根据最新消息,Nagios软件中包含13个漏洞,极有可能被恶意利用,使得攻击者可以劫持基础设施。漏洞涵盖了远程代码执行和特权升级。
完整的漏洞列表
CVE-2020-28903 – Nagios XI中的XSS漏洞,攻击者可以控制融合 服务器 。
CVE-2020-28905 – Nagios Fusion可实现远程代码执行进行身份验证
CVE-2020-28902 –通过对cmd_subsys.php中的时区参数进行命令注入,将Nagios Fusion特权从apache升级到nagios
CVE-2020-28901 –通过对cmd_subsys.php中component_dir参数的命令注入,将Nagios Fusion特权从apache升级到nagios
CVE-2020-28904 –通过安装恶意组件将Nagios Fusion特权从apache升级到nagios
CVE-2020-28900 – 通过upgrade_to_latest.sh将Nagios Fusion和XI特权从Nagios升级到root
CVE-2020-28907 – 通过upgrade_to_latest.sh将Nagios Fusion特权从apache升级到root并修改了代理配置。
CVE-2020-28906 –通过修改fusion-sys.cfg / xi-sys.cfg,将Nagios Fusion和XI特权从nagios升级到root
CVE-2020-28909 –通过修改可以作为sudo执行的脚本,将Nagios Fusion特权从nagios升级到root
CVE-2020-28908 –通过cmd_subsys.php中的命令注入,将Nagios Fusion特权从apache升级到nagios
CVE-2020-28911 – Nagios Fusion信息泄露:低权限用户可以发现用于对融合服务器进行身份验证的密码
CVE-2020-28648 – Nagios XI认证远程代码执行
CVE-2020-28910 – Nagios XI getprofile.sh特权升级
其中,最严重的漏洞(CVE-2020-28648)作为一个不正确的输入验证漏洞,主要存在于Nagios XI的自动发现组件中,可以被经过身份验证的攻击者用来执行远程代码,该漏洞CVSS评分为8.8,影响到5.7.5之前的版本。一旦攻击者损害了在一个客户站点上的Nagios软件安装,就可以将受污染的数据发送到上游Nagios Fusion服务器,攻击所有其他客户。
攻击链
为了更好地理解危害性,研究人员设计了一个包含漏洞利用的攻击链:
综上所述,Nagios中发现的漏洞具备利用可能及危害性,此类针对开源软件的攻击将对目标组织产生巨大影响。
注:研究人员在2020年10月向Nagios报告了这些漏洞,且该公司在11月对这些漏洞进行了处理。
参考来源:securityaffairs
【责任编辑:赵宁宁TEL:(010)68476606】
本人急需房地产开发公司总经理职责、副总经理职责、总工程师职责。
一、总经理工作职责 (一)根据集团总体发展规划,制定公司中长期发展规划和年度、季度及月度工作计划并组织实施保证经营目标的实现; (二)建立健全公司组织架构、岗位职责、工作流程、规章制度及基础管理工作,指导协调公司各职能部门工作,考核教练各职能部门负责人,保证公司管理科学、快速、高效运行; (三)提议任免公司中层干部,调配主要管理人员、财务人员、其他人员等,创建团结、协作、高效的公司团队; (四)严格按照程序审核公司各项财务收支,全面掌握、控制公司财务状况,统筹安排,开源节流,控制计划开支,降低公司运营成本; (五)全面负责房地产项目可行性分析论证、报批、招投标管理、施工管理、预算控制、竣工验收及营销等工作; (六)组织安排公司与政府部门、合作单位及客户等各方面关系的公关工作,维护与提升公司形象和声誉; (七)致力于培育公司核心竞争力,建设保证公司永续经营的企业文化; (八)负责分管办公室、财务部、物业部工作,对办公室、财务部、物业部工作负领导责任; (九)公司章程或董事会授予的其他职权。 