像我们中的许多人一样,我昨天花了很多时间更新大量系统以减轻Meltdown 和 Spectre 攻击。据我了解,有必要安装两个包并重新启动:
kernel-3.10.0-693.11.6.el7.x86_64
microcode_ctl-2.1-22.2.el7.x86_64
我有两个 CentOS 7 系统,我已经在这些系统上安装了这些软件包并重新启动。
根据 Red Hat 的说法,我可以通过检查这些 sysctl 并确保它们都为 1 来检查缓解的状态。 但是,在这些系统上,它们并非都是 1:
# cat /sys/kernel/debug/x86/pti_enabled
1
# cat /sys/kernel/debug/x86/ibpb_enabled
0
# cat /sys/kernel/debug/x86/ibrs_enabled
0
我也不能将它们设置为 1:
# echo 1 > /sys/kernel/debug/x86/ibpb_enabled
-bash: echo: write error: No such device
# echo 1 > /sys/kernel/debug/x86/ibrs_enabled
-bash: echo: write error: No such device
我确认英特尔微码似乎已在启动时加载:
# systemctl status microcode -l
? microcode.service - Load CPU microcode update
Loaded: loaded (/usr/lib/systemd/system/microcode.service; enabled; vendor …我打算用 DNSSEC 签署我的 DNS 区域。我的区域、注册商和我的 DNS 服务器 (BIND9) 都支持 DNSSEC。唯一不支持 DNSSEC 的是我的二级域名服务器提供商(即buddyns.com)。
在他们的网站上,他们对 DNSSEC 进行了说明:
BuddyNS 不支持 DNSSEC,因为它暴露了一些不适合大容量 DNS 服务的漏洞。
好吧,我认为 DNSSEC 的使用目前在某种程度上是有问题的,因为大多数解析器不检查记录是否正确签名。我不知道的是 - 根据他们的声明 - 似乎提供它会暴露某种安全漏洞。
这些“漏洞”是什么?
我们有一个小型 Java 应用程序,它使用一些 Camel 路由从网络服务器获取上传的文件,处理它们并发送一些带有结果的电子邮件。
运行此应用程序的服务器已停用。现在我们必须在动力不足的硬件上运行它,因为我无法说服管理员在网络服务器(实际上是一个多用途服务器)上安装 JRE。
我自己是一名 Java 应用程序工程师,我以编写 JEE 代码为生,处理每周价值数万欧元的 B2B 交易。但是我在找到驳斥 java 本身不安全的神话的可靠来源时遇到了问题。
管理员反对安装 JRE 的两个主要论点:
当涉及到占用内存的 Java 应用程序时。嗯...我想说我们必须为 Xmx 设置适当的值。完毕。
现在有很多消息来源在谈论 Java 的许多漏洞。这些来源主要针对运行来自美国雷德蒙德公司的特定操作系统的最终用户。AFAIK 对于配置为自动执行所有小程序的 Java 浏览器插件的未打补丁版本来说可能是真的,很有可能成为驱动感染的受害者。就像在上下班途中与火车上的每个人进行无保护性行为一样有感染性病的风险。
但是我在全球互联网上找不到任何人谈论服务器应用程序或无头运行的 JRE。那完全是另一回事。
或者我在这里遗漏了什么?
[edit 2014-08-28] 澄清:我只关心服务器上的 Java。我不关心 Java 插件和/或用 Java 开发的特定软件的问题。
在漏洞大规模发布 24 小时后,Rackspace 对 Spectre 和 Meltdown 保持沉默。他们没有修补所有 Xen 管理程序的计划。他们所有较新的平台服务器都是易受攻击的 HVM 服务器。较旧的 PV 服务器不易受到攻击。
我已经更新了我的 HVM 来宾的 Linux 内核,但 Rackspace 没有更新他们的任何管理程序。在未打补丁的虚拟机管理程序上更新来宾内核会阻止“坏人”虚拟机访问从我打补丁的主机泄漏的内存吗?
来自:http : //seclists.org/fulldisclosure/2009/Jul/0388.html
如果我从以下帖子中理解得最好:http : //news.ycombinator.com/item?id=723798 Matasano 的人让 sshd 互联网可访问 - 对此有任何建议的解决方案(从编程的角度来看)?
Windows 中有没有办法检查安全公告MS**-***或CVE-****-*****已修补?例如类似于 RedHat 的东西rpm -q --changelog service
视窗 2008 R2 SP1
OpenSSL 刚刚宣布了其内存例程中的另一个新漏洞。您可以在此处阅读所有相关信息:https : //www.openssl.org/news/secadv_20141015.txt
解决方法是禁用 SSLv3。
此漏洞是在 glibc 中发现的,有关详细信息,请参阅此黑客新闻帖子。
如debian bug tracker 中所述,该漏洞已在测试中修补且不稳定。
我想尽早修补它,所以是否可以从这些版本之一安装修补包,如果是,我该怎么做?
我认为这是某种类型的黑客尝试。我试过用谷歌搜索它,但我得到的只是看起来已经被利用的网站。
我看到对我的一个页面的请求看起来像这样。
/listMessages.asp?page=8&catid=5+%28200+ok%29+ACCEPTED
'(200 ok) ACCEPTED' 很奇怪。但它似乎没有做任何事情。
我在 IIS 5 和 ASP 3.0 上运行。这个“黑客”是否适用于其他类型的网络服务器?
编辑:
正常请求看起来像:
/listMessages.asp?page=8&catid=5
有正确的方法可以在 Debian Lenny 和 Squeeze 上修补 GHOST 吗?
根据此链接,没有计划修补 Lenny https://security-tracker.debian.org/tracker/CVE-2015-0235
谢谢!