2018年02月24日 星期六
【馬哥教育新聞快報205期】

導讀：npm 重大漏洞使得 Linux 系統崩潰+英特爾對Meltdown、Spectre漏洞知情不報數個月

每日一句

君子之學也以美其身，小人之學也以為禽犢。

早報內容

0.npm 重大漏洞使得 Linux 系統崩潰，強制用戶重新安裝

npm 用戶 Crunkle指出 ，npm 5.7.0 完全破壞了他的文檔系統權限，使得他必須手動修復重大文檔與文件夾的權限。

根據 GitHub 上的 npm 臭蟲報告，npm 用戶 Crunkle 指出，npm 5.7.0 完全破壞了他的文檔系統權限，使得他必須手動修補重大文檔與文件夾的權限。另一名用戶 juggy 則表示，單次的 npm 5.7.0 部署就摧毀了 3 臺運作中的服務器。AWS EC2 的 Linux AMI 用戶 redboltz 也說，他在部署 npm 5.7.0 之后便無法執行 sudo 指令，只好重建 EC2 實例。

變更文檔權限可能造成程序或系統崩潰，甚至無法開機。

npm,Inc. 隔天就釋出了 npm 5.7.1 進行修補。

1.傳英特爾對Meltdown、Spectre漏洞知情不報數個月

蘋果和 Alphabet 兩公司本周致函美國眾議員，狀告英特爾早在去年年中就已獲知 Meltdown、Spectre 三個漏洞，但卻沒有通報美國資安主管機關。
英特爾對CPU漏洞的應有態度不夠積極，引起科技巨頭們的聯名指責。

本信是兩大科技公司寫給眾議員能源與商務委員會主席Greg Walden，隨后由路透社取得，Walden曾在稍早質疑科技公司何時獲知漏洞消息。信中指出，Alphabet旗下Google的安全研究團隊Project Zero早在6月就已發現CPU中的三項漏洞，并分別通知英特爾、AMD及ARM三家芯片公司。

2.MongoDB 4.0有望支持跨文檔事務

自MongoDB并購了WiredTiger及其關系數據庫存儲引擎以來，很多技術專家一直翹首以待MongoDB何時提供對跨文檔事務（multi-document transaction）的支持。MongoDB在本周宣布，跨文檔事務有望于今年夏天加入到MongoDB 4.0中。

據MongoDB的Grigori Melnik宣稱，“80%到90%的應用是完全不需要跨文檔事務的”。然而他的說法有待商榷，在層次數據庫中很有可能存在大量的反規范化（denormalized）數據，此類數據需要支持多地同時更新以確保一致性。

3. 新加坡國防部付費邀請白帽子尋找漏洞，加固政府網絡安全

新家坡國防部邀請數百名白帽子對其網站進行攻擊測試，以尋找漏洞、加固政府網絡安全。項目結束時，新家坡政府共為此支付獎金 14750 美元。

2017 年，新家坡國防部某 web 端口遭入侵，約 850 名軍人等雇員個人信息遭黑客竊取，這引起了政府部門對于網絡安全的重視。因此，新家坡國防部在 2018 年伊始就在 HackerOne 上發起了這個漏洞獎勵項目。項目中共提交了 97 份漏洞報告，不過有 35 份被宣布無效。

4.深交所：本所對“樂視網”股票的交易情況進行了重點監控

2月23日夜間，深交所通過其官方微博發布消息表示對“樂視網”股票的交易情況進行了重點監控。

深交所稱，本周，本所共對207起證券異常交易行為進行了分析，涉及盤中拉抬打壓、虛假申報、拉抬收盤價等異常交易情形，本所及時采取了監管措施。共對10起上市公司重大事項進行核查，并上報證監會7起涉嫌違法違規案件線索。同時，本所對“樂視網”股票的交易情況進行了重點監控。

【每日一個知識點】

【每日一個知識點第84期-Linux】

問題：Linux磁盤分區的命名方式和常用目錄？

答案：http://haohuigou.com/75137.html

【每日一個知識點第85期-Python】

問題：Python字典內置函數&方法都有哪些？

答案：http://haohuigou.com/75140.html

【近期開班】

Linux面授班30期：2018年03月26日（北京）

Linux網絡班29期：2018年02月24日（網絡）

Python面授班10期：2018年03月05號（北京）

Python網絡班11期：2018年03月17號（網絡）