BUF早餐铺 | 新加坡国防部付费邀请白帽子寻找漏洞；npm 更新导致 Linux 系统崩溃；Whatsapp联合创始

正月新阳生翠琯。花苞柳线春犹浅。

各位 Buffer 早上好，今天是 2018 年  2 月 24 日星期六，农历正月初九。年后开工大吉大利，也要记得好好吃早餐哦。今天份的 BUF 早餐主要有：新加坡国防部付费邀请白帽子寻找漏洞，加固政府网络安全；PHP 社区开始采取措施禁止安装漏洞未修复的库；npm 更新导致 Linux 系统崩溃，迫使用户重装系统；僵尸网络 Mirai 变种在被感染的设备上设置代理服务器； Whatsapp 联合创始人向加密通信应用 Signal 投资 5000万美元；代码签名证书交易市场繁荣但价格过高让大部分黑客难以承受；闽赣湘滇多地排查官网泄露个人隐私，删除信息上千条。

以下请看详细内容：

2018 年 1 月中旬到 2 月上旬，新家坡国防部邀请数百名白帽子对其网站进行攻击测试，以寻找漏洞、加固政府网络安全。项目结束时，新家坡政府共为此支付奖金 14750 美元。

新家坡政府此举并非无风起浪而是事出有因。2017 年，新家坡国防部某 web 端口遭入侵，约 850 名军人等雇员个人信息遭黑客窃取，这引起了政府部门对于网络安全的重视。因此，新家坡国防部在 2018 年伊始就在 HackerOne 上发起了这个漏洞奖励项目。项目中共提交了 97 份漏洞报告，不过有 35 份被宣布无效。其中最出色的白帽子是来自新家坡安永公司的网络安全经理，获得了 5000 美元的奖金。[来源：SecurityWeek]

近日，PHP 社区里有一群影响力较大的成员开始自发形成了 FriendsOfPHP 组织，发起名为 PHP Security Advisories Database（PHP 安全顾问数据库）的新项目保护 PHP 生态系统的安全。项目成员创建了一个包含影响 PHP 项目和库的已知漏洞数据库，以便帮助使用者判断 PHP 项目或库是否安全。目前，这个数据库已经被纳入一个可以兼容任何 PHP 项目的 PHP 代码库，可以为各种 PHP 项目提供安全保护参考。

利用这个数据库，可以检测出漏洞未修复的代码库，帮助开发者避开漏洞，构建更安全的 PHP 项目。[来源：bleepingcomputer]

最常用的 JavaScript 包管理器 nmp 新版本 5.7.0 中出现了一个漏洞，会更改 Linux 系统中关键文件如 /etc, /usr, /boot 等的所有者权限，导致系统或多个本地应用崩溃，还可能导致系统无法重启。

安装了 nmp 新版本的用户必须重装系统才能解决上述问题。有一位受影响的用户称，配置 nmp 更新后，已经有三台生产服务器崩溃了，而其他用户也报告了类似问题。事实上，这个漏洞在上周就已经有用户上报过了，但一直没有修复。这两天问题严重之后，nmp 团队终于有所反应，发布了移除漏洞代码的 5.7.1 修复版本（）。[来源： bleepingcomputer]

安全公司飞塔最近检测到，臭名昭著的僵尸网络 Mirai 又出现新变种 OMG，保留了 Mirai 的大部分属性（attack、killer 和 scanner模块），且可以在被感染的 IoT 设备上设置代理服务器。OMG 与 Mirai 的不同之处在于，OMG 配置中多了两个字符串，可以添加防火墙规则，能确保任意两个端口上的流量传播。