搜索到
162
篇与
的结果
-
黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版 黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版,但在影响有限,可防可控本周五 Red Hat 警告用户在最新版本的 xz-utils 数据压缩工具和库中发现了一个后门。程序在 5.6.0 和 5.6.1 版本中引入了恶意代码。这些恶意代码旨在允许未经授权的访问,而且这些受影响的版本已经被多个 Linux 发行版合并,但 RHEL 不受此影响。Red Hat 目前正在跟踪此供应链安全问题,编号为 CVE-2024-3094 (https://nvd.nist.gov/vuln/detail/CVE-2024-3094) ,严重性评分为 10/10 。xz 是被 Linux 发行版广泛使用的压缩格式之一, xz-utils (LZMA-utils)是一个开源项目,2022 年起有个名为 Jia Tan 的账号开始向该项目贡献代码,然后逐步接手该项目成为项目的主要贡献者,也是该项目当前唯一的活跃贡献者。恶意代码经过混淆,只能在完整的下载包中找到,而无法在 Git 发行版中找到,因为缺少触发后门构建过程的 M4 宏。该恶意代码会修改系统中的 OpenSSH ,使攻击者可以使用精心构造的数据跳过 RSA 密钥检验,在未授权情况下授予攻击者不受限制的访问权限。目前看这个后门仅影响部分 Debian/Ubuntu/Fedora/openSUSE 的预发布版本,且均已发布回退更新。用 ArchLinux / macOS / 追新系统版本 的可能需要关注下有一个 Linux 系统级别的漏洞已公布,该漏洞可让攻击者无需通过 SSH 验证即可登录服务器执行任意代码Debian/Ubuntu 的检查命令:apt list --installed 2>&1 | grep xz | grep -E '5.6.0|5.6.1' && echo "Check your system now" || echo "Everything is ok"macOS 的检查命令:brew info xz | grep xz | grep -E '5.6.0|5.6.1' && echo 'Check your system now' || echo 'Everything is ok'显示 Everything is ok 即不受影响如何修复:降级 xz-utils 即可macOS 修复:brew install xz相关链接:https://avd.aliyun.com/detail?id=AVD-2024-3094 (中文)https://nvd.nist.gov/vuln/detail/CVE-2024-3094https://www.helpnetsecurity.com/2024/03/29/cve-2024-3094-linux-backdoor/本文章转载自https://hostloc.com/thread-1289983-1-1.html -
-
-
-
-
-
-
-
-
-
宝塔虚拟主机系统bthost 简介BtHost是一款基于宝塔面板开发的一款用于独立控制和虚拟主机管理的程序,具有丰富的API,强大管理功能,丰富的模块,完整的权限控制,自适配Linux、Windows版宝塔面板(最新)演示官网宝塔虚拟主机系统授权管理网站APIbtHost拥有完整的API接口及文档,集管理与控制与一体,包括单不仅限于用户管理、服务器、数据库、FTP、主机管理、IP池、域名池等分类接口,能让开发者更加快速的调用和使用,使用方法和请求返回参数都有详细说明,不再拘束于没有开发文档而头痛不已。详情查看API开发文档篇独立控制台强大的虚拟主机管理模块,集成了宝塔面板中需要重要的功能,支持付费的、免费的宝塔插件,从而实现多种多样的功能,如防火墙、防篡改、一键部署、Vsftpd、反向代理、Mysql工具箱等等。依托宝塔SSL的免费证书,用户可以在控制台直接申请并使用SSL证书,真正做到方便快捷。域名审核可以应用与机房白名单、域名备案等场景使用,站长可以手动审核域名是否允许被绑定访问站点。不拘泥于老旧的web页面,btHost拥有更加精美好看,便于使用的管理页面,全站完美自适应,让用户在手机端也能轻松管理站点。我们考虑到站长可能需要快速部署自己的一些源码程序,所以我们内置了主机预装程序,这样站长就可以快速添加自己的源码,从而让用户更加方便就能使用。我们集成了两种文件管理模块,站长可以个性的搭配给用户使用。API模式,拥有更多的功能,如文件查杀、在线压缩解压、在线浏览图片、远程下载。FTP模式,使用更安全、更稳定,响应也更出色。管理模块btHost的主要是用场景还是管理宝塔面板中的站点功能及使用,但他也不仅仅只能管理站点。一年多的开发经验下来,btHost已经集成了众多管理功能,如软件管理、日志查看、重启修复服务器及面板、在线更新面板,回收站清理等功能,让你可以在btHost后台中完成除了管理站点之外更多的运维功能操作。更快的响应我们优化了前后端大量代码,实现了更快的响应和体验,比如增加必要的数据缓存,提升数据复用率,减少接口重复调用,经过反复测试和调校,将传统的web页面更换成了消耗资源更少的iframe页面,访问功能模块时不会重复加载整个系统,能更快的提升访问速度在不断的调整和测试下,我们也达到了响应处理的最优值,单个页面平均加载时长0.3s,后期我们还会深度优化其响应速度。域名解析内置Dnspod智能解析模块,在你创建站点时实现全自动的域名解析服务,支持自定义解析地址和解析方式,支持A解析和CNAME解析,你可以给解析值套一层CDN,实现基础加速服务。
-
宝塔Linux面板8.0.2正式版 更新时间:2023-08-23 12:06:44更新更新日志:【增加】[首页-状态]增加告警设置功能【增加】[首页-安全风险]增加系统漏洞扫描功能(暂不支持Debian系统)【增加】[网站-php项目]新增批量设置伪静态功能【增加】[网站-python项目]部署ssl功能【增加】[计划任务]执行周期在十分钟以内,增加flock锁【修复】[网站-node项目]开启外网映射报错的问题【修复】[网站-Java项目]自定义日志路径不生效问题【修复】[网站-python项目]管理建立uwsgi服务的项目时,未同步配置内容的问题【修复】[文件]面板未删除超过15天的备份数据【修复】[文件]部分情况下上传文件会报错【修复】[文件]部分情况下解压压缩文件目录结构不正确【修复】[文件]双击”计算“按钮,会自动进入文件夹【修复】[文件]软链接的目标文件删除后,删除链接接不成功【修复】[计划任务]自动备份不备份软链接的源文件的问题【修复】[软件商店]因index.json文件异常导致软件商店点击已安装报错的问题【调整】[首页-安全风险]移除SSH密码失效检查【调整】[面板设置]设置临时授权添加删除过期授权的功能【优化】[网站-php项目] 流量限制的限制方案显示【其他】修复已知Bug下载地址【 离线升级(降级)教程 】https://download.bt.cn/install/update/LinuxPanel-8.0.2.zip一键升级(降级)命令wget -O update6.sh http://download.bt.cn/install/update6.sh && sed -i 's/LinuxPanel-${version}/LinuxPanel-8.0.2/g' update6.sh && sh update6.sh
-
-
-
