含安全漏洞。如果这样做的话，那么修复所有易受攻击的应用程序将花费数月甚至数年，使用户容易受到攻击。 事实上，即使普遍认为从 StackOverflow 复制粘贴代码是一个坏主意，但开发人员还是一直这样做。 2018 年的研究论文显示了这种做法在 Java 生态系统中的普及程度，并揭示了复制流行的 StackOverflow 答案的绝大多数开发人员甚至都没有理会其来源。 从 StackOverflow 复制代码但没有署名的软件开发人员，实际上对其他编码人员隐藏了他们已经在项目内部引入未经审查的代码的情况。 这听起来像是一个过于警惕的声明，但在 2019 年 10 月发表的另一项学术研究项目[PDF]显示，StackOverflow 代码段确实包含漏洞。该研究论文在过去十年中在 StackOverflow 上发布的 69 种最流行的 C ++ 代码片段中发现了主要的安全漏洞。 研究人员透露，他们在总共 2859 个 GitHub 项目中发现了这 69 个易受攻击的代码片段，显示了一个错误的 StackOverflow 答案如何对整个开源应用生态系统造成破坏。     （稿源：cnBeta，封面源自网络。）  

安全研究公司SafeBreach在卡巴斯基安全连接软件中发现的一个安全问题，它本身被捆绑到一系列其他卡巴斯基安全产品中，允许恶意攻击者在更复杂的攻击情况下获得签名代码执行，甚至规避防御。 编号为CVE-2019-15689的安全公告详细介绍了该漏洞，该漏洞使黑客能够通过作为NT权限/系统启动的签名版本运行未签名的可执行文件，技术上为在受攻击设备上进一步恶意活动打开了大门。 SafeBreak解释说，卡巴斯基安全连接捆绑到卡巴斯基杀毒软件、卡巴斯基互联网安全软件、卡巴斯基Total Security软件和其他软件中，使用的服务具有系统权限，并且可执行文件由“ AO Kaspersly Lab”签名。如果攻击者找到了在此过程中执行代码的方法，则可以将其用作应用程序白名单绕过安全产品。 而且由于该服务是在引导时运行的，这意味着潜在的攻击者甚至可以在每次系统启动时获得持久性，来运行恶意有效负载。深入分析发现，卡巴斯基的服务试图加载一系列dll，其中一些dll丢失了，而且由于安全软件不使用签名验证，很容易将未签名的可执行文件伪装成已签名的可执行文件。此外，Kaspersky服务不使用安全DLL加载，这意味着它只使用DLL的文件名，而不是绝对路径。该错误已于2019年7月报告给卡巴斯基，SafeBreak于11月21日发布了CVE-2019-15689安全公告。   （稿源：cnBeta，封面源自网络。）

谷歌为其最新的 Android 10 移动操作系统系列发布了 2019 年 12 月的 Android 安全补丁，以解决一些最关键的安全漏洞。 由2019年12月1日和2019年12月5日安全补丁程序级别组成，2019年12月的Android安全补丁程序解决了Android组件，Android框架，媒体框架，Android系统，内核组件，以及高通的组件，包括封闭源代码的组件。 据悉，此更新中修复的最关键的安全问题会影响 Framework 组件，并可能允许远程攻击者永久拒绝服务。此外，其还修复了一个漏洞，该漏洞可能允许远程攻击者通过使用特制文件在特权进程的上下文中执行任意代码，并且该漏洞可能使具有特权访问权限的本地攻击者能够访问敏感数据。 与此同时，谷歌还发布了 2019 年 12 月的 Pixel Update 公告，以解决各种针对Pixel设备的安全漏洞和问题，以及 2019 年 12 月的 Android 安全公告中描述的安全漏洞。2019 年 12 月的 Pixel 更新公告包含针对内核组件和 Android 系统中发现的总共 8 个漏洞的修复程序。 目前，2019 年 12 月的 Android 安全公告和 2019 年 12 月的 Pixel 更新公告都将向所有受支持的 Pixel 设备推出，包括 Pixel 2，Pixel 2 XL，Pixel 3，Pixel 3 XL，Pixel 3a，Pixel 3a XL，Pixel 4 和 Pixel 4 XL。而在接下来的几周内，它还将可用于 Essential，Samsung，OnePlus 和更多制造商的其他 Android 设备。   （稿源：开源中国，封面源自网络。）

