写点什么

雅虎确认被攻击,但不是由于 Shellshock

  • 2014-10-09
  • 本文字数:624 字

    阅读完需:约 2 分钟

Jonathan Hall 是安全公司 Future South Technologies 的高级工程师。在本周早些时候发布的一份报告中,他说黑客利用Shellshock Bug 攻击了雅虎的系统。 Shellshock 是 Bash 中一个严重的漏洞,允许黑客在未经授权的情况下以合法用户的身份执行代码和命令。 InfoQ 对此有过专门报道

ZDNet 报道,雅虎已经确认受到了攻击。但是,在 Hacker News 的一篇博文中,雅虎首席安全官Alex Stamos 反驳了Hall 的说法。据他说,在对受攻击情况进行了全面调查后,他们发现,服务器并没有受到Shellshock 的影响。他写道,攻击者上周末在雅虎的三台Sports API 服务器执行过恶意代码,用于寻找易受攻击的Shellshock 服务器。但他们突然改变了攻击方式,可能是为了绕过IDS/IDP 或者WAF 过滤器。而这一改变正好利用了Sports 团队正在使用的一个监控脚本中存在的命令行注入Bug。

同时,Alex 还指出,在受到攻击后,雅虎迅速隔离了这些服务器,而且受影响的服务器只是用于提供体育比赛的现场直播,并不存储用户数据。因此,目前没有证据表明有用户数据受到影响。与此同时,为了及时发现并处理未来可能出现的问题,他们已经将攻击模式添加到CI/CD 代码扫描器中。

此外,Hall 声称曾多次尝试联系过雅虎,但没有得到回应。Stamos 否认了他的这一说法。


感谢郭蕾对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ )或者腾讯微博( @InfoQ )关注我们,并与我们的编辑和其他读者朋友交流。

2014-10-09 03:361536
用户头像

发布了 1008 篇内容, 共 410.9 次阅读, 收获喜欢 346 次。

关注

评论

发布
暂无评论
发现更多内容

Xposed简介以及小米去桌面广告的简单实现,五步搞定Android开发环境部署

android 程序员 移动开发

6.0反序列化漏洞分析

网络安全学海

网络安全 信息安全 渗透测试 WEB安全 安全漏洞

Python代码阅读(第50篇):对列表间隔取元素

Felix

Python 编程 Code Programing 阅读代码

WMRouter:美团外卖Android开源路由框架(1),看完老板哭着让我留下来

android 程序员 移动开发

网盘数据要搬家?焱融 SaaS 数据服务平台教你这么干

焱融科技

云计算 分布式 高性能 文件存储 SaaS平台

zookeeper使用篇-Zookeeper Api实践,flutter下拉刷新上拉加载更多

android 程序员 移动开发

[译] 改善 Android Studio 的构建速度(1),美团移动端开发工程师

android 程序员 移动开发

可视化全埋点系列文章之元素标识篇

神策技术社区

可视化 全埋点

TT语音线程优化,Android开发快速学习

android 程序员 移动开发

ViewPager2重大更新,支持offscreenPageLimit,kotlin动态语言

android 程序员 移动开发

WebView开源库终极学习方案,android开发艺术探索pdf

android 程序员 移动开发

WorkManager完全解析+重构轮询系统,大厂面试题汇总

android 程序员 移动开发

[译] Android 的 Java 9,10,11,作为程序员一定不要仅仅追求物质

android 程序员 移动开发

RadonDB MySQL on K8s 2.1.0 发布!

RadonDB

MySQL 数据库 Kubernetes

Windows安装repo的真正解决方案,移动终端软件开发颜色演示

android 程序员 移动开发

WMS-是如何拿到-Token-的?,flutter屏幕旋转监听

android 程序员 移动开发

[Android-Gradle]-搞定Groovy闭包这一篇就够了,小程序开发步骤

android 程序员 移动开发

[译][2(1),android开发计算器源码

android 程序员 移动开发

[译][2,安卓应用开发项目

android 程序员 移动开发

Aeron中这么多空闲策略选哪个?

BUG侦探

Aeron 开发技能

STM32~配置时钟频率[一文带你解决STM32主频配置],flutter跳转到系统设置

android 程序员 移动开发

View 事件分发机制,看这一篇就够了,flutter登录注册

android 程序员 移动开发

ViewPage实现一屏多页面显示(进阶版),简直无敌

android 程序员 移动开发

[译] 全新 Android 注入器 _ Dagger 2(三),android开发架构方案

android 程序员 移动开发

[译] 改善 Android Studio 的构建速度,掌握这6大技能体系

android 程序员 移动开发

[译] Plaid 应用迁移到 AndroidX 的实践经历,安卓卡顿优化方法

android 程序员 移动开发

[译] 充分利用多摄像头 API,30分钟轻松入门flutter

android 程序员 移动开发

Toolbar在Android中的使用,2021大厂面试合集

android 程序员 移动开发

UI组件化--干掉shape终极一战,android模块化框架

android 程序员 移动开发

[译] Android 的多摄像头支持,flutter登录

android 程序员 移动开发

会议管理系统减少大中型企业的会议矛盾

低代码小观

企业管理 企业应用 管理系统 管理工具 会议管理

雅虎确认被攻击,但不是由于Shellshock_语言 & 开发_谢丽_InfoQ精选文章