腾讯工程师公开侵入酒店WiFi被逮捕！网友：作死；Java 11 / JDK 11发布！macOS曝新漏洞，可致用户信息丢失

Posted 2021-04-30 程序员头条

0、因公开破解酒店 WiFi，腾讯 23 岁程序员被逮捕并罚款‍

腾讯的一位安全工程师在出席新加坡举行的网络安全会议期间将入侵酒店 WiFi 系统作为消遣，他还写了一篇博客介绍了入侵经过。该文引起新加坡网络安全局（CSA）的注意，CSA随后对其进行了抓捕，并被处以 5000 美元的罚款。

郑某是在上个月的 27 日入住了武吉士的飞龙酒店。在郑某公开的博文中，他写到，“秉持着到一个酒店就想破解一番的精神，我对这套（酒店）系统进行了一个深入的测试，最后通过串联 4 个漏洞拿到了系统的 root 权限。”

‍

通过 Google，他找到了这个系统测的两个默认口令。登录进去后，发现帐号在一个受限的 shell 下，看了看 shell 自带的命令，和 Linux 自带的一些命令差不多，甚至可以用一些命令查看到沙盒之外的信息。利用 netstat -l 发现這個系统存在一個 mysql，但是仅监听在 127.0.0.1。同时还发现了 6000 端口是一個 SSH 服务端口。

最终，他发现这个服务器的 MySQL 是 MySQL 4.1.2，通过使用 Navicat 成功连接，但此时的问题是他没有 MySQL 密码。

通过分析，尝试了几次之后，他成功利用了 vlandump 逃逸了沙盒，又在 /etc 目录发现了 MySQL 的密码。随后，他将整个黑客过程记录在了自己的个人博客上，在文章中公布了 WiFi 服务器的管理员密码，并在 WhatsApp 群聊中分享了他的博客文章的访问链接。‍

查看更多郑某的破解手法，可点击查阅：‍

对于郑某的做法，有网友表示：作为安全工程师，检测系统漏洞也许是职业素养，但公布出来真是违背人品了。

目前，腾讯公关部就此事回应表示：

当事人郑某为今年应届毕业生，在入职前曾参加 CTF 安全攻防赛事。其个人于 8 月 29 日受邀请去新加坡参加 HITB GSEC CTF 2018，参与现场出题，并到新加坡国立大学进行 workshop 分享。

他在入住酒店期间发现了酒店的 WiFi 系统存在默认登录口令，在个人博客撰写一篇分析的文章。此事没有造成金钱或有形损害，但其在博客公布默认口令的行为可能会被其他人恶意利用，从而给酒店造成损失，法院结案对其进行罚款警示。

郑某对外测试行为违反公司安全测试规范，考虑其尚在试用期间，我们决定将他作为案例警示。我们会一如既往强化对新人的安全教育和上岗培训，严格遵守各国法律法规。

【程序员头条】

1、Java 11 / JDK 11 正式发布！‍

2、Kubernetes 1.12.0-rc.2 发布，容器编排工具‍

Kubernetes 是一个开源的、用于管理云平台中多个主机上的容器化的应用，Kubernetes 的目标是让部署容器化的应用简单并且高效，Kubernetes 提供了应用部署、规划、更新与维护的一种机制。

● Update to use manifest list for etcd image

● Fix Azure nodes power state for InstanceShutdownByProviderID() 

● kubelet: fix grpc timeout in the CRI client

● ......（详情：https://github.com/kubernetes/autoscaler/releases/tag/1.12.0）

3、谷歌的高性能 RPC 框架 gRPC 1.15.1 正式发布‍

gRPC 1.15.1 发布了，发布说明显示，这是一个专门针对 Objective-C 库发布的补丁版本。更新内容如下：

Objective-C

● 修复了 BoringSSL-GRPC 与 OpenSSL 冲突的问题 (#16677)

● ......（详情：https://github.com/grpc/grpc/releases/tag/v1.15.1）

4、MySQL分支版本 MariaDB 10.2.18 发布

MariaDB 10.2.18 GA 发布了，MariaDB 10.2 是目前稳定的 MariaDB 系列。它是 MariaDB 10.1 的发展，具有几个在其他任何地方都找不到的全新功能，以及继承自 MySQL 5.6 和 5.7 后端和重新实现的功能。值得关注：