本月初，KerbsOnSecurity 收到了一位研究人员的电子邮件，声称其通过简单的手段，就轻松拿到了 .GOV 域名。若这一漏洞被利用，或导致 .Gov 域名出现信任危机。其表示，自己通过填写线上表格，从美国一个只有 .us 域名的小镇主页上抓取了部分抬头信息，并在申请材料中冒名为当地官员，就成功地骗取了审核者的信任。 这位要求匿名的消息人士称：其使用了虚假的 Google 语音号码和虚假的 Gmail 地址，但这一切只是出于思想实验的目的，资料中唯一真实的，就是政府官员的名字。 据悉，这封邮件是从 exeterri.gov 域名发送来的。该域名于 11 月 14 日注册，网站内容与其模仿的 .us 站点相同（罗德岛州埃克塞特的 Town.exeter.ri.us 网站，现已失效）。 消息人士补充道：其必须填写正式的授权表单，但基本上只需列出管理员、技术人员和计费人员等信息。 此外，它需要打印在“官方信笺”上，但你只需搜索一份市政府的公文模板，即可轻松为伪造。 然后通过传真或邮件发送，审核通过后，即可注册机构发来的创建链接。 从技术上讲，这位消息人士已涉嫌邮件欺诈。若其使用了美国境内的服务，还可能遭到相应的指控。但是对于藏在暗处的网络犯罪分子来说，这个漏洞显然求之不得。 为了堵上流程漏洞，爆料人希望能够引入更加严格的 ID 认证。尽管他所做的实验并不合法，但事实表明确实很容易得逞。 今天早些时候，KrebsOnSecurity 与真正的埃克塞特官员取得了联系。某不愿透露姓名的工作人员称，GSA 曾在 11 月 24 日向市长办公室打过电话。 然而这通电话是在其向联邦机构提出询问的四天之后，距离仿冒域名通过审批更是已过去 10 天左右。 尽管没有直接回应，但该机构还是写到：“GSA 正在与当局合作，且已实施其它预防欺诈的控制措施”。至于具体有哪些附加错误，其并未详细说明。 不过 KrebsOnSecurity 确实得到了国土安全部下属网络安全与基础设施安全局的实质性回应，称其正在努力为 .gov 域名提供保护。     （稿源 cnBeta ,封面源自网络。）

Apache Solr 这次遇到的漏洞比想象的要危险得多。 Apache Solr 是一个用Java编写的高度可靠，可扩展且容错的开源搜索引擎，可提供分布式索引，复制和负载平衡查询，自动故障转移和恢复，集中式配置等。 安全公告称，此问题最初被命名为“solr.in.sh 含有未注释行”，并告诉用户检查其  solr.in.sh 文件。后来由于远程执行代码的风险，他们升级了此漏洞并取得了CVE编号。 该漏洞影响 Apache Solr 在 Linux 系统上的8.1.1和8.2.0版本（不影响Windows），这些版本的 sol.in.sh 文件中的 ENABLE_REMOTE_JMX_OPTS 配置不安全。 发现该漏洞时，由于专家认为攻击者只能利用该漏洞访问Solr监视数据，所以 Apache Solr 团队没有意识到它的严重性。 10月30日，用户“ s00py ” 在GitHub上发布了漏洞利用代码，使得黑客可以远程执行代码。为了使用Apache Velocity 模板，漏洞利用代码使用了暴露的 8983 端口 ，并利用该模板来上传和运行恶意代码。 两天后，用户“ jas502n ”发布了第二个PoC代码  ，凭借此代码，黑客可以轻松利用该漏洞。 这两个PoC迫使Solr团队于11月15日更新安全公告，漏洞CVE为 CVE-2019-12409。   专家们目前还没有探测到在野利用攻击，不过他们认为这只是时间问题。   消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

网易科技讯 11月23日消息，据国外媒体报道，据知情人士透露，在最新版的iPhone和iPad操作系统接连出现一大堆漏洞之后，苹果公司正在改革其软件测试方式。 在与公司软件开发人员举行的最近一次内部“启动”会议上，苹果软件主管克雷格·费德里吉(Craig Federighi)和斯泰西·利希克(Stacey Lysik)等副手们宣布了软件测试方面的变化。新方法要求苹果开发团队确保未来软件更新的测试版，也就是所谓的“每日构建(Daily build)”，在默认情况下禁用未完成或有缺陷的所有功能。然后，测试人员可以通过一个称为Flags的全新内部流程和设置菜单有选择地启用这些特性或功能，从而能够将每个单独添加特性会对系统产生何种影响相互隔离开来。 