Ruby on Rails Action Pack组件信息泄露漏洞（CVE-2014-7818）

2017年02月05日 11 阅读

发布日期：2014-10-30更新日期：2014-10-31受影响系统：Ruby on Rails Ruby on Rails描述：BUGTRAQ ID: 70789CVE（CAN） ID: CVE-2014-7818Action Pack组件是构建和测试MVC Web应用的约定。Action Pack 3.0.0及之前版本在实现上存在信息泄露漏洞，成功利用后可获取敏感信息。<*来源：Aaron Patterson*>建议：厂商补丁：Ruby ...

Lambda表达式和表达式树

2017年02月05日 11 阅读

在C# 2.0中，通过方法组转换和匿名方法，使委托的实现得到了极大的简化。但是，匿名方法仍然有些臃肿，而且当代码中充满了匿名方法的时候，可读性可能就会受到影响。C# 3.0中出现的Lambda表达式在不牺牲可读性的前提下，进一步简化了委托。LINQ的基本功能就是创建操作管道，以及这些操作需要的任何状态。这些操作表示了各种关于数据的逻辑，例如数据筛选，数据排序等等。通常这些操作都是用委托来表示。Lambda表达式是对LINQ数据操作的一种符合语言习惯的表示方...

GitLab 不受 Rails 安全漏洞 CVE-2014-7818 影响

2017年02月05日 11 阅读

昨天 Rails 框架发布一个安全漏洞 security advisory for file existence disclosure vulnerability CVE-2014-7818. GitLab 并不受此漏洞影响。CVE-2014-7818 影响使用了 config.serve_static_assets = true 的 Rails 应用，而 Gitlab 中这个配置值为 false，配置文件位于 config/environments/pr...

树莓派 安装 OpenCV 使用CMake 编译工程 最新版2015

2017年02月05日 11 阅读

树莓派 安装 OpenCV 使用CMake 编译工程 最新版2015一、安装make,cmakesudo apt-get install makesudo apt-get install cmake二、下载deb包去这里下载libopencv_2.4.10.deb.zip（我不太好下载，折腾了好久最后是用手机流量才下载下来，电脑一直下载到一大半就停止不动了）那个deb的作者还发了这个帖子，有问题可以去问三、安装deb包解压.deb.zip，复制到RPi上，...

Drupal 漏洞发布7小时内遭自动化攻击，上百万网站经历生死时速

2017年02月05日 11 阅读

Drupal是今天新闻、博客等内容网站最流行的内容管理平台之一，和安全牛之前报道过的影响170万网站的wordpress插件漏洞一样，Drupal近日也爆出一个影响上百万网站的严重安全漏洞，更糟糕的是漏洞发布7小时内就遭受自动化攻击，这意味着大量Drupal网站都无法幸免。昨天Drupal发出紧急通知：10月15日一个Drupal平台的SQL注入漏洞在公布7小时内遭受黑客大规模自动化攻击，所有在该漏洞发布7小时内没有及时更新补丁或升级到Drupal 7.3...

Spring JDBC详解

2017年02月05日 11 阅读

本文旨在讲述Spring JDBC模块的用法。Spring JDBC模块是Spring框架的基础模块之一。一、概述在Spring JDBC模块中，所有的类可以被分到四个单独的包：1）core即核心包，它包含了JDBC的核心功能。此包内有很多重要的类，包括：JdbcTemplate类、SimpleJdbcInsert类，SimpleJdbcCall类，以及NamedParameterJdbcTemplate类。2）datasource即数据源包，访问数据源的...

可能有多达1200万网站因Drupal漏洞被入侵

2017年02月05日 11 阅读

开源内容管理系统Drupal发出警告，如果没有在安全修正发布7小时内打上补丁，那么使用Drupal 7的网站可以假定他们已经遭到了攻击者入侵。自动攻击工具已能利用漏洞去控制网站。安全公司Sophos的分析师Mark Stockley说，这一警告令人震惊。他估计全世界大约有10亿个网站，其中 5.1% 的网站是使用Drupal管理内容，有多达1200万个网站需要用户手动打上补丁，而大多数网站不太可能及时打上补丁。他认为Drupal不应该依靠用户去安装安全更新...

