"伤得起"的云计算应用——对云端应用之架构的思考
2011年4月21日至22日是值得云计算从业者纪念的日子。Amazon的IaaS服务出现故障,导致许多商业网站的服务中断,影响非常严重。作为云计算用户,我们需要思考的是,如何保证即便在云服务不可用的情况,我们的应用架构仍然能够屹立不倒?本文正是站在云计算用户的角度试图探讨这一问题。
新闻
该内容已经被标记书签!
标记书签错误,请重试!
Quicksort算法标准实现中发现严重安全漏洞
作者 Ryan Slobojan 译者 郭晓刚 发布于 2009年4月1日
L0pht Heavy Industries黑客组织的一位研究者发现了Quicksort算法标准实现中的一处缺陷,论影响之广,这个漏洞肯定会在所有已知安全漏洞中名列前茅。InfoQ向L0pht组织的Dildog询问了漏洞的详情及可能造成的后果。
Dildog解释说这个漏洞属于利用缓冲区溢出的类型。在这类漏洞中,当用户执行带漏洞的程序时,其权限就会被恶意程序利用来执行任意代码。
本次发现的Quicksort安全漏洞代码还没有公开,但已有两家独立的安全分析公司确认Quicksort算法的标准实现中确实存在漏洞。Wikipedia上给出的Quicksort算法伪代码如下:
function quicksort(array)
var list less, greater
if length(array) ≤ 1
return array
select and remove a pivot value pivot from array
for each x in array
if x ≤ pivot then append x to less
else append x to greater
return concatenate(quicksort(less), pivot, quicksort(greater))
目前已确认以下库、运行时、产品受到此漏洞的影响:
- 多个JVM实现(包括来自Sun、IBM、Oracle/BEA和Apache的实现)
- .Net CLR,3.5 SP1及以下版本
- Microsoft Visual C Runtime,9.0及以下版本
- Adobe Flash运行时,10.0及以下版本
- glibc,2.6及以下版本
- Apache HTTPD,2.2.13及以下版本
- 众多集线器、交换机、路由器,包括部分来自Cisco、Juniper、D-Link、Netgear及Linksys的产品
据Dildog所说,该漏洞是在对一台受到未知恶意程序侵害的计算机分析取证时发现的。该恶意程序将受害计算机的所有系统声音都替换成了一曲80年代流行歌的片段(译注:Rick Astley,Never Gonna Give You Up),所有系统图片和图标都替换成了笑猫图(Lolcat)。
尽管目前尚未发现第二例感染报告,但我们建议所有InfoQ读者提高警惕,若您在电脑上发现任何Rick Astley或者Lolcat的踪迹,请立即向有关部门报告。
查看英文原文:Critical Security Vulnerability Found in Quicksort
译者 郭晓刚 是InfoQ中文站架构社区编辑,创建并终结过数家软件小企业,翻译过多本技术书籍。
可怕
发表人
焕新 陈
发表于
Re: 可怕
发表人
Zhao Jeffrey
发表于
应该是假消息
发表人
统贤 唐
发表于
Re: 应该是假消息
发表人
Guo Xiaogang
发表于
去年的时候就搞过类似的事情
发表人
乔 木
发表于
Re: 去年的时候就搞过类似的事情
发表人
霍 泰稳
发表于
Re: 去年的时候就搞过类似的事情
发表人
Zheng Robin
发表于
........
发表人
Wei Fisher
发表于
8 条回复
关注此讨论 回复