二、副总经理岗位职责 直接对公司总经理负责; 对开发项目的设计、工程、预算、营销负直接领导责任,管理各部门的日常工作; 全面参与项目的可行性研究及立项工作; 负责项目规划、设计工作,及组织有关部门、专家审核规划设计等方案; 负责项目勘察、设计委托及管理工作。 审批图纸会审记录、施工组织设计,签证等关键性工作把关; 负责监督设计、监理、工程发包、材料设备采购等招投标工作; 组织相关部门进行合同审核、会签及归档管理工作; 各参建单位工作任务、计划审定,审批工程款、材料款; 工程项目成本、质量、进度工作的全面管理、监督、监控; 负责项目各参建单位的组织和工程施工总协调; 全面把握工程验收并组织与物业交接工作; 公司工程管理规范化工作、工程管理得失的总结及经验推广; 负责组织编制、完善各项管理制度,加强公司员工队伍建设工作; 参与选聘、任用主管部门各岗位人选;负责考核下属各部门及岗位的工作绩效;审核员工的奖、惩标准及方案:对内负责处理下属部门与公司其他部门之间的协作关系,对外做好相关外联工作; 负责楼盘全程的整体营销推广策略,从市调、企划、销售、招商等全部过程的管理、督导、推动等项工作。 一、工程部的工作内容 (一)配合开发部做好开发项目的立项、规划与报建,负责规划、设计前的资料准备及技术论证工作; (二)参与工程的规划设计、报建,负责工程招投标工作,编制和审核标底,审查监理单位和施工单位的资质、业绩和实力,组织招、投标会议,签订监理、施工承包合同,领办施工许可证;参与相关材料、设备、配套设施的招标工作。 (三)负责施工图纸的审查,先进行内部审查,在征得公司领导的同意后,再组织设计、施工、监理单位和分管副总及有关部门共同进行会审,做好会审纪要和技术鉴证等工作。 (四)组织和参与工程定位和放线工作,确保水准坐标点、标高的准确无误; (五)负责审查和批准工程的施工组织设计,并督促其实施; (六)负责工程项目的概算、预算的编制与审核,在保证质量的前提下,严格控制工程造价,坚决剔除不合理因素,努力降低开发成本; (七)负责工程项目的现场管理,认真开展施工质量、进度的检查,促进施工单位自我检查和监理单位的抽查与复查; (八)负责抓好工程的地桩、基础、一层结构、主体结构、隐蔽工程以及工程竣工的验收和质量等级评定工作; 责抓好项目安全生产、文明施工的管理工作; (十)责建筑工程技术文件、资料的收集、审核、整理、归档工作。 组织绘制竣工图,做到竣工工程的资料真实、齐全、完整、规范。 二、工程部经理岗位职责 (一)负责贯彻执行公司制定的各项规章制度以及公司领导做出的安排和决定,明确本部门的工作目标和岗位职责,抓好本部门的各项具体工作; (二)熟悉本部门各岗位的业务,制定本部门工作计划,安排、检查、督促本部门员工所承担的任务,帮助解决存在的问题; (三)参与工程规划设计、报建,负责工程招投标前期工作,受权签订配套设施、监理、施工承包合同,组织工程技术人员熟悉图纸和施工图纸会审;参与相关材料、设备的招标工作。 (四)抓好施工前的准备工作,检查督促施工单位做好施工组织设计和工程进度安排,掌握和控制各项目的施工进度,检查监督工程质量和安全生产及文明施工,定期组织召开工程例会,解决现场矛盾,做好各协作单位的协调配合; (五)处理施工中出现的技术问题,及时办理设计及施工变更通知,对变更项目增减的签证,协调好监理、施工单位的关系; (六)抓好工程的基础、主体结构、隐蔽工程及竣工验收,负责质量等级评定及质量问题的处理; (七)负责本部门内部管理工作,主持召开部门会议、碰头会,及时解决协调工作中存在的问题; (八)参加公司相关会议,及时汇报工作情况及存在的问题,加强协作,搞好与其它部门之间的配合; (九)负责本部门各项规章制度的建立及对本部门员工进行评价和考核,实行优胜劣汰的人才竞争上岗机制,不断提高部门员工的政治思想素质和业务技能; (十)完成领导临时交办的其它工作。 