- 資訊安全:
1.Ubuntu曝本地权限提升漏洞(CVE-2015-1328),影响多个版本 by FreeBuf
由于特定情况下创建文件时的权限检查bug,Ubuntu操作系统曝本地权限提升漏洞,影响Ubuntu 12.04、14.04、14.10、15.04版本。目前Ubuntu官方已经修复了该漏洞。
此漏洞本身存在于Ubuntu系统中的overlayfs组件,其中overlayfs被设计成一个可写的文件系统,以防潜在的文件系统只有只读属性。报告中提道:
“当在上层文件系统目录中创建新文件时,overlayfs文件系统未能正确检查此文件的权限。而这一缺陷则可以被内核中没有权限的进程所利用,只要满足该进程CONFIG_USER_NS=y及overlayfs所拥有得FS_USERNS_MOUNT标志,即允许挂载非特权挂载空间的overlayfs。
而这一条件是Ubuntu 12.04、14.04、14.10和15.04版本中的默认配置,所以这些版本的Ubuntu系统都受此漏洞影响。 ovl_copy_up_ *函数未能正确检查用户是否有权限向upperdir目录写入文件。而该函数唯一检查的是被修改文件的拥有者是否拥有向upperdir目录写入文件的权限。
此外,当从lowerdir目录复制一个文件时,同时也就复制了文件元数据,而并非文件属性,例如文件拥有者被修改为了触发copy_up_*程序的用户。”
2.勒索軟體:恐嚇取財手法十年進化史 by TREND LABS
感染勒索軟體 Ransomware的使用者,請依照下列步驟進行:
(1)停用系統還原。
(2)執行惡意程式防護軟體來掃瞄並清除勒索軟體 Ransomware的相關檔案。
請注意,某些勒索軟體變種需要一些額外的清除步驟,例如在 Windows 修復主控台當中刪除一些檔案。請務必遵照所有必要的步驟來徹底清除您電腦所感染的特定勒索軟體 Ransomware。
要預防勒索軟體感染,請牢記下列事項:
(1)定期備份您的檔案。
(2)當軟體釋出修補程式時請盡早套用,因為有些勒索軟體會利用軟體漏洞來感染系統。
(3)將信賴的網站加入書籤,並且利用書籤來連上這些網站。
(4)只下載信賴的寄件者寄來的電子郵件附件檔案。
(5)定期使用惡意程式防護軟體掃瞄您的系統。
3.SAP HANA系统曝安全漏洞,静态密钥存在数据库里 by Sphinx
SAP知名内存数据库管理系统HANA被曝存在安全漏洞,其静态加密密钥居然存放在数据库中。
加密密钥是静态的,也就是说所有的SAP HANA默认安装后使用的是相同的key——攻击者如果可以读取这个key也就可以攻击多个系统。攻击者可以有多种方法进行攻击:诸如SQL注入来窃取SAP数据库中的密钥、使用目录遍历,或者XXE注入攻击(XML External Entity attack,XML外部实体注入攻击)。
默认的加密密钥被用来保护平台里的数据,包括密码和平台备份。另一方面,由于SAP的管理员们很少会更改默认的加密密钥,这也使得平台容易受到攻击。
有些数据是被储存在磁盘上的,比如技术人员的账号、密码和用于解密保存点的密钥,都是储存在hdbuserstore里的。这个hdbuserstore就是在磁盘上的简单的文件,使用3DES算法加密,用了一个静态的主密钥。一旦你能够读取这个文件并用每个系统都一样的静态主密钥进行解密,你就能得到系统用户密码和用于硬盘加密的密钥。也就能够获取所有的数据了。
由于特定情况下创建文件时的权限检查bug,Ubuntu操作系统曝本地权限提升漏洞,影响Ubuntu 12.04、14.04、14.10、15.04版本。目前Ubuntu官方已经修复了该漏洞。
此漏洞本身存在于Ubuntu系统中的overlayfs组件,其中overlayfs被设计成一个可写的文件系统,以防潜在的文件系统只有只读属性。报告中提道:
“当在上层文件系统目录中创建新文件时,overlayfs文件系统未能正确检查此文件的权限。而这一缺陷则可以被内核中没有权限的进程所利用,只要满足该进程CONFIG_USER_NS=y及overlayfs所拥有得FS_USERNS_MOUNT标志,即允许挂载非特权挂载空间的overlayfs。
而这一条件是Ubuntu 12.04、14.04、14.10和15.04版本中的默认配置,所以这些版本的Ubuntu系统都受此漏洞影响。 ovl_copy_up_ *函数未能正确检查用户是否有权限向upperdir目录写入文件。而该函数唯一检查的是被修改文件的拥有者是否拥有向upperdir目录写入文件的权限。
此外,当从lowerdir目录复制一个文件时,同时也就复制了文件元数据,而并非文件属性,例如文件拥有者被修改为了触发copy_up_*程序的用户。”
2.勒索軟體:恐嚇取財手法十年進化史 by TREND LABS
感染勒索軟體 Ransomware的使用者,請依照下列步驟進行:
(1)停用系統還原。
(2)執行惡意程式防護軟體來掃瞄並清除勒索軟體 Ransomware的相關檔案。
請注意,某些勒索軟體變種需要一些額外的清除步驟,例如在 Windows 修復主控台當中刪除一些檔案。請務必遵照所有必要的步驟來徹底清除您電腦所感染的特定勒索軟體 Ransomware。