Citrix XenMobile MDX Toolkit信息泄露漏洞（CVE-2014-8495）

2017年02月05日 11 阅读

发布日期：2014-10-29更新日期：2014-11-01受影响系统：Citrix XenMobile MDX Toolkit描述：BUGTRAQ ID: 70799CVE（CAN） ID: CVE-2014-8495Citrix XenMobile MDX Toolkit可以用Citrix逻辑和策略封装iOS或Android上的移动应用。XenMobile MDX Toolki内存在安全漏洞，可造成缓存应用数据不对封装应用加密，这可使攻击者获取敏感信息...

为什么我不喜欢Go语言式的接口（即Structural Typing）

2017年02月05日 11 阅读

所谓Go语言式的接口，就是不用显示声明类型T实现了接口I，只要类型T的公开方法完全满足接口I的要求，就可以把类型T的对象用在需要接口I的地方。这种做法的学名叫做Structural Typing，有人也把它看作是一种静态的Duck Typing。除了Go的接口以外，类似的东西也有比如Scala里的Traits等等。有人觉得这个特性很好，但我个人并不喜欢这种做法，所以在这里谈谈它的缺点。当然这跟动态语言静态语言的讨论类似，不能简单粗暴的下一个“好...

OS X Yosemite 爆多个严重安全漏洞

2017年02月05日 11 阅读

来自瑞典安全公司 Truesec 的 Emil Kvarnhammar 发现最新代号为 Yosemite 的 OS X 10.10 中存在多个安全漏洞，他将之命名为 —— rootpipe。他发表文章解释如何发现这些漏洞以及如何预防。这些安全漏洞导致攻击者无需密码即可获得机器的最高权限，也就是 root 访问。目前苹果公司尚未修复这些漏洞，Truesec 将不会提供漏洞的工作原理。OS X 的详细介绍：请点这里...

ALLPlayer 5.6.2版本本地缓冲区溢出漏洞

2017年02月05日 11 阅读

发布日期：2014-10-30更新日期：2014-11-04受影响系统：ALLPlayer ALLPlayer 5.6.2－5.8.1描述：CVE（CAN） ID: CVE-2013-7409ALLPlayer是媒体播放软件。ALLPlayer 5.6.2－5.8.1版本在实现上存在缓冲区溢出漏洞，远程攻击者通过.m3u文件内的较长字符串，利用此漏洞可造成拒绝服务和执行任意代码。<*来源：metacom*>测试方法：警 告以下程序（方法）可能带...

Go语言使用心得

2017年02月05日 11 阅读

13年上半年接触了Golang，对Golang十分喜爱。现在是2015年，离春节还有几天，从开始学习到现在的一年半时间里，前前后后也用Golang写了些代码，其中包括业余时间的，也有产品项目中的。一直有想法写点Golang相关的总结或者感想，决定还是在年前总结下吧。注明下：我只是Golang的喜好者，不是脑残粉，也无意去挑起什么语言之争。特性少，语法简单。GO是崇尚极简主义的，提倡少即是多。这点在它的Spec上尤其凸显，一下午的时间绝对可以看完。GO的特性...

多个McAfee产品密码哈希算法安全漏洞（CVE-2014-8565）

2017年02月05日 11 阅读

发布日期：2014-10-31更新日期：2014-11-04受影响系统：McAfee FRP 4.3.0.xMcAfee EEFF 4.2.xMcAfee EEFF 4.1.xMcAfee EEFF 4.0.xMcAfee EEFF 3.2.x描述：BUGTRAQ ID: 70865CVE（CAN） ID: CVE-2014-8565McAfee File and Removable Media Protection （FRP）是文件及文件夹端点加密解决方...

