npm 重大漏洞使得 Linux 系统崩溃+英特尔对Meltdown、Spectre漏洞知情不报数个月【马哥教育早报-205期】

2018年02月24日 星期六
【马哥教育新闻快报205期】

导读：npm 重大漏洞使得 Linux 系统崩溃+英特尔对Meltdown、Spectre漏洞知情不报数个月

每日一句

君子之学也以美其身，小人之学也以为禽犊。

早报内容

0.npm 重大漏洞使得 Linux 系统崩溃，强制用户重新安装

npm 用户 Crunkle指出 ，npm 5.7.0 完全破坏了他的文档系统权限，使得他必须手动修复重大文档与文件夹的权限。

根据 GitHub 上的 npm 臭虫报告，npm 用户 Crunkle 指出，npm 5.7.0 完全破坏了他的文档系统权限，使得他必须手动修补重大文档与文件夹的权限。另一名用户 juggy 则表示，单次的 npm 5.7.0 部署就摧毁了 3 台运作中的服务器。AWS EC2 的 Linux AMI 用户 redboltz 也说，他在部署 npm 5.7.0 之后便无法执行 sudo 指令，只好重建 EC2 实例。

变更文档权限可能造成程序或系统崩溃，甚至无法开机。

npm,Inc. 隔天就释出了 npm 5.7.1 进行修补。

1.传英特尔对Meltdown、Spectre漏洞知情不报数个月

苹果和 Alphabet 两公司本周致函美国众议员，状告英特尔早在去年年中就已获知 Meltdown、Spectre 三个漏洞，但却没有通报美国资安主管机关。
英特尔对CPU漏洞的应有态度不够积极，引起科技巨头们的联名指责。

本信是两大科技公司写给众议员能源与商务委员会主席Greg Walden，随后由路透社取得，Walden曾在稍早质疑科技公司何时获知漏洞消息。信中指出，Alphabet旗下Google的安全研究团队Project Zero早在6月就已发现CPU中的三项漏洞，并分别通知英特尔、AMD及ARM三家芯片公司。

2.MongoDB 4.0有望支持跨文档事务

自MongoDB并购了WiredTiger及其关系数据库存储引擎以来，很多技术专家一直翘首以待MongoDB何时提供对跨文档事务（multi-document transaction）的支持。MongoDB在本周宣布，跨文档事务有望于今年夏天加入到MongoDB 4.0中。

据MongoDB的Grigori Melnik宣称，“80%到90%的应用是完全不需要跨文档事务的”。然而他的说法有待商榷，在层次数据库中很有可能存在大量的反规范化（denormalized）数据，此类数据需要支持多地同时更新以确保一致性。

3. 新加坡国防部付费邀请白帽子寻找漏洞，加固政府网络安全

新家坡国防部邀请数百名白帽子对其网站进行攻击测试，以寻找漏洞、加固政府网络安全。项目结束时，新家坡政府共为此支付奖金 14750 美元。

2017 年，新家坡国防部某 web 端口遭入侵，约 850 名军人等雇员个人信息遭黑客窃取，这引起了政府部门对于网络安全的重视。因此，新家坡国防部在 2018 年伊始就在 HackerOne 上发起了这个漏洞奖励项目。项目中共提交了 97 份漏洞报告，不过有 35 份被宣布无效。

4.深交所：本所对“乐视网”股票的交易情况进行了重点监控

2月23日夜间，深交所通过其官方微博发布消息表示对“乐视网”股票的交易情况进行了重点监控。

深交所称，本周，本所共对207起证券异常交易行为进行了分析，涉及盘中拉抬打压、虚假申报、拉抬收盘价等异常交易情形，本所及时采取了监管措施。共对10起上市公司重大事项进行核查，并上报证监会7起涉嫌违法违规案件线索。同时，本所对“乐视网”股票的交易情况进行了重点监控。

【每日一个知识点】

【每日一个知识点第84期-Linux】

问题：Linux磁盘分区的命名方式和常用目录？

答案：http://www.magedu.com/75137.html

【每日一个知识点第85期-Python】

问题：Python字典内置函数&方法都有哪些？

答案：http://www.magedu.com/75140.html

【近期开班】

Linux面授班30期：2018年03月26日（北京）

Linux网络班29期：2018年02月24日（网络）

Python面授班10期：2018年03月05号（北京）

Python网络班11期：2018年03月17号（网络）