今年9月，当苹果公司的iOS 13操作系统与iPhone 11系列智能手机同时发布时，iPhone用户和应用程序开发者发现了一连串的软件故障：应用程序崩溃或启动缓慢；手机信号参差不齐；应用程序出现了用户界面错误，比如消息、系统搜索都出现问题，电子邮件也存在加载问题。而通过iCloud共享文件夹以及将音乐流媒体传输到多组AirPods上等新功能要么被推迟，要么仍未实现。毫不客气的说，这次操作系统升级是是苹果历史上最麻烦、最粗糙的。 “iOS 13在继续摧毁我的士气，”知名开发者马尔科·阿蒙德(Marco Arment)在Twitter上写道。“我也是，”购物清单应用AnyList联合创始人杰森·马尔(Jason Marr)说，“在iOS 13上，苹果的表现的确是对开发者和用户的不尊重。” 这些问题表明，iPhone已经变得有多复杂，而且用户很容易对一家以软硬件顺畅整合而著称的公司感到失望。对苹果公司来说，每年跟随最新款iPhone定时发布软件更新，是增加系统新功能、防止用户转向主要竞争对手Android的关键途径。更新后的操作系统还为开发者提供了更多的应用程序开发工具，从而为苹果的应用商店带来了更多收入。 苹果发言人特鲁迪·穆勒(Trudy Muller)拒绝置评。 新的开发过程将有助于提高早期内部iOS操作系统版本的可用性，或者用苹果的话说，（不同功能）更加“易于相处”。在iOS 14开发之前，有些团队每天都会添加一些还没有经过充分测试的功能，而其他团队则每周都会对现有功能进行修改。“每天的开发过程就像一整份食谱，但很多厨师都在添加配料，”一位了解开发过程的人士表示。 测试软件在开发不同阶段的变化是如此之多，以至于这些设备常常变得难以运行。由于这个原因，一些“测试人员会在一团糟的情况下将系统跑上几天，所以他们根本不会真正清楚哪些功能会对系统产生何种作用。”该人士说。在这种情况下，由于苹果工程师很难测试出操作系统对许多新添加功能的反应，从而导致iOS 13频频出现某些问题，因此也无法达到测试目标。 苹果公司内部测试是所谓的“白手套”测试，用1到100的等级来衡量和排名其软件整体质量。有问题的软件版本得分可能在60分左右，而更稳定的软件可能在80分以上。iOS 13的得分低于之前更完善的iOS 12操作系统。在开发过程中，苹果团队还为软件产品的功能特性分别设置了绿色、黄色和红色的代码，以显示这种功能特性在开发过程中的质量。相应的优先级从0到5，其中0是关键问题，5是次要问题，用于确定单个软件错误的严重性。 新策略已经被应用到代号为“Azul”的iOS 14系统开发中，该系统将于明年发布。苹果还考虑将iOS 14的一些功能推迟到2021年发布，在公司内部这一更新被称为“Azul +1”，也可能会以iOS 15公开发布，这也让公司有更多时间关注操作系统性能。不过，熟悉苹果计划的人士表示，预计iOS 14在新功能的广度上将与iOS 13不相上下。 测试策略的转移将适用于所有苹果的操作系统，包括iPadOS、watchOS、macOS和tvOS。最新的Mac电脑操作系统macOS Catalina也出现了一些问题，比如与许多应用程序不兼容，邮件中缺少信息。一些运行基于iOS操作系统的HomePod音箱在最近一次iOS 13更新后无法工作，导致苹果暂时停止升级。另一方面，最新的苹果电视和苹果手表系统更新则相对顺利。 苹果公司的高管们希望，从长远来看，全面改革后的测试方法将提高公司软件质量。但这并不是苹果工程师第一次听到管理层这么说。 去年，苹果曾推迟了iOS 12的几项功能发布，其中包括对CarPlay和iPad主屏幕的重新设计，专注于提高可靠性和整体性能。在2018年1月的一次全体会议上，费德里吉表示，公司对新功能的重视程度过高，应该优先向消费者提供他们想要的质量和稳定性。 随后，苹果成立了所谓的“老虎团队”来解决iOS特定部分的性能问题。该公司从整个软件部门调派工程师，专注于加快应用程序启动时间、改善网络连接和延长电池寿命等任务。当iOS 12操作系统于2018年秋季发布时，运行相当稳定，在头两个月内只进行了两次更新。 这种成功没有延续到今年的操作系统升级。iOS 13的最初版本漏洞百出，以至于苹果不得不匆忙发布了几个补丁。在iOS 13发布的头两个月里，已经进行了8次更新，是自2012年费德里吉接管苹果iOS软件工程部门以来最多的一次。