网安动态Apache Struts某漏洞曝光一年后仍有“余威”; hashgraph：区块链技术的最新竞争者

Posted 2021-04-28 互联网新技术新应用动态

内容提要：

1. Apache Struts某漏洞曝光一年后仍有“余威”

2. hashgraph：区块链技术的最新竞争者

3. 美国大选丑闻：AIQ数据泄露让真相越发清晰

4. AT&T正对FirstNet公共安全网络展开最终测试

5. 恶意软件GoScanSSH针对Linux设备发起攻击，主动避开政府和军用网络

6. 前巴克莱银行首席安全官出任世界经济组织全球安全中心首脑

7. 二战以来再度携手：英美联合防御网络威胁

8. 互联网最重要的安全协议终于向前推进

9. 区块链被委以重任，网络安全领域的春天到了？

1.Apache Struts某漏洞曝光一年后仍有“余威”

 一年之前，研究人员们曾尝试利用 Apache Struts 2 框架中的安全缺陷（漏洞CVE-2017-5638）实现远程代码执行攻击。到目前为止，黑客们仍在进行网络扫描以寻找此类易受攻击影响的服务器。这一安全漏洞影响到 Struts 2.3.5~2.3.31 版本以及 Struts 2.5~2.5.10 版本。该项安全漏洞已经于2017年3月6日伴随着2.3.32与2.5.10.1版本的发布而得到解决。这项漏洞的作用原理，在于利用 Jakarta Multipart 解析器进行文件上传，可能触发由 Content-Type 标头处理不当而导致的错误，进而允许远程且未经身份验证的攻击者在目标系统上执行任意操作系统命令。

2.hashgraph：区块链技术的最新竞争者

作为比特币等加密货币的底层技术，区块链（Blockchain）目前正面临着巨大的竞争压力。利用比特币、以太币这类加密货币，众多个人与企业正努力配合区块链底层技术以解决自身实际问题，但这套庞大的生态系统在刚刚兴起的当下就已经迎来挑战者——【后起之秀】哈希图（hashgraph），矛头直指已经拥有近十年历史的分布式分类账技术。

3.美国大选丑闻：AIQ数据泄露让真相越发清晰

网络安全公司 UpGuard 最近发现，加拿大政治数据公司 AggregateIQ（AIQ）一个大型代码库暴露在网上可供在线下载，这批数据暴露了美国共和党在2016大选期间试图影响美国选民所使用的政治数据和工具。暴露的数据揭露了 AIQ 与“剑桥分析”（Cambridge Analytica）之间的联系，AIQ 还与美国保守派政治家泰德·克鲁兹和德克萨斯州州长格雷格·雅培之间存在关联。据美国科技博客Gizmodo报道，这些数据还暴露了 AIQ 与乌克兰钢铁巨头塔鲁塔之间的联系。

4.AT&T正对FirstNet公共安全网络展开最终测试

据负责搭建 FirstNet 的 AT&T 所述，这个全美公共安全无线网络已经迎来了一个里程碑，目前该公司正对其展开最终测试。周二的时候，AT&T 宣布这个专属 4G 无线网络的“核心”部分已经上线，并且做好了让地方机构与之连接的准备。作为这个网络的“大脑和神经系统”，AT&T 将继续借助有限数量的客户来对其进行测试，以验证网络是否可以满足公共安全的需求。

5.恶意软件GoScanSSH针对Linux设备发起攻击，主动避开政府和军用网络

思科Talos团队最近发现了一个新的恶意软件家族，针对了易受攻击的Linux设备，并极力避免感染政府和军用网络中的设备。这个恶意软件家族被命名为“GoScanSSH”，来源于它的主要特征和功能——采用Go语言编码、使用受感染设备扫描新目标以及将SSH端口作为感染切入点。

6.前巴克莱银行首席安全官出任世界经济组织全球安全中心首脑

在今年1月的世界经济论坛（WEF）在第48届年度会议上，决议决定成立世界经济组织全球安全中心。前巴克莱银行首席安全官，Troels Oerting 成为该安全中心的首脑，将在2018年4月2日上任。

7.二战以来再度携手：英美联合防御网络威胁

在就“恶意活动”的应对举措作出讨论后，英美两国军事与情报部门负责人发表一份史无前例的联合声明，强调将跨越大西洋在网络能力方面建立合作关系。来自 GCHQ（英国政府通讯总部）、英国联合部队司令部（简称JFC）以及美国国家安全局（简称NSA）的领导人们共同探讨了如何“防御并应对”在线威胁活动。

8.互联网最重要的安全协议终于向前推进

互联网工程任务组（IETF）经过4年的讨论，起草了28份草案，近日最新TLS 1.3安全框架颁布 ，这是 TLS 协议的一次迭代改进。TLS 1.3将成为在客户端和服务器之间创建加密通信的标准，即HTTPS连接。TLS 1.3既能提高互联网用户的访问速度，又能增强安全性，同时大大提升HTTPS连接的速度性能。

9.区块链被委以重任，网络安全领域的春天到了？

区块链是一种按照时间顺序，将数据区块以顺序相连的方式组合成的一种链式数据结构，并以密码学方式保证的不可篡改、不可伪造的分布式账本。进入2018年，区块链概念逐渐被大众所熟知，其网络安全价值也逐渐被发掘。近日，京东正式发布区块链方案白皮书，称旨以区块链为“链接器”，构建一体化的智慧供应链体系、零售网络和金融科技，全面开放自身的区块链技术积累。