值得关注的变化

● MDEV-15511 - if available, stunnel can be used during Galera rsync SST

● MDEV-15088 - Remove debuginfo files from Windows .zip files and put in optional supplemental .zip file

● MDEV-16791 - mariabackup: Support DDL commands during backup

● ......（详情：http://downloads.mariadb.com/MariaDB/mariadb-10.2.18/winx64-packages/mariadb-10.2.18-winx64.msi）

5、Web服务器 nginx 主线版 1.15.4 发布

Nginx 主线版 1.15.4 已发布，该版本新增了一项特性 —— "ssl_early_data"指令现已可以与 OpenSSL 一起使用。此外还包括一些其他的变更和 bug 修复。

● Feature: now the "ssl_early_data" directive can be used with OpenSSL.

● Bugfix: in the ngx_http_uwsgi_module.

● Bugfix: connections with some gRPC backends might not be cached when using the "keepalive" directive.

● ......（详情：http://nginx.org/en/download.html）

6、新的安全漏洞正影响 CentOS 和 Red Hat Linux 发行版‍

Qualys 研究实验室的安全团队公开了一个新的有关 Linux 内核漏洞的详细信息和概念验证（PoC）代码，该漏洞名为“Mutagen Astronomy”，追踪编号 CVE-2018-14634，目前仅影响 CentOS 和 Red Hat Enterprise Linux（RHEL）发行版。‍

【科技头条】

1、Adobe、Microsoft 和 SAP 宣布对彼此开放数据‍

在昨天的 Microsoft  Ignite 开发者大会上，来自 Adobe、Microsoft 和 SAP 的三位 CEO 宣布了一项重磅计划 —— 对彼此开放数据。这三家长期合作的伙伴将共同重塑客户体验管理（CXM），使各自公司能够从数据中获取更多价值，并实时提供世界级的客户体验。‍

2、谷歌、Facebook 等科技公司签署协议：将在欧洲打击假新闻‍

据新浪科技报道，Alphabet旗下谷歌、Facebook、Twitter 及其他科技公司、广告公司承诺，它们会采取新措施，投入资金引进新技术，在欧洲打击网络假新闻。

参与团体是一个临时联盟，包括 Mozilla、广告机构，周三时，它们将向欧盟委员会提交行为准则。4 月份，欧盟要求 Web 平台、社交媒体公司提交一套方案，减少网络错误信息，如果企业拒绝遵守命令，可能会招来监管。

3、最新的 macOS 系统漏洞，可能导致用户数据泄露‍

据 AppleInsider 报道，苹果昨天向全球用户推送了最新的 macOS Mojave 系统。但一名安全研究员 Patrick Wardle 称，新系统有一个明显漏洞，会允许一款无特殊权限的应用绕过内置的系统级权限，获取特定应用的用户信息，可能会导致个人用户数据泄露。‍

4、2018 福布斯中国上市公司最佳女性 CEO 榜单：董明珠居首‍

9 月 25 日，福布斯中国发布了 2018 中国上市公司最佳 CEO 榜单，50 位 CEO 上榜。与此同时，还列出了十位优秀女性企业领导人，她们作为女性中的精英人物，在企业管理中发挥了举足轻重的作用。在榜单中，格力电器的董明珠位居榜首。‍

5、高通指控苹果偷窃芯片机密，帮英特尔提高芯片性能‍

6、福布斯中国上市公司最佳 CEO 榜：马化腾居首张勇第二‍

7、华为与英特尔完成首个符合 SA 标准的数据业务通信‍

8、腾讯获得北京自动驾驶车辆路测牌照‍

9、谷歌下月取消数字加密货币广告禁令，仅实施 4 个多月‍

10、苏宁成立智能终端公司，发布 10 款“苏宁极物”智能生活硬件‍

近期热点回顾：

09.25：

09.24：

09.23：

09.22：

09.21：

09.20：

09.19：

参考：开源中国、solidot、infoq

CnBeta、IT之家等

小贴士

返回上一级搜索“Java 女程序员 大数据 运维 算法 安卓开发 黑客 Python javascript 考研 人工智能 英语 女朋友 MySQL 书籍 等关键词获取相关文章推荐。