该公司目前正在测试另一个新版本iOS 13.3，这本是要在明年春天进行的后续工作。 今年6月份苹果召开了2019年度全球开发者大会。大约在此一个月前，该公司的软件工程师就开始意识到，当时在公司内部被称为Yukon的iOS 13表现不如之前的版本。一些参与这个项目的人说系统开发是一个“烂摊子”。 今年8月，苹果工程师们意识到，几周后与新iPhone一起发布的iOS 13.0根本无法达到质量标准，于是决定放弃对其进行修补，专注于改进后续的第一次更新版本iOS 13.1。苹果私下里认为iOS 13.1是“真正的公开发布版本”，其质量水平与iOS 12相当。公司预计只有铁杆苹果粉丝才会在手机上安装iOS 13.0操作系统。 9月24日苹果发布了更新的iOS 13.1，这比既定时间提前了一周，也压缩了iOS 13.0作为苹果旗舰操作系统发布的时间。新iPhone与苹果软件紧密集成，因此从技术角度讲，不可能推出搭载iOS 12操作系统的iPhone 11系列智能手机。由于新款手机发布时iOS 13.1还没能及时准备好，苹果唯一的选择就是发布iOS 13.0，并尽快让所有人更新到iOS 13.1。 虽然iOS 13出现的问题确实让iPhone用户感到不安，但更新速度还是相当快。据苹果称，截至10月中旬，半数苹果设备用户都在运行iOS 13。这一升级速度仍远远领先于谷歌的Android。 iOS 13.1发布后，苹果的软件工程部门迅速转向iOS 13.2，其质量目标是优于iOS 12。这次更新后的抱怨比iOS 13操作系统的前几次更新都要少，但却仍有一个错误，系统会在不应该关闭的情况下关闭后台的应用程序。 苹果应用程序资深开发者史蒂夫·特劳顿-史密斯(Steve Troughton-Smith)在Twitter上写道：“iOS 13给人的感觉就像是一个超级混乱的版本，自iOS 8以来我们从未见过如此糟糕的情况。”   （稿源：网易科技，封面源自网络）

据外媒TechCrunch报道，游戏《Magic：The Gathering》的开发商 Wizards of the Coast已经确认，安全漏洞使数十万游戏玩家的数据遭泄露。该游戏开发商将数据库备份文件留在了公共的Amazon Web Services存储桶中。但是存储桶上没有密码，任何人都可以访问其中的文件。 据悉。自9月初以来，该存储桶就已经遭泄露。但是英国网络安全公司Fidus Information Security最近找到数据库并报告了此事。   对数据库文件的检查显示，其中包括有452634名玩家的信息，含与Wizards of the Coast员工相关的约470个电子邮件地址。该数据库包括玩家名称和用户名，电子邮件地址，以及创建帐户的日期和时间。该数据库还具有用户密码，这些密码经过哈希处理，因此很难但并非不可能被解密。没有数据被加密。根据外媒TechCrunch对数据的审查，这些帐户的日期至少可以追溯到2012年，但是一些最近的条目可以追溯到2018年年中。 Fidus联系Wizards of the Coast，但没有听到任何回应。直到TechCrunch与该公司取得之后，这家游戏制造商才将存储桶脱机。 该公司发言人Bruce Dugan在一份声明中对TechCrunch表示：“我们了解到，已被停止使用的网站上的数据库文件被无意间从公司外部访问了。”他表示：“我们从服务器上删除了数据库文件，并开始了调查以确定事件的范围。我们认为这是一起孤立事件，我们没有理由相信对数据进行了任何恶意使用，”但是发言人没有提供任何证据证明这一说法。 他表示：“但是，出于谨慎考虑，我们会通知玩家其信息已包含在数据库中，并要求他们在我们当前的系统上重置密码。” Fidus研发总监Harriet Lester表示：“在当今时代，错误的配置和缺乏基本的安全卫生措施仍然令人感到惊讶，尤其是当涉及到拥有超过45万个帐户用户的大型公司时。 ”“我们的研究团队不断工作，寻找诸如此类的错误配置，以尽快提醒公司，避免数据落入不法分子之手。这是我们帮助互联网更安全的小方法，”她告诉TechCrunch。 这家游戏机制造商表示，已根据欧洲GDPR法规的违规通知规则将有关泄露情况告知了英国数据保护部门。英国信息专员办公室没有立即回应此事。 对于违反GDPR的公司，可能会最高被处以相当于其全球年收入4%的罚款。   （稿源：cnBeta，封面源自网络。）