安全专家发现Linksys WAG54G2路由器存在严重安全漏洞

一位安全研究人员Michal Sajdak最近在使用率颇高的一款Linksys路由器WAG54G2中发现了一些漏洞,这些漏洞允许攻击者使用路由器的管理界面对路由器进行远程控 制。攻击者可以利用这个漏洞向路由器的Linux操作系统中注入Shell命令。而如果用户没有及时更改路由器管理员帐号密码,那么攻击者很容易就可以利 用这个漏洞对路由器进行攻击。

 

""
 

“当你登录路由器的Web管理界面时,只要使用简单的注入技术就可以获得操作系统的高级管理权限。”Sajdak写道,“如果用户没有及时更改路由器的管理员帐号密码,那么外网攻击者还可以使用CSRF跨站请求伪造技术轻易获得路由器的管理权限。攻击者还可以看到路由器上都在运行那些服务进程,并观察路由器内部的配置参数。”

由于路由器的Web管理界面对本地网络用户是默认开放的,因此从本地网络中发起路由器攻击最容易。不过,通过使用CSRF跨站请求伪造技术,外网用户也可以对路由器进行远程控制。

Sajdak称3月份他便已经就此警告过思科,不过到上周日他们仍然没有做出任何更新补救动作,因此Sajdak呼吁这款路由器的用户应尽快更改路由器管理员用户的密码。

不过截至目前为止,Linksys及其母公司思科并未就此漏洞发表意见。

CNBeta编译
原文:
theregister

软件界首例 暴风影音宣布召回1.2亿播放器软件

5.19断网事件引发出中国软件首个召回案例,暴风影音今日正式宣布召回1.2亿播放器软件,为用户更换“暴风门”特别版软件。这也是中国软件业内首个召回案例。5月19日黑客攻击DNS服务器造成的连锁反应中,暴风播放软件海量用户成为重要推动力,事件发生后许多网友对暴风软件程序进行质疑。而身处封口浪尖的暴风除公开发过两次声明外,并未对外过多解释。而就在数日前暴风低调联系媒体称将召开“说明会”。

暴风对这场“说明会”的内容一直保持沉默,即使在会议开始前几分钟,众多到会媒体依然不知暴风将“如何说明”这场连锁故障。因为来自电信部门的数据表明,在导致网络瘫痪的巨大域名解析请求中,来自暴风影音的流量高达40%。

虽然暴风多次称自己也是受害者,但网民却对其软件中后门、进程等事宜多加指责。在今日举行的暴风说明会上,暴风公司CEO冯鑫对配合工信部调查、报案等进行详细说明,并最终给出解决办法:召回1.2亿播放器软件。

暴风在公告里表示:6月1日起暴风将在其官网停止所有此前版本的暴风影音播放软件下载,并提供全面的召回咨询。自6月19日起,网民可以开始 删除暴风影音软件,更换为暴风公司将为所有用户提供的暴风影音“暴风门”特别版。自6月1日至7月1日,暴风公司将开通24小时召回热线 4008108689,通过这一热线,用户可以咨询并免费申领暴风影音“暴风门”特别版光盘。

此公告宣布引起现场哗然,在中国软件史上并未出现软件召回案例。暴风影音CEO冯鑫现场表示:“虽然各版本暴风影音不存在用户使用问题,但如 果 1.2亿用户都替换成新版,在网络再次出现异常的情况下,播放软件带来的DNS请求负担将降低94%,大大增强整个中国互联网的抗风险能力。”

此举被部分业界专家质疑为炒作,暴风影音强调,尽管暴风影音在用户使用时没有任何问题,但互联网软件的特性在特定环境下经过海量用户的放大给中国互联网带来了压力。为了给中国互联网减负,暴风启动了面向1.2亿用户的召回行动。

以下为暴风影音公告全文:

5月19日,一场突如其来的网络风暴,使得国内多个省市网络瘫痪、堵塞,引起社会的广泛关注。这是继2006年12月27日台湾地震导致海底光缆中断以来,中国最严重的一次网络事故。

“暴风门”事件发生以后,工信部紧急会同暴风公司、中国电信等9家单位分析原因,一致认定“暴风门”事件起因于黑客对电信域名解析服务器的攻击,暴风公司也是这一事件的受害者。

同时来自电信部门的数据表明,在导致网络瘫痪的巨大域名解析请求中,来自暴风影音的流量高达40%。

暴风公司清醒地认识到,拥有1.2亿用户的暴风影音,它的行为牵动整个中国互联网的神经,肩负着更大的社会责任!