三、土建工程师岗位职责 (一)根据部门工作计划,制定本岗位工作计划; (二)认真阅读图纸,做到熟悉每个施工环节,充分了解设计意图,并参与图纸会审; (三)熟悉本专业现行规范、规程和国家相关规定; (四)深入施工现场,控制工程进度和施工质量,及时发现并解决问题,组织并参与解决施工中出现的各类问题; (五)重要事情做到事前请示,事后汇报,必要时整理成文字资料并存档; (六)参与审核施工单位的施工组织设计和专业施工方案; (七)协助预(决)算工程师完成本专业工程量统计和复核及预决算工作; (八)做好施工记录,编写或审核工程报表; (九)参与分项、分部、单位工程验收; (十)做好现场安全管理工作; (十一)督促监理公司监督施工质量、日常巡检、参加现场旁站、隐蔽验收、中间验收和竣工验收,处理质量事故; (十二)监督协调施工单位的安全生产和防火、防盗工作; (十三)监督预埋、预留工作,保证正确无误; (十四)完成领导交办的其他工作。 四、水、电工程师岗位职责 (一)根据部门工作计划,制定本岗位工作计划; (二)认真阅读图纸,熟悉每个施工环节,充分了解设计意图,并参与图纸会审; (三)熟悉本专业现行规范、规程和国家相关规定; (四)深入施工现场,了解工程进度,及时发现问题并及时解决问题,保证现场施工质量。 组织并参与解决施工中出现的各类问题; (五)重要事情做到事前有请示,事后有汇报,必要时整理成文字资料并存档; (六)参与审核施工单位的施工组织设计和专项施工方案; (七)协助预(决)算工程师完成本专业工程量统计和复核; (八)做好施工记录,编写或审核工程报表; (九)参与分项、分部、单位工程验收; (十)现场临时用电管理,确保施工用电安全; (十一)完成领导交办的其它工作。 五、园林工程师岗位职责 (一)根据部门工作计划,制定本岗位工作计划; (二)负责编制景观设计招标文件,参与考察设计单位; (三)负责景观设计方案的确定,并根据实施过程发生的问题进行调整和补充; (四)负责对景观设计方案审查,并提出修改意见,交相关人员讨论、审核,并形成一致意见后交总经理审批; (五)方案和技术交底工作,负责审核、校对景观施工图,审核后签署意见归档; (六)重点把握发苗木的数量与规格,控制工程造价; (七)现场解决施工过程中的技术问题。 六、预决算员岗位职责 (一)负责按公司批准的《项目总进度计划》编制《合同预算工作计划》,并组织按计划完成,负责相关的工程技术文件的收发、管理; (二)负责投资决策阶段的投资估算编制审核工作及整理分发工作; (三)负责组织对设计单位提交的单位工程或单项工程设计概算进行审核,并对原投资估算进行相应调整; (四)负责核实竣工结算资料的合法性、完整性,满足结算相关工作的要求,并负责施工图预算编制审核工作; (五)负责生产预算的编制、实施及管理; (六)负责工程类经济合同的草拟、商洽、会签及监控工作; (七)负责及时组织材料员等相关人员处理工程索赔与反索赔工作; (八)负责对由设计变更引起的费用进行测算; (九)负责招投标工程量清单的提供、标底的编制、合同价格的确定及合同会签; (十)参与讨论《材料、设备选型清单》; (十一)参与对供应商的售后评估。 七、材料员岗位职责(兼职) (一)根据工程实际进度,编制材料(设备)采购计划; (二)根据月计划表协助财务部安排甲供材料的资金计划; (三)对拟采购材料(设备)进行询价、比价等工作,对相关有意向的材料厂商的资质进行审查、认证,参与招标、合同谈判等的具体工作; (四)按材料设备合同负责催货、运输、验收、支付、仓储、保修; (五)做好对甲供材料的管理,建立台帐,控制好材料的入库和出库工作; (六)协助并监督监理做好对材料进场的质量检验工作; (七)监督材料设备采购合同执行情况; (八)参加设备试运行; (九)负责收集、整理、保管好材料设备档案(包括合格证、说明书、随机技术文件、运转记录等); (十)负责加工材料设备的管理; (十一)协调材料厂商和施工单位的纠纷,不影响工程进度。 八、资料员岗位职责(兼职) (一)资料档案员负责收集、整理,管理好施工档案; (二)做好图纸和技术文件的收发工作,办好收发台账记录; (三)按档案管理制度的规定收集、整理、保管好工程档案。
在众包平台上发布H5开发需求,靠谱吗?
