甲骨文(Oracle)展開每季例行性重大修補更新,其中CVE-2018-2913是被認定最應優先修補的漏洞,影響產品為Oracle GoldenGate,該漏洞允許未經授權的駭客自遠端入侵。

甲骨文修補301個安全漏洞,包含45個重大漏洞

十月中旬甲骨文(Oracle)展開了每季的例行性重大修補更新(Critical Patch Update,CPU),修補301個安全漏洞,其中有45個被列為重大(Critical)等級,在CVSS漏洞評分系統上達到9.8分,最嚴重的CVE-2018-2913則拿到10分。

本次修補涉及甲骨文旗下的十多種產品,涵蓋E-Business Suite、Fusion Middleware、Oracle MySQL、Communications、Hospitality、Retail、Java SE及PeopleSoft等,其中,漏洞最多的產品為Fusion Middleware,總計修補了65個相關漏洞,其它依序是Oracle MySQL的38個、Retail的31個與PeopleSoft的24個,此次甲骨文雖然只修補了12個Java SE漏洞,但有11個可供遠端開採。這是甲骨文2018年的最後一次修補,也讓今年的總修補量達到1,119個。

被列為最應優先修補的CVE-2018-2913影響的是Oracle GoldenGate,Oracle GoldenGate為一可於異質IT環境進行即時資料整合與複製的軟體套件,該漏洞屬於堆積緩衝區溢位漏洞,允許未經授權的駭客自遠端入侵。資安業者Tenable指出,相關攻擊並不複雜,再加上攻擊行動可自遠端執行且不需憑證,駭客還可藉由入侵GoldenGate危害企業中的其它產品,讓情況更形惡化,呼籲企業應謹慎對待。更多內容

 

jQuery知名外掛File Upload遭爆有存在超過8年的安全漏洞

近期Akamai安全研究人員Larry Cashdollar揭露jQuery的知名外掛jQuery File Upload中含有一個安全漏洞,將允許駭客上傳一個介殼程式到伺服器上並執行命令,而且該漏洞不僅影響jQuery File Upload,還可能影響其它7,828個jQuery File Upload的分支專案。

jQuery是個用來簡化HTML與JavaScript之間操作的JavaScript函式庫,而jQuery File Upload則是數千個jQuery外掛程式中較受歡迎的其中一個,它是個上傳工具,能以拖曳方式上傳各種檔案到不同的伺服器平臺。

Cashdollar檢驗了jQuery File Upload的程式碼之後發現,他能夠上傳一個介殼程式到伺服器上並執行命令,也確定其它以jQuery File Upload為基礎的專案也隱匿著同樣的漏洞,於是他通知了jQuery File Upload的作者Sebastian Tschan。

Tschan一開始有些摸不著頭緒,後來才察覺是因為Apache HTTP Server在2010年釋出的2.3.9版在預設上關閉了.htaccess功能,.htaccess主要存放與文件夾相關的安全設定,而jQuery File Upload正巧是仰賴.htaccess來實踐用戶所上傳文件夾的安全限制。更多內容

 

VMWare重大漏洞可讓Guest OS軟體在主機OS上執行

VMWare多項產品存在一項可能讓Guest OS軟體跑到主機OS上執行的權限升級漏洞。VMWare已在10月18日發出修補程式將之修復。

編號CVE-2018-6974的漏洞出在其SVGA影像裝置模擬元件,它在處理SVGA影像過程中未進行適當驗證,而可能導致堆疊式緩衝溢位、產生越界讀取(out-of-bounds read)錯誤。發現本項漏洞的趨勢科技ZDI Lab指出,結合其他漏洞,攻擊者可以讓Guest OS中的程式碼或惡意軟體在主機OS上執行。

本項漏洞被列為重大風險,影響產品包括VMware ESXi 5.5/6.0/6.5/6.7、workstation 14.x、15.x,以及執行於OS X上的Fusion 10.x和11.x。VMWare也呼籲用戶儘速下載安裝更新程式。

 

Ubuntu 18.10來了,不只提供新桌面環境選擇,也鎖定多雲部署用途

圖片來源_linuxnov

繼今年4月發布Ubuntu 18.04版,Canonical近日也宣布釋出Ubuntu 18.10版本。針對終端用戶需求,此新版作業系統不只提供新桌面主題選擇,也加強支援顯示卡,提升遊戲體驗。至於軟體開發端應用,Ubuntu Server 18.10版也支援Kubernetes 1.12版本,同時強調支援多雲應用情境,「改善開發者生產效能,讓企業用戶在多雲、邊緣環境的維運工作,可以兼具規模及速度。」Canonical執行長Mark Shuttleworth表示。