尽管暴风影音各版本不影响用户正常使用,为避免类似事件再次发生,暴风公司决定对所有老版本1.2亿暴风影音进行召回:

一、从6月1日起,暴风公司将在其官网(www.baofeng.com)停止所有此前版本的暴风影音播放 软件下载,并提供全面的召回咨询;

二、自6月19日起,网民可以开始删除暴风影音软件,更换为暴风公司将为所有用户提供的暴风影音“暴风门”特别版。

三、自6月1日至7月1日,暴风公司将开通24小时召回热线4008108689,通过这一热线,用户 可以咨询并免费申领新版播放软件光盘。

被命名为“暴风门”特别版的全新版本暴风影音,将在网络特性方面作出重大改进。改进之后的播放软件,在网络异常(DNS服务无法解析)情况下,联网请求次数仅为此前版本的6%,将大大减少给中国互联网带来的“负担”。

暴风公司感谢政府部门、新闻媒体以及广大网民一直以来对暴风影音的支持和鼓励,也感谢在这次“暴风门”事件中来自各方面的批评和建议。暴风公司将继续努力,为所有网民提供最优秀的视频播放服务软件。

北京暴风网际科技公司

2009年6月1日

九城如胜诉 魔兽将有可能退出中国大陆

昨天,上海市高级人民法院公布了九城诉讼暴雪的有关信息.此证明九城在没有结束魔兽代理的最终期限,已经进入诉讼程序.
九城是以财产损害赔偿纠纷和商业诋毁为由向暴雪提起诉讼的.虽然九城已经表现出长期压抑的愤怒,但暴雪方面还没有明确的态度.这样就耐人寻味了.

前段时间,暴雪修改服务条款,九城几次断开魔兽的服务器,都曾引起了玩家的震动和不满.种种迹象表明九城和暴雪以玩家为王牌进行不“和谐”的“斗智”行为是非常危险地作为.

大家都知道,当时魔兽是在中国网络监管滞后的情况下引进的.虽然魔兽是一款精良的游戏,但几年下来,以魔兽为龙头的游戏产品在中国引发的社会问题和不良影响都已经暴露出来了.魔兽易主本是正常的商业过程,这次,九城和暴雪又要走上法庭,真要鱼死网破了,也难怪社会各界不理解游戏产业.

从《巫妖王之怒》的延缓审批,再到九城、网易、暴雪三家的那点事儿,文化部和版署看的再清楚不过了.想想版署早先撂下的话,当外国网游企业产品对中国游戏产业引发恶意竞争,外国游戏产品就要退出中国市场.大家也能感觉到形势的变化了.

这次,九城是诉暴雪了,也许是九城最后要求暴雪的补偿策略,但暴雪还有让九城撤诉和庭外和解和庭内调解的机会,现在暴雪很冷静,有可能暴雪也准备好了.对于玩家,九城的胜诉可能引爆魔兽退出中国大陆,玩家就要寻找新的游戏玩点了.

人民网评论

暴风影音被加入到FFmpeg耻辱名单中

FFmpeg是一个跨平台的视频和音频流方案,属于自由软件,采用LGPL或GPL许可证(依据你选择的组件)。 今年2月韩国播放软件KMPlayer被加入到FFmpeg耻辱名单中,随后网友yegle向FFmpeg举报, 指出暴风影音使用了大量开源代码,侵犯了FFmpeg的许可证。

 

5月10日,另一位用户cehoyos下载了暴风软件,用7z解压之后发现其安装程序内包 含了大量的开源和私有解码器的dll:avcodec,avformat,avutil,x264,xvid,bass,wmvdmod等等。杀毒软件 AntiVir报告lib_VoiceEngine_dll.dll是木马程序“TR\Spy.Legmir.SS.2”。之后暴风影音被正式加入到FFmpeg耻辱名单之列。

