本周,我们将回顾 Unicode 漏洞,它允许对代码进行恶意编码,使其在编译器和人眼看来有所不同。我们还将讨论容器安全和一个我们认为需要关注的 WordPress 插件漏洞。
木马源 (CVE-2021-42574)
剑桥大学的两位研究人员最近发表的一篇论文表明,在代码中使用独特的 Unicode 方向性覆盖字符可能会导致人类读者误认为代码是安全的,同时允许恶意行为者在代码库中引入逻辑更改。研究人员创建了一个GitHub 存储库,演示如何在不同的编程语言中使用这些字符。
#!/usr/bin/env python3
def sayHello():
print("Hello, World!")
def sayHello():
print("Goodbye, World!")
sayHello()你能知道哪个函数会运行吗?编译器可以!
这个问题可能会产生多种安全影响。恶意代码可能会被引入原本看起来安全的公共存储库,用于供应链攻击。从公共论坛复制的代码也可能包含这些恶意逻辑修改。论文中提到,大多数编译器都容易受到这些问题的影响,尽管一些社区已经承认了这一问题(参见Rust和GitHub),但众所周知,大多数编译器仍然容易受到影响。
容器安全的最佳实践
根据Docker 的说法,容器是一个标准的软件单元,将代码及其所有依赖项打包。应用程序可以从一个计算环境快速、可靠地运行到另一个计算环境。这样就可以在不同的主机操作系统上部署应用映像,而无需进行更改。虽然这些容器映像与底层操作系统是隔离的,但根据sysdig 的《容器安全综合指南》,容器内部可利用的漏洞可能会危及整个云基础设施。根据2020 年云原生计算基金会(CNCF)的调查,生产中使用容器的比例已增至 92%,这意味着确保这些实例的安全比以往任何时候都更加重要。
我们提供了自己的容器安全指南,其中进一步详细介绍了如何使用推荐的工具和程序来构建安全的 Docker 映像。我们建议您遵循这些最佳实践,以更好地保护您的容器:
- 定期更新镜像,减少容器中的漏洞数量。
- 经常使用Trivy 等漏洞扫描工具扫描漏洞,Trivy 是一款免费的开源工具。
- 为运行容器创建有限用户,尽可能避免以根用户身份运行容器。在使用容器时,必须遵循最小权限原则。
- 限制容器使用的 CPU 和 RAM。硬件使用限制可大大降低攻击者在特定容器上进行加密挖矿的能力。这也有利于通过减少为容器分配的不必要资源来提高性能。
最后,您可以查看开放式网络应用程序安全项目(OWASP)提供的Docker 安全手册,快速了解这一主题。
OptinMonster WordPress 插件 (CVE-2021-39341)
根据该插件的 WordPress 页面介绍,OptinMonster 是一款帮助用户创建弹出式窗口以实现读者订阅的插件。截至本文撰写之时,它的活跃安装量已超过一百万。
该插件使用 API 端点运行。根据WordFence 的文章,这些 API 端点大多存在漏洞,未经身份验证的攻击者可以导出敏感信息,并向使用该插件的 WordPress 网站注入恶意 JavaScript 代码。该插件 2.6.4 之前的版本会受到这些攻击,因此强烈建议将该插件更新到最新版本。OptinMonster 团队已经重置了被攻击的 API 密钥,用户可能需要重新生成自己的 API 密钥才能继续使用该插件。
通过编写这些摘要,我们希望与读者分享有用的信息。如果您学到了新知识,欢迎在下方留言,并随时关注有关安全的最新消息。
注释