此次釋出的新版Ubuntu,針對公有雲、私有雲皆有推出相對應功能。首先,Ubuntu Serever 18.10版,可以部署在各大主流公有雲環境上執行,並且支援最小映像檔部署,減少作業系統所占空間,藉以加快容器應用程式啟動時間。至於私有雲部署的應用,Ubuntu 18.10已經支援最新版本的OpenStack Rocky,除了瞄準NFV硬體加速應用,也能搭配Ceph Mimic版本,減低儲存空間的壓力。更多內容

 

GitHub推出流程自動化工具Actions

圖片來源_GitHub

全球最大的開源碼分享平臺GitHub在十月發表了多項新功能,其中一項GitHub Actions允許開發人員藉由建立各種「動作」(action)來打造自動化的工作流程,不管只是傳遞通知或是建置完整的持續整合能力,GitHub平臺負責人Sam Lambert甚至將它稱為GitHub有史以來最大的轉變。

GitHub解釋,GitHub Actions等於是開發人員自己的工作流程,由開發人員建立,但由GitHub代為執行,它允許開發人員藉由連結及分享各種容器來執行自己的軟體開發流程。

過去在GitHub上工作的開發人員必須手動建置、執行及部署專案,有時還必須下載環境來測試專案,但在GitHub Actions中,只要替每個步驟建立一個「動作」,這些動作可能是由開發人員自行建立,也可能是來自於社群的分享,再用拖曳的方式連結這些動作,只要按下一個鍵,就能打包一個NPM模組、傳送簡訊通知,或是將專案部署到GitHub或其它雲端服務上。更多內容

 

不滿雲端廠商不付錢,MongoDB另立開源授權

由於某些服務供應商在未付授權費情況下,使用MongoDB原始碼後,卻做起收費雲端資料庫的生意,讓MongoDB深感不滿。這家資料庫業者宣布要把開源授權方式由AGPLv3變更為伺服器端公用授權(Server Side Public License,SSPL)。

原本MongoDB是在GNU AGPL(Affero General Public License)v3下授權其資料庫原始碼,其他廠商如果修改了MongoDB並公開提供商業服務,就必須開源其程式碼或是向MongoDB付費購買商業授權。然而卻出現某些業者測試AGPL界線的情形。

MongoDB共同創辦人Eliot Horowitz指出,軟體即服務市場快速增長,也催生了新一波開源伺服器軟體。不幸的是,一旦開源專案變有趣,就會有許多雲端廠商沒有開發軟體不勞而獲,卻又吝於回饋社群。為此,MongoDB已另外提交SSPL給開源碼促進會(Open Source Initiative)審查核可。

SSPL與AGPL精神一致,但更明確指出開源軟體即服務的授權情境。它保留在AGPL下被授權者使用、檢閱、修改及散布軟體的自由,最大的不同是當廠商拿MongoDB改來提供商業化的雲端服務時,其程式碼也必須開源。個人、學術用戶或已經向MongoDB購買商業授權的用戶並不會受到影響。更多內容

 

蘋果裝置身障人士輔助工具VoiceOver漏洞沒修好!研究人員再度揭露概念性驗證攻擊手法

西班牙資安研究員在9月底通報iOS的VoiceOver漏洞,雖然蘋果已經在最近推出的iOS 12.0.1中進行修補,但該名研究員發現,這個問題仍然尚未完全修復,駭客仍能經由這項弱點,在iPhone螢幕上鎖的情況下,存取裡面的照片,並以iMessage發送。更多內容

 

面臨受到針對性攻擊威脅,藏人開源社群以開源工具保護成員安全

在可能會導致生命受到威脅的情況,藏人社群面臨像是疑似擁有中國當局背景的GhostNet組織,他們的暗中監控與社交攻擊,必須設法自保。來自印度最大開放資安社群Null的達蘭薩拉分部共同主持人,也是藏人開源社群一員Tenzin Chokden,他在今年的g0v零時政府高峰會中,以藏人社群遭遇的威脅為題,認為應從資安的基礎層面下手,也就是使用者的資安教育,輔以儘可能改用Fedora等開源軟體等措施,並設下長遠執行的防護目標。更多內容

 