这就要看平台的第三方的监控和服务,如果众包服务平台负是负责任的话,选择众包发布H5开发需求确实可以节省很大一部分成本。 推荐你去了解下新工式众包平台,他们是专门针对H5,网页开发的众包平台,平台第三方监和管理控做的很好。
雷网主机服务器虚拟化技术的优缺点有哪些?请详解
朋友:你问题中的雷网主机是一家空间提供商。 服务器虚拟化技术最显著的功能之一就是可以在主机集群内瞬间迁移虚拟机(VM)、减少服务器或应用系统的停机时间。 在使用微软Hyper-V搭建的测试环境中,通过构建主机集群环境,我节省了无数的服务器停机时间。 但是,这个技术也引起了一些问题。 这里,TechTarget中国的特约专家RobMcShinsky将阐述虚拟主机集群环境最重要的三个优缺点。 服务器虚拟化技术优点一:主动的风险回避我相信,服务器集群的最大优点是它可以主将VM从一个主机迁移到另外一个主机。 这样的话,就可以提高服务器和应用系统的运行时间。 在我的环境中,当内存不足、CPU负载偏高或者虚拟主机遇到较高的I/O压力时,我会收到警报。 如果我不能确定真正的原因或者系统需要重启,我就可以主动将VM迁移到集群内的其他主机。 如果这是一个单机,或者说,在主机重启期间,VM不可以关闭;如果重启之后,问题依然存在,我就不得不延长VM的停机时间直到我找到了问题的起因。 但是,在虚拟主机集群中,VM就可以被迁移到其他的主机直到问题解决。 服务器虚拟化技术优点二:反应性容错因为集群中的主机监控着所有VM的活动,因此,当一个节点失效时,失效节点的负载就会被指派到另外一个替代的主机。 如果需要较长时间解决失效主机的故障,只要替代它的健康主机有足够的资源,VM就会正常工作。 在我的环境中,如果一个主机失效,VM会自动迁移到另外一个节点。 虽然迁移的过程并不平滑,但工作负载自动变化几乎没有停顿。 服务器虚拟化技术优点三:主动的管理我在一个7*24的组织中工作,因此,打补丁和升级工作就必须采取非常严格的管理。 正常情况下,协调1—2台物理主机的停机时间已经比较困难,而要关闭位于同一个物理主机的30多个VM的复杂性就会呈指数增长。 自从切换到单机之后,我妻子就不用担心我要在周日早上1:00-6:00去升级虚拟主机,那个时候,我可以呆在家里休息。 利用虚拟主机集群,当某个主机打补丁和重启的时候,其上的VM迁移到替代的主机。 打完补丁,VM再迁移到原来的主机。 这样,就允许我们在早上极短的时间内,不用停掉整个系统,完成集群的升级。 服务器虚拟化技术的缺点虽然主机集群环境有令人瞩目的优点,但它同样存在一些实施和管理上的缺点。 服务器虚拟化技术缺点一:实施和配置的复杂性配置复杂可能是集群的最大缺点。 建立集群框架、管理主机间的连通性、配置共享存储都不是简单的任务,可能涉及到组织内部多个团队。 你可能不害怕增加的复杂度,然而,很大程度上,都是技术性的工作;但是,随着复杂度的增加,你可能会遗漏某些东西从而影响系统的稳定性。 服务器虚拟化技术缺点二:更新和升级的不利因素升级到更新版本的产品和硬件组件也可能引起困难。 因为,虚拟主机集群连接多个系统,各组件间发生着大量的、复杂的交互。 以更新主机上的多路径I/O(MPIO)驱动为例,该操作会影响整个集群。 首先,它影响节点转移逻辑单元号(LUN)到其他节点的效率。 同时,在更新MPIO驱动之前,集群中所有主机的HBA卡的Firmware都需要升级。 如果FW不用升级,那也必须首先安装HBA卡的驱动。 如果是单机,这可以通过1-2次重启解决。 在集群环境中,协调多个虚拟主机服务器则较为困难。 升级实际的虚拟主机软件一定是一个具有挑战性的任务,因为集群节点的交互以及不同软件版本支持(比如,SCVMM、ProtectionManager等)。 一般情况下,厂商会为这些复杂升级提供详细的、一步一步的操作操作指南;同时,大多数情况下,都会比较顺利。 服务器虚拟化技术缺点三:集群成本因素成本是另外一个主要的考虑因素。 要实现一个虚拟主机集群环境,你需要复制部分基础架构并同时保持虚拟机与主机的比例。 此外,大部分厂商的实现需要一个SAN或者独立的磁盘子系统。 开源iSCSI或者廉价的磁盘阵列可能是个精明的选择,但这些选项可能存在性能和稳定性的问题。 以我的经验,在重要的基础架构组件上选择廉价的路线会产生问题,造成绊脚石。 就因为选择了一个特殊的配置能够工作并不意味着就满足了项目目标。 如果管理部门对成本感到担忧,你可以解释给他们虚拟主机集群环境可以提高正常运行时间、提供更好的服务。 依我看,如果正确实施,这种配置就完全对得起付出的成本。 最后,每个组织不得不判断虚拟主机集群环境是否适合自己业务系统模式。 虽然虚拟主机集群环境引入配置的复杂度、升级问题和潜在的额外成本,但是,你的环境可以从加强的服务器或者应用系统可用性和更好的管理上获益。 尽管有潜在的困难或不利因素,但是,我相信实施虚拟主机集群所付出的努力和成本是值得的。 以上就是本人对服务器虚拟化技术的优缺点的分析,希望对你会有些帮助。
发表评论