宝塔面板爆严重未授权访问漏洞;哈工大在全国数学建模竞赛中被禁用MATLAB;Freepik数据泄露影响830万用户
发布者:Editor
发布于:2020-08-24 18:05
此前因“打工,这辈子都不可能的”言论而走红的男子周立齐在4次盗窃被判有期徒刑,今年4月刑满释放后,已摇身一变,成为网红。出狱后他仍坚持 “不给别人打工”,拒绝了多家网红公司的见面要求,并开通自己的快手账号分享自己的日常,目前其快手粉丝已突破三百万,上个月也已入驻 B 站。对此,有网友认为他改过自新,靠自己的努力赚钱值得鼓励。但也有网友认为他的价值观有问题,并不是正能量网红。你怎么看呢?
宝塔面板是提升运维效率的服务器管理软件,支持集群/监控/网站/FTP/数据库/JAVA等100多项服务器管理功能。
随着美国禁令对中国的影响进一步发酵,字节跳动因与美国政府始终沟通无果,昨日发布声明,将于北京时间8月25日正式起诉特朗普政府,维护公司和用户的合法权益。
但哈工大学生繁华落尽却表示,申请MATLAB数学建模竞赛专用版已被拒,应该是不能使用了。
Freepik是当今互联网上最受欢迎的网站之一,目前在Alexa百强网站排行榜上排名第97位,致力于提供高质量免费照片和设计图形等。
1 宝塔面板爆严重未授权访问漏洞
但昨日晚,宝塔面板发布紧急安全更新,表示因phpmyadmin未加鉴权,导致通过访问特定的IP或域名地址:888/pma ,即可直接登陆宝塔phpmyadmin的数据库。
下午,安全圈很多群便开始流传有黑客利用phpmyadmin服务器的漏洞进行攻击的截图。甚至有很多网站数据库被黑客篡改或者直接清空,导致网站瘫痪,造成巨大损失。
据悉,此次受影响的产品版本为宝塔Linux面板7.4.2版本,以及宝塔Windows面板6.8版本。
值得注意的是,宝塔7.4.2之前的版本中没有pma这个目录,且phpmyadmin默认情况下是需要输入账号密码进行认证的。但在此次受影响版本的代码中,宝塔新增了一个pma目录,内容为phpmyadmin。此外,在输入用户名和密码后,宝塔就会改写phpmyadmin的配置文件config.inc.php,将认证方式改成config,写死账号密码,导致pma可以直接访问。
目前,最新的Linux面板 7.4.3版本和Windows 面板 6.9.0版本已发布。建议受影响用户尽快更新升级,或关闭888端口暂时缓解风险。
Xyxfs:希望宝塔尽快改进代码,提高安全性吧。
2 哈工大在全国数学建模竞赛中被禁用MATLAB
无独有偶,继哈工大因美国禁令,被禁用MathWorks旗下的工科神器MATLAB后,近日全国大学生数学建模竞赛组委也初步认定哈工大参赛队伍不能使用MATLAB,引起民愤。
全国大学生数学建模竞赛是世界上规模最大的数学建模竞赛,每年一届。而MathWorks就是本届比赛的赞助商之一。
在本次《MathWorks对2020全国大学生数学建模竞赛提供技术支持的公告》中,其表示若参赛学校已购买MATLAB校园版授权,学生们可直接使用校园版软件;若参赛学校没有校园版,可申请免费使用竞赛专用的免费试用版。
哈工大学生究竟能否在竞赛中使用MATLAB,还有待官方通知进行进一步证实。但可以肯定的是,哈工大学生若不能使用MATLAB,连续72小时的比赛难度会加大很多。
Xyxfs:如果哈工大学生参赛真的不能用MATLAB,那竞赛还有什么公平可言?
3 Freepik数据泄露影响830万用户
但昨日,Freepik披露了一起重大安全漏洞。Freepik表示,有黑客利用SQL注入漏洞,访问了其一个存储用户数据的数据库,获得了Freepik和免费图标库网站Flaticon上830万注册用户的用户名和密码。
由于并不是所有用户的账户都有相关密码,黑客只取走了约450万用户的信息。其中甚至还包括使用第三方联合登录账户谷歌、Facebook或Twitter的用户。
而对于剩下的377万用户,黑客得到了他们的电子邮件地址和密码的哈希值。其中,有22万9千名用户都采用saltted MD5的哈希密码散列算法,安全性较低,遭到数据泄露的风险更大。
目前,Freepik未公开漏洞被发现的具体时间和过程,但已及时采取措施,清点黑客获取的数据,并用定制电子邮件通知所有受影响的Freepik和Flaticon用户。同时,他们也已将所有用户的哈希算法从MD5升级为安全性更高的算法bcrypt。
Xyxfs:提高哈希加密算法的安全性对于防止信息泄露还是很重要的。
声明:该文观点仅代表作者本人,转载请注明来自看雪