游戏安全资讯精选 2018年第五期:一年收购金额超100亿,都有哪些棋牌游戏公司上了岸?PHP GD库拒绝服务漏洞安全建议,软件集成平台Jenkins证书及日志泄露-阿里云开发者社区

开发者社区> 开发与运维> 正文

游戏安全资讯精选 2018年第五期:一年收购金额超100亿,都有哪些棋牌游戏公司上了岸?PHP GD库拒绝服务漏洞安全建议,软件集成平台Jenkins证书及日志泄露

简介: 一年收购金额超100亿,都有哪些棋牌游戏公司上了岸?PHP GD库拒绝服务漏洞安全建议,软件集成平台Jenkins证书及日志泄露

0e2605beda5386c9bd151bbc132da6d1279b929d



概要:从早期以金币模式为核心到如今房卡模式逐渐崛起,棋牌游戏在自我变革的过程中,走入了越来越多玩家、开发者和资本的视野。而在2016年下半年爆发的一系列资本收购事件,预示着棋牌游戏走向了新的发展节点。

在相关政策不断收紧的背景下,过去一年一些棋牌团队的生存状况遇到了极大的挑战。但即便如此,也有不少从业者表示赚到了钱,借助这波势头上了岸。从前文汇总的资本事件看,地方棋牌的受关注程度依旧在持续提升,资本还是持一个更为乐观开放的态度来看待这个市场。


在相关政策不断收紧的背景下,过去一年一些棋牌团队的生存状况遇到了极大的挑战,但即便如此,也有不少从业者表示赚到了钱,借助这波势头上了岸。随着入局者的增多,现有的棋牌游戏公司凭一己之力突围的难度也会越来越大,未来资本与棋牌联姻的现象或许还会增多。(来源:游戏葡萄)


【相关安全事件】PHP GD库拒绝服务漏洞安全建议


概要:2018年01月22日,外国安全研究人员发现PHP环境存在拒绝服务漏洞,通过该漏洞,利用精心构造的GIF图片PoC触发PHP进程挂起崩溃,导致网站功能受到影响,从而影响服务,目前PoC已公开,由于使用PHP语言开发的网站使用GD库实现上传图片功能,建议用户关注。 利用精心构造的GIF图片PoC上传并耗尽服务器资源,从而导致PHP进程挂起崩溃,导致服务中断,对业务存在一定的安全风险。 漏洞利用条件和方式为,通过PoC直接远程利用。 目前PoC已经公开。

漏洞影响范围: 

  • PHP 5     < 5.6.33版本
  • PHP 7.0  < 7.0.27版本
  • PHP 7.1  < 7.1.13版本
  • PHP 7.2  < 7.2.1版本

点评:开发人员可以检查是否使用了受影响版本范围内的PHP版本。目前,PHP官方已经发布新版修复该漏洞,开发或运维人员可以下载手工更新。 建议在版本升级前做好测试工作,同时使用ECS快照功能做好数据备份工作。 

【相关安全事件】软件集成平台Jenkins大量敏感证书及日志泄露


概要:研究人员表示,没有利用任何 软件集成平台Jenkins漏洞,就在互联网上发现了暴露 2万5千个Jenkins实例 ,从这些实例中发现了不少大型公司 泄露了敏感证书和日志文件,这都可能会引发 数据泄露事件。 Jenkins是最受欢迎的开源动化服务,由CloudBees和Jenkins社区维护。 自动化服务器支持开发人员构建,测试和部署其应用程序,在全球拥有超过133,000个活跃安装实例,用户超过100万。 研究人员使用Shodan搜索引擎来查找可在线访问的Jenkins服务器,他发现了约25,000个实例。其中大约一半的分析显示,10-20%的实例存在配置错误,然后研究人员手动分析每个实例,并通知受影响的供应商。 

Tunç强调,Jenkins通常需要代码存储库的凭据,并访问部署代码的环境,通常是GitHub、AWS和Azure。未能正确配置应用程序可能会使数据面临严重风险。 研究人员发现,许多配置错误的系统默认提供访客或管理员权限,而其他的一些则允许访客或管理员访问任何注册账户。 

