7/24 晨摘

• 資訊安全：

1.OpenSSH服务存在漏洞 允许进行无限次口令猜测 by 360安全播报

OpenSSH存在一个漏洞，这个漏洞可以允许攻击者绕过单次登录密码输入尝试的错误限制次数。

默认情况下，加密服务只能允许用户进行6次密码输入尝试，如果输入的6次密码均不正确，那么用户就要在链接断开之前等待一个时长为2分钟的宽限期，这样就可以防止攻击者的暴力破解攻击了。但是，这种防御机制也可以被轻易地绕过。

OpenSSH是可以被控制和修改的，在使用键盘输入登陆口令时，黑客可以根据需要来设置密码输入次数的上限。

2.OS X 10.10 DYLD_PRINT_TO_FILE 本地权限提升漏洞 by P3nro5e

随着OS X 10.10的发布，Apple已为其动态链接器添加了以下新特性，已添加用于将错误日志记录到任意文件的环境变量DYLD_PRINT_TO_FILE 。

当该变量被添加到通常被需要的safeguard时，新的环境变量会被添加到未被使用的动态链接器，所以即使是suid为root的二进制程序也可能拥有这个新特性。

由於在文件系统中可以打开或创建root用户拥有的任意文件，所以在这种情况下会有一定的危险性。此外，已打开的日志文件从不被关闭，因此它的文件描述符会被泄漏进SUID为root的进程，这意味着在文件系统中，SUID为root进程的子进程可以对具有root权限的用户所拥有的任意文件进行写操作，进而在OS X 10.10.x中实现权限提升。

3.全球最流行BT客户端uTorrent遭谷歌封杀 by cnbeta

来自TorrentFreak的最新消息显示，uTorrent当下正在遭受安全信任危机，至少有包括赛门铁克、 ESET在内的六家防病毒软件厂商发现uTorrent.exe与Trojan.Win32.Generic!BT木马存在联系。同时，内置捆绑广告插件 OpenCandy也被列为“风险软件”。

• 自我成長：

1.行李箱心理学：休假就是丢开一切 by yeeyan

唯一理性的方法去为意外做准备就是像富有的维多利亚人一样带上所有的东西，但这根本不可能。我们知道我们有太多的东西，我们太依赖那些物质，其实该丢掉其中的大部分才对。但我们害怕缺乏装备。

决定要收拾些什么意味着要预见每种可能性。你必须事先里想象你的旅途，所以在你出发前你就已经在你的脑子里度过了一遍。如果内观和冥想都是关注当下，那么，收拾行李这个纯粹的预期活动将十分有压力。他夺走了旅游的期待，自发性和历险。

2.书摘-经理人该做的五大工作 by :田成杰

（1）设定目标
（2）任务分派
（3）激励与沟通
（4）绩效评估
（5）培育人才

3.克服自己的預設反應 by Lee Newman

（1）了解什麼會觸發你情緒化或好勝的那一面
（2）把你常有的固定反應一一寫成清單
（3）觀察這些行為何時發生，預先做好準備

如欲閱讀更多文章摘要，請見 每日晨摘