HP LaserJet Printers远程拒绝服务漏洞（CVE-2014-7875）

2017年02月05日 11 阅读

发布日期：2014-10-30更新日期：2014-11-04受影响系统：HP LaserJet描述：BUGTRAQ ID: 70863CVE（CAN） ID: CVE-2014-7875惠普是全球领先高科技提供商，提供笔记本、台式电脑、工作站等全线产品。HP LaserJet CM3530多功能打印机（模块号CC519A, CC520A;固件版本v.53.236.2及其他版本）存在远程拒绝服务，远程成功利用可在未授权情况下访问数据或导致拒绝服务。<*...

多个Linksys EA系列路由器密码管理漏洞（CVE-2014-8243）

2017年02月05日 11 阅读

发布日期：2014-10-31更新日期：2014-11-04受影响系统：Linksys EA系列路由器 EA6900Linksys EA系列路由器 EA6700Linksys EA系列路由器 EA6500Linksys EA系列路由器 EA6400Linksys EA系列路由器 EA6300Linksys EA系列路由器 EA6200Linksys EA系列路由器 EA4500描述：BUGTRAQ ID: 70860CVE（CAN） ID: CVE-201...

什么时候 AngularJS 会超越 jQuery

2017年02月05日 11 阅读

web 新手常问的一个问题是“我应该使用哪个框架？”但这个问题却没有‘正确’的答案，通常主要讨论的是 AngularJS 和 jQuery的区别。但它们间的比较在某些方面就像是在比较苹果和橘子的区别，对于一个web应用，没有明确的原因非要使用一个主要的 web 框架实现。下面一些使用 AngularJS 要优先于 jQuery 的场景。当 DOM 操作是次要时jQuery 主要关注于 DOM 扫描和操作。一个...

多个Linksys EA系列路由器信息泄露漏洞（CVE-2014-8244）

2017年02月05日 11 阅读

发布日期：2014-10-31更新日期：2014-11-04受影响系统：Linksys EA系列路由器 EA6900Linksys EA系列路由器 EA6700Linksys EA系列路由器 EA6500Linksys EA系列路由器 EA6400Linksys EA系列路由器 EA6300Linksys EA系列路由器 EA6200Linksys EA系列路由器 EA4500描述：BUGTRAQ ID: 70864CVE（CAN） ID: CVE-201...

使用Golang快速构建WEB应用

2017年02月05日 11 阅读

我们从来都不开发代码，我们只是代码的搬运工。— 阿飞希望大家都变卡卡西。— 啊贱大家copy愉快，文档只做参考。如果发现问题或者有好的建议请回复我我回及时更正。1.Abstract在学习web开发的过程中会遇到很多困难，因此写了一篇类似综述类的文章。作为路线图从web开发要素的index出发来介绍golang开发的学习流程以及Example代码。在描述中多是使用代码来描述使用方法不会做过多的说明。最后可以方便的copy代码来实现自己...

EllisLab ExpressionEngine Core多个SQL注入漏洞（CVE-2014-5387）

2017年02月05日 11 阅读

发布日期：2014-11-03更新日期：2014-11-04受影响系统：EllisLab ExpressionEngine Core <＝ 2.9.0EllisLab ExpressionEngine Core描述：BUGTRAQ ID: 70875CVE（CAN） ID: CVE-2014-5387EllisLab ExpressionEngine Core是内容管理平台。EllisLab ExpressionEngine Core 2.9.0及之...

FFmpeg及Libav 越界拒绝服务漏洞（CVE-2014-8548）

2017年02月05日 11 阅读

发布日期：2014-10-03更新日期：2014-11-04受影响系统：FFmpeg FFmpeg < 2.4.2FFmpeg FFmpeg描述：BUGTRAQ ID: 70888CVE（CAN） ID: CVE-2014-8548FFmpeg是一个免费的可以执行音讯和视讯多种格式的录影、转档、串流功能的软件。Libav是一个跨平台的自由软件，可以执行多媒体格式和协议的录影、转档、串流功能。FFmpeg及Libav在实现上存在拒绝服务漏洞，攻击者可利...