2018年02月24日 星期六
【馬哥教育新聞快報(bào)205期】

導(dǎo)讀：npm 重大漏洞使得 Linux 系統(tǒng)崩潰+英特爾對(duì)Meltdown、Spectre漏洞知情不報(bào)數(shù)個(gè)月

每日一句

君子之學(xué)也以美其身，小人之學(xué)也以為禽犢。

早報(bào)內(nèi)容

0.npm 重大漏洞使得 Linux 系統(tǒng)崩潰，強(qiáng)制用戶重新安裝

npm 用戶 Crunkle指出 ，npm 5.7.0 完全破壞了他的文檔系統(tǒng)權(quán)限，使得他必須手動(dòng)修復(fù)重大文檔與文件夾的權(quán)限。

根據(jù) GitHub 上的 npm 臭蟲報(bào)告，npm 用戶 Crunkle 指出，npm 5.7.0 完全破壞了他的文檔系統(tǒng)權(quán)限，使得他必須手動(dòng)修補(bǔ)重大文檔與文件夾的權(quán)限。另一名用戶 juggy 則表示，單次的 npm 5.7.0 部署就摧毀了 3 臺(tái)運(yùn)作中的服務(wù)器。AWS EC2 的 Linux AMI 用戶 redboltz 也說(shuō)，他在部署 npm 5.7.0 之后便無(wú)法執(zhí)行 sudo 指令，只好重建 EC2 實(shí)例。

變更文檔權(quán)限可能造成程序或系統(tǒng)崩潰，甚至無(wú)法開機(jī)。

npm,Inc. 隔天就釋出了 npm 5.7.1 進(jìn)行修補(bǔ)。

1.傳英特爾對(duì)Meltdown、Spectre漏洞知情不報(bào)數(shù)個(gè)月

蘋果和 Alphabet 兩公司本周致函美國(guó)眾議員，狀告英特爾早在去年年中就已獲知 Meltdown、Spectre 三個(gè)漏洞，但卻沒有通報(bào)美國(guó)資安主管機(jī)關(guān)。
英特爾對(duì)CPU漏洞的應(yīng)有態(tài)度不夠積極，引起科技巨頭們的聯(lián)名指責(zé)。

本信是兩大科技公司寫給眾議員能源與商務(wù)委員會(huì)主席Greg Walden，隨后由路透社取得，Walden曾在稍早質(zhì)疑科技公司何時(shí)獲知漏洞消息。信中指出，Alphabet旗下Google的安全研究團(tuán)隊(duì)Project Zero早在6月就已發(fā)現(xiàn)CPU中的三項(xiàng)漏洞，并分別通知英特爾、AMD及ARM三家芯片公司。

2.MongoDB 4.0有望支持跨文檔事務(wù)

自MongoDB并購(gòu)了WiredTiger及其關(guān)系數(shù)據(jù)庫(kù)存儲(chǔ)引擎以來(lái)，很多技術(shù)專家一直翹首以待MongoDB何時(shí)提供對(duì)跨文檔事務(wù)（multi-document transaction）的支持。MongoDB在本周宣布，跨文檔事務(wù)有望于今年夏天加入到MongoDB 4.0中。

據(jù)MongoDB的Grigori Melnik宣稱，“80%到90%的應(yīng)用是完全不需要跨文檔事務(wù)的”。然而他的說(shuō)法有待商榷，在層次數(shù)據(jù)庫(kù)中很有可能存在大量的反規(guī)范化（denormalized）數(shù)據(jù)，此類數(shù)據(jù)需要支持多地同時(shí)更新以確保一致性。

3. 新加坡國(guó)防部付費(fèi)邀請(qǐng)白帽子尋找漏洞，加固政府網(wǎng)絡(luò)安全

新家坡國(guó)防部邀請(qǐng)數(shù)百名白帽子對(duì)其網(wǎng)站進(jìn)行攻擊測(cè)試，以尋找漏洞、加固政府網(wǎng)絡(luò)安全。項(xiàng)目結(jié)束時(shí)，新家坡政府共為此支付獎(jiǎng)金 14750 美元。

2017 年，新家坡國(guó)防部某 web 端口遭入侵，約 850 名軍人等雇員個(gè)人信息遭黑客竊取，這引起了政府部門對(duì)于網(wǎng)絡(luò)安全的重視。因此，新家坡國(guó)防部在 2018 年伊始就在 HackerOne 上發(fā)起了這個(gè)漏洞獎(jiǎng)勵(lì)項(xiàng)目。項(xiàng)目中共提交了 97 份漏洞報(bào)告，不過有 35 份被宣布無(wú)效。

4.深交所：本所對(duì)“樂視網(wǎng)”股票的交易情況進(jìn)行了重點(diǎn)監(jiān)控

2月23日夜間，深交所通過其官方微博發(fā)布消息表示對(duì)“樂視網(wǎng)”股票的交易情況進(jìn)行了重點(diǎn)監(jiān)控。

深交所稱，本周，本所共對(duì)207起證券異常交易行為進(jìn)行了分析，涉及盤中拉抬打壓、虛假申報(bào)、拉抬收盤價(jià)等異常交易情形，本所及時(shí)采取了監(jiān)管措施。共對(duì)10起上市公司重大事項(xiàng)進(jìn)行核查，并上報(bào)證監(jiān)會(huì)7起涉嫌違法違規(guī)案件線索。同時(shí)，本所對(duì)“樂視網(wǎng)”股票的交易情況進(jìn)行了重點(diǎn)監(jiān)控。

【每日一個(gè)知識(shí)點(diǎn)】

【每日一個(gè)知識(shí)點(diǎn)第84期-Linux】

問題：Linux磁盤分區(qū)的命名方式和常用目錄？

答案：http://www.vfte.cn/75137.html

【每日一個(gè)知識(shí)點(diǎn)第85期-Python】

問題：Python字典內(nèi)置函數(shù)&方法都有哪些？

答案：http://www.vfte.cn/75140.html

【近期開班】

Linux面授班30期：2018年03月26日（北京）

Linux網(wǎng)絡(luò)班29期：2018年02月24日（網(wǎng)絡(luò)）

Python面授班10期：2018年03月05號(hào)（北京）

Python網(wǎng)絡(luò)班11期：2018年03月17號(hào)（網(wǎng)絡(luò)）