""

文/solidot

花钱可以删除搜索快照? 百度、谷歌公开否认

5月27日,近日,网络上揭露了一些公司靠删除负面新闻赚钱的消息,引起了网民的极大关注。根据媒体曝光的信息,这些公司删除新浪搜狐等网站上的负 面报道单笔要价万元,删除百度、谷歌网页,每页要价2000元。就此现象,TechWeb连线了国内主流的搜索网站——百度和谷歌。

 

""

  百度发言人朱光向表示,百度公司不会删除“百度快照”上的负面报道链接,也没有删除“百度快照”的流程。“百度会保证搜索结果的公平公正。”

  对于有些公关公司宣称收费后可以删除“百度快照”链接,他表示,根本不可能,“谁说可以花钱删除百度快照的链接,就是对百度名誉的侵犯,我们将追究其责任。”

  谷歌中国公司崔瑾表示,谷歌的搜索结果是不允许有任何人工干预的,谷歌不会删除负面信息。“如果该报道涉及违法信息或者侵犯了个人隐私,向谷歌申诉后谷歌会做出处理。”

  她同时表示,如果“谷歌快照”对应的新闻链接被删除后,谷歌在技术上会认为这是一个死链接,对于用户来说不是好的搜索体验,谷歌在下一次索引的时候,将会去掉该搜索链接。对于有些公关公司收费删除负面新闻的行为,她则拒绝评论。

  业内人士透露,删除负面信息,通用的流程是必须先找到原报道媒体,由该媒体向转载网站提出删除要求,网站才给予删除,删除原网站内容之后才能删除搜索链接。

有律师认为,企业恶意花钱“删除负面信息”的做法侵害了新闻媒体的正当权益,降低了媒体的影响力,而且也侵犯了社会公众的知情权,可以通过法律手段,追究新闻删帖人和背后指使人的法律责任。

5月19日大陆DNS大规模故障始末

18日开始,著名免费dns服务提供商的6台服务器开始受到攻击.dnspod为诸多网站提供域名解析服务,其中包含暴风影音.
18日晚上20点33分59秒.在史无前例的大流量攻击下dnspod的6台解析服务器开始失效,大量网站开始间歇性无法访问,其中包括国内诸多知名网站,当然,其中也包含我的不知名网站.第一波攻击的流量在21点30分左右达到高峰,流量超过了10Gbps/S,如下图 ,要知道,一个电信核心机房的带宽也仅仅最多只有几十G.

""

18日当晚,由于dnspod耗尽了整个机房近乎3分之1的带宽资源,为了不影响机房其他用户,dnspod的电信主力dns服务器被迫离线.

19日晚上,在另一轮高强度攻击下,dnspod服务完全中断,由于暴风影音播放器客户端无法解析出服务器的IP,开始不断向网络供应商的dns服务器发送解析请求,造成当地运营商的dns服务器堵塞.

19日晚上21点左右,浙江电信dns开始瘫痪 , 之后的两个小时内北京、天津、上海、河北、山西、内蒙古、辽宁、吉林、江苏、黑龙江、浙江、安徽、湖北、广西、广东等地区的dns陆续瘫痪.

在零点之前,部分地区的运营商进行了处理,将暴风影音的服务器Ip加入dns缓存或者禁止了这个域名的解析,网络开始恢复.

截至目前为止,还有很多地区的dns服务存在问题,dnspod的也仍然没有完全恢复.

后经了解,此次事故的罪魁祸首竟然仅仅是同样在使用dnspod服务的一个私服网站,这个网站的”同行”在对其web服务器攻击不成的情况下动用大量肉鸡对其dns服务商dnspod进行了丧心病狂的攻击,其规模之大真的让人胆战心惊.

现在还不能正常进行解析的朋友可以尝试opendns,将网络设置中的dns地址修改为208.67.222.222 和 208.67.220.220 即可

原文链接:5月19日大陆DNS大规模故障始末