日本JR車站首家無人店啟用

圖片來源/JR東日本

繼日本便利商店推出無人店後,日本鐵道公司JR東日本近日也在日本車站推出首間Touch To Go無人店,結合了人工智慧、電腦視覺等技術,來提供旅客更便利購物體驗,讓消費者能以IC感應卡刷門結帳後,就能拿著商品走出店外,免排隊等待。更多內容

 

搶攻Edge晶片市場 !英特爾新IoT邊緣運算產品亮相

雖然英特爾近期因為CPU缺貨傳出供應吃緊,不過,似乎並不影響它布局未來產品的野心,除了繼續推出新款Core CPU外,過去兩年更持續投入視覺運算處理晶片(Vision Processing Unit,VPU)這個新運算領域,一連推出3款VPU產品,分別是Myriad、Myriad 2,以及最新一代Myriad X,以滿足企業對於IoT邊緣運算的應用需求。這也成為明年IoT戰略的重要發展方向

因為AI爆紅,越來越多的AI應用需求的產生,英特爾資深副總裁暨物聯網事業群總經理Tom Lantzsch表示,這也使得不同於傳統雲端運算架構,以本地端就近運算為主的邊緣運算(Edge computing)這兩年迅速崛起,因而掀起新一波IoT運算需求。他說,這是全新的運算領域,讓傳統只能在雲端上處理的IoT運算工作,未來也可以就近在IoT裝置上來執行,甚至能將AI帶進裝置端,在IoT裝置上就能夠執行AI推論任務,反應可以更迅速。

Tom Lantzsch揭露未來英特爾IoT戰略將聚焦3大面向,包括推出更高效能IoT晶片,還有要將更多運算能力帶進IoT裝置端,以及明年將有更多電腦視覺相關應用產品推出。更多內容

 

國家資安人才培訓新戰略,行政院資安學院本周開跑

關於資安人才的培育計畫,是近年政府與企業都很關心的議題。為實踐資安即國安,在完備資安基礎環境,以及帶動資安產業發展之外,孕育臺灣相關人才也是一大關鍵。

對於政府該如何帶頭進行?今年初,行政院資通安全處處長簡宏偉已經表示,規畫在9月前成立「資安學院」,希望能結合產業界、學界,以培育領域資安人才。而該計畫也正式在8月底開始運作,並將於10月底正式開課。

綜觀這次行政院資安學院的規畫,主要就目前民間與學校的資安訓練資源,藉由資安學院這樣的平臺加以統合,來幫助人才培訓課程的執行,並將目標對象,鎖定在產業從業人員,而在培訓課程的費用上,負責主辦的經濟部工業局也將補助一半學費,幫助促進專業資安人才的培育。

目前,還處於摸索階段的資安學院,第一階段試辦將聚焦兩大類別,分為是金融資安與物聯網資安,預計開課時間在10月26日到11月30日止,每班人數將在20人之內,課程內容包括領域資安相關法規、資安系統資訊判讀與分析、資安設備採購,並將搭配實戰或實務演練,增進學員參與實做。更多內容

 

商業電郵詐騙猖獗,今年全臺遭詐騙金額已破兩億元

企業遭受郵件詐騙的情形,從詐騙的金額來看,已經越來越嚴重,每隔一段時間,國內刑事警察局就會發出公告,揭露這類詐騙手法的案情摘要,向企業呼籲避免上當。

企業不可不知的是,國內企業今年遭到詐騙的金額又創下新高!最近我們取得最新的統計數據,關於刑事局受理的BEC詐騙案件,到10月5日為止,今年已有45件,平均算起來,大約每周都會有一家臺灣企業遇害報案,而遭到詐騙的金額更是已經超過2億元。至於件數上,雖然沒有明顯增加,但也沒有降低的跡象。

相較於2017年的統計數據而言,案件數相差不大,但已經超過去年整年的詐騙金額(1億8736萬元),為企業帶來更大傷害。更多內容

 

警政大數據揭露最新成果

警政署資訊室主任蘇清偉最近對外揭露警政大數據的最新成果,在維護治安方面,警政署要透過資料分析來強化犯罪偵查;而在交通執法層面,蘇清偉舉例,如果發生交通事故引起道路壅塞,也能透過大數據分析快速調整行車路線來抒解。至於提升服務效率,他也提到,其中一個目標是,在民眾撥打110後,為了讓警察以最快速度到達現場,也有賴資料分析。

不只大數據,蘇清偉表示,警政署要踏在巨量資料中心的基石上,未來還要發展AI協作平臺,目前正在計畫中。更多內容


Advertisement

更多 iThome相關內容