点评:Tunç还发现一些Jenkins服务器使用了Github或Bitbucket的SAML / OAuth身份验证系统,但不幸的是,任何GitHub或Bitbucket帐户都可以登录,而不是合法的所有者。 “专家在一篇博客文章中写道。 

 
这些配置错误通常有: 

任何人都可以使用访客或管理权限在互联网上公开访问 - 访客可以拥有管理权限,这简直就是灾难 
某些Web应用程序确实是在登录提示之后,但却允许“自助注册”,进而被授予访客或管理员权限 
某些Web应用程序确实是使用Github或Bitbucket的SAML / OAuth登录验证,但被错误配置为允许 任何 Github / Bitbucket帐户登录到Jenkins,而不是锁定到 组织的用户池。Tunç报告说,他分析的这些错误配置的实例,大多也都泄露了敏感信息,包括专用源代码库的证书,部署环境的证书(例如用户名、密码、私钥和AWS令牌)以及包括凭证和其他信息的作业日志文件敏感数据。 
 
研究人员还发现,Google在 jenkins 上暴露了敏感的代币,该公司在通过Google 漏洞奖励计划得到通知后,迅速解决了这个问题。 专家发现的其他情况是: 
  • 伦敦政府资助的运输, 伦敦交通运输机构 ; 
  • 超市Sainsbury's和Tesco;
  • 为儿童制造玩具的公司;
  • 信用审查公司ClearScore;
  • 报纸出版社 News UK ;
  • 教育出版商 Pearson 和报纸出版商 News UK 。


【云上视角】汇通天下:如何处理年久失修的服务器,让安全可见度提升


概要:汇通天下(G7)是一家大规模的智慧物联网公司,客户数量超过4万家,连接车辆总数超过60万辆,客户类型覆盖快递、快运、城市配送、专业运输、合同物流等物流全领域。G7车队管理服务已成为中国物流运输领域上下游协作的重要工具和基础数据协议。但G7也有自己的苦恼:云端环境的安全隔离,并不像企业内网的安全隔离,那么容易落地。


G7在阿里云具有上千台云服务器,遍布在多个区域的多个VPC下,其中一个VPC的服务器数量超过600台。这600台服务器是G7的核心业务,承载的多个生产系统的运行,同时,也承载了多个子业务的数据交互。那么,业务分区分组的安全隔离,自然就无法或缺。可是,G7在部署业务分区的时候,却遇到了很多障碍,让其无法推进,甚至放弃。


由于资产运维没有跟上,很多服务器已经被改变了用途但不得而知,这就是服务器的“年久失修”,而且从“实例ID/名称”已经无法了解服务器的真实用途了。同时,服务器之间的访问关系也会因为“年久失修”,变得更加错综复杂......


基于这样的前提下,“东西向隔离”将变成了一件很危险的工作,稍有错误的策略,将造成业务的中断。所以,通常被迫的做法就是,将东西向(横向)的策略口子放得很大,以确保业务的稳定。


但是,这无形增大了整个网络的攻击面,黑客的恶意流量将更加容易触达核心资产,这样的风险同样也是难以接受的。


另外,G7的大数据业务、中间件业务,支撑着几乎所有的生产环境。大量的调用关系使得业务关系越发复杂,这造成了每当弹性迁移或业务变更的时候,尽管运维管理员一再的谨小慎微,但总是会出错。


如果所有的服务器用途、访问关系、业务流量都能在眼前实时的呈现,那梳理出有序的业务环境,就变得完全可以落地,并将成为东西向隔离的基础。这就是阿里云云盾 · 云防火墙给G7带来的最大改变。



订阅 NEWS FROM THE LAB


一键订阅刊物

云栖社区专栏获取最新资讯

微博专栏获取最新资讯

一点号获取最新资讯


029307c2bf99a126e3c7d4b050286cfed9f71a06


扫码参与全球安全资讯精选

读者调研反馈 

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
开发与运维
使用钉钉扫一扫加入圈子
+ 订阅

集结各类场景实战经验,助你开发运维畅行无忧

其他文章