Linux内核“大脏牛”漏洞来袭+Django 2.0 正式发布【马哥教育早报-156期】

2017年12月04日 星期一
马哥教育新闻快报

导读:Linux内核“大脏牛”漏洞来袭+Django 2.0 正式发布


每日一句


犀象至庞大,人熊御之;虎豹鸷猛,人能伏之。惟其任智而学也。


早报内容


0.“脏牛”内核漏洞修复补丁存在缺陷 “大脏牛”漏洞来袭
Bindecy 研究人员指出,去年在 Linux 系统中发现的“脏奶牛”漏洞(CVE-2016-5195)并未得到完全修复。
“脏奶牛”漏洞源自 Linux 内核中的内存子系统在处理私有只读内存映射的写时拷贝(简称 COW,即‘奶牛’的由来)时,会因争夺而引发破坏性结果。漏洞发现者菲尔·奥斯特(Phil Oester)意识到,黑客可以使用这个缺陷来获得对其它只读存储器映射的写入访问,从而增加它们在系统上的特权。
原本的安全漏洞会影响到 get_user_page 函数,其被用于获取用户进程内虚拟地址之后的物理页。基本上,该 bug 允许攻击者向只读权限页版本中写入内容。
此项安全漏洞的修复补丁并不会降低所请求的权限。相反,研究人员们解释称“get_user_page 如今会记住我们通过了 COW 循环的事实。”

1.Linux Journal 停止出版
有 23 年历史的 Linux 期刊 Linux Journal 因资金耗尽宣布停止出版。Linux Journal 是第一个专注于报道 Linux 内核及其发行版的杂志,诞生于 1994 年 4 月。它在 2011 年停止发行印刷版,2017 年 11 月这一期将是数字版的最后一期。期刊发行人称,他们没钱继续出版了,他们没有富有的母公司,财力也不雄厚,自始至终都显得反常。在很长时间里 Linux Journal 都是贴着地飞行,但上个月终于摔了下来。发行人表示希望期刊能得到拯救。Linux Journal 向它的忠实订阅者提供了最后一份礼物:所有已出版期刊的存档。

2.Raspbian 20171129 发布,基于 Debian 的 Linux 系统
Raspbian 20171129 已发布,Raspbian 是基于 Debian GNU/Linux 的免费操作系统,它面向 Raspberry Pi 硬件(armhf 处理器架构)而做了优化。Raspbian 带有 35000 多个软件包或预编译软件,它们按优美的格式打包从而便于在 Raspberry Pi 上安装。

3.Django 2.0 正式发布,Python 的 Web 框架
Web 框架 Django 已正式发布 2.0 版本。该版本不再支持 Python 2.x,并添加了一大串新功能。
主要更新包括:
简化 URL 路由语法 :新的 django.urls.path()允许使用更简单,更易读的 URL 路由语法。
对移动端友好的 contrib.admin:admin 现在响应和支持所有主要的移动设备。
Window expressions:新的 Window expression 允许向查询集添加 OVER 子句。

4.Apache Tomcat Native 1.2.16 发布
Apache Tomcat Native 1.2.16 已发布。Tomcat Native 这个项目可以让 Tomcat 使用 Apache 的 apr 包来处理包括文件和网络 IO 操作,以提升性能。
此版本主要更新包括:
使用 APR 1.6.3 和 OpenSSL 1.0.2m 构建 Windows 二进制文件。
改进 OCSP 扩展解析。


今日知识点


patch命令是什么?如何使用?

答案: 
patch命令就是用来将修改(或补丁)写进文本文件里。patch命令通常是接收diff的输出并把文件的旧版本转换为新版本。举个例子,Linux内核源代码由百万行代码文件构成,所以无论何时,任何代码贡献者贡献出代码,只需发送改动的部分而不是整个源代码,然后接收者用patch命令将改动写进原始的源代码里。

创建一个diff文件给patch使用:

# diff -Naur old_file new_file > diff_file

旧文件和新文件要么都是单个的文件要么都是包含文件的目录,-r参数支持目录树递归。
一旦diff文件创建好,我们就能在旧的文件上打上补丁,把它变成新文件:

# patch < diff_file

相关新闻

历经多年发展,已成为国内好评如潮的Linux云计算运维、SRE、Devops、网络安全、云原生、Go、Python开发专业人才培训机构!