要預防勒索軟體感染,請牢記下列事項:
(1)定期備份您的檔案。
(2)當軟體釋出修補程式時請盡早套用,因為有些勒索軟體會利用軟體漏洞來感染系統。
(3)將信賴的網站加入書籤,並且利用書籤來連上這些網站。
(4)只下載信賴的寄件者寄來的電子郵件附件檔案。
(5)定期使用惡意程式防護軟體掃瞄您的系統。
3.SAP HANA系统曝安全漏洞,静态密钥存在数据库里 by Sphinx
SAP知名内存数据库管理系统HANA被曝存在安全漏洞,其静态加密密钥居然存放在数据库中。
加密密钥是静态的,也就是说所有的SAP HANA默认安装后使用的是相同的key——攻击者如果可以读取这个key也就可以攻击多个系统。攻击者可以有多种方法进行攻击:诸如SQL注入来窃取SAP数据库中的密钥、使用目录遍历,或者XXE注入攻击(XML External Entity attack,XML外部实体注入攻击)。
默认的加密密钥被用来保护平台里的数据,包括密码和平台备份。另一方面,由于SAP的管理员们很少会更改默认的加密密钥,这也使得平台容易受到攻击。
有些数据是被储存在磁盘上的,比如技术人员的账号、密码和用于解密保存点的密钥,都是储存在hdbuserstore里的。这个hdbuserstore就是在磁盘上的简单的文件,使用3DES算法加密,用了一个静态的主密钥。一旦你能够读取这个文件并用每个系统都一样的静态主密钥进行解密,你就能得到系统用户密码和用于硬盘加密的密钥。也就能够获取所有的数据了。
- 企業管理:
1.提前完成销售任务引发的绩效考核烦恼 by 求是达明
根据绩效管理要实现个人与团队、团队与组织绩效共同提升这一基本管理目的,对于提前完成业绩的销售部门,不应再追加任务,也不应对销售额作硬性的考核。但这不等于不干活就可以拿工资,也不等于不参与绩效考核。
考核的重点可以侧重在回款额、新客户开发、老客户维护等项目上。对于销售收入的指标,可以作为加分项,来激励员工向新的高点冲刺。
对提前完成任务的人员,应适当调整相应的激励措施,以确保销售部门继续保持昂扬的斗志,迎接新挑战。所以还应当补充两个奖项,一个是业绩达标奖(补发部分被扣绩效工资),一个是业绩超额奖(加大超额部分的提成比例)。
2.让“伪人才”原形毕露的招聘问题之胜任力篇 by 张诗信
企业评价候选人胜任能力的做法是,看一个候选人是否满足岗位工作的意愿、特质、学历和相关工作经验。
第4个问题:询问他的工作经历,目的是分析他是否具备从事目标岗位工作所需要的经验
(1)询问他过去所做的专业工作的核心流程。
(2)询问他过往的核心工作流程中涉及的工作标准。
(3)询问他过去的核心工作流程与标准在执行过程中存在的问题。
(4)询问他过去的业绩表现。
(5)询问他对本企业的工作流程和标准的评价。
第5个问题:询问他的工作思路、目标和计划,目的是分析他是否真正具备从事目标岗位工作的能力
第6个问题:询问他如何解决未来工作中可能出现的问题,目的是分析他在资源不足的情况下是否也能够有效地履行责任
3.HR做好员工晋升工作的几条法则 by jimmybeau
(1)人才队伍建设以企业战略为导向。
(2)晋升通道畅通依靠HR管理体系支撑。
(3)企业应营造良好竞聘文化,对参与竞聘人员持有包容、鼓励的态度。
(4)建立内部竞聘渠道。
(5)企业建立内部竞聘保障体系。
根据绩效管理要实现个人与团队、团队与组织绩效共同提升这一基本管理目的,对于提前完成业绩的销售部门,不应再追加任务,也不应对销售额作硬性的考核。但这不等于不干活就可以拿工资,也不等于不参与绩效考核。
考核的重点可以侧重在回款额、新客户开发、老客户维护等项目上。对于销售收入的指标,可以作为加分项,来激励员工向新的高点冲刺。
对提前完成任务的人员,应适当调整相应的激励措施,以确保销售部门继续保持昂扬的斗志,迎接新挑战。所以还应当补充两个奖项,一个是业绩达标奖(补发部分被扣绩效工资),一个是业绩超额奖(加大超额部分的提成比例)。
2.让“伪人才”原形毕露的招聘问题之胜任力篇 by 张诗信
企业评价候选人胜任能力的做法是,看一个候选人是否满足岗位工作的意愿、特质、学历和相关工作经验。
第4个问题:询问他的工作经历,目的是分析他是否具备从事目标岗位工作所需要的经验
(1)询问他过去所做的专业工作的核心流程。
(2)询问他过往的核心工作流程中涉及的工作标准。
(3)询问他过去的核心工作流程与标准在执行过程中存在的问题。
(4)询问他过去的业绩表现。
(5)询问他对本企业的工作流程和标准的评价。
第5个问题:询问他的工作思路、目标和计划,目的是分析他是否真正具备从事目标岗位工作的能力
第6个问题:询问他如何解决未来工作中可能出现的问题,目的是分析他在资源不足的情况下是否也能够有效地履行责任
3.HR做好员工晋升工作的几条法则 by jimmybeau
(1)人才队伍建设以企业战略为导向。
(2)晋升通道畅通依靠HR管理体系支撑。
(3)企业应营造良好竞聘文化,对参与竞聘人员持有包容、鼓励的态度。
(4)建立内部竞聘渠道。
(5)企业建立内部竞聘保障体系。
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言