今天的開源報報( 每週一到週五早上7:00準時發刊)

今日內容摘要

✅ 用於打包、傳送、儲存和交付內容的Docker 工具箱
✅ 用於.NET Core 和.NET Core工具的 Docker 映像檔
✅ PHP 靜態分析工具——發現程式碼中的錯誤而不執行它
✅ 一個避免讓你的電腦進入睡眠模式的簡單應用程式
✅ 紀錄被任何 Linux 行程所訪問的檔案
✅ 一個加密的儲存系統，它提供了一個由雲端儲存支援的使用者友好的 FUSE 磁碟
✅ 針對開發人員所開發的高度可客製化終端儀表板
✅ 以 React 和 Prosemiror 為基礎的 Markdown 編輯器
✅ 具有原生介面感覺的 HTML 觸控滑動旋轉器
✅ 開源的自我託管電子郵件行銷。以很小的成本管理你自己的時事通訊
✅ 一個時間變化圖形資料的版本化資料儲存
✅ 針對電腦視覺的資料集、轉換和模型
✅ 一個滲透測試框架/駭客工具套件
✅ 自動化可擴充的 PaaS 套件(自動化 Docker + nginx)
✅ 重寫 ngxtop 工具
✅ 一個使用 Swift 實現的標準和安全的密碼演算法集合
✅ 一個最小化和記憶體高效的 Python 實現 – 適用於桌面、雲端、受限制的系統、微控制器以及所有的東西
✅ 為程式新增一個命令提示符，以及 telnet 訪問
✅ 針對滑雪/登山/滑翔者可客製化的開放 GPS 無線電網格裝置程式碼

https://softnshare.com/opensource-news-144/

#這後門端口只向本地網路開放
#華為海思的hi3518量可不算小，#在台灣公部門多嗎？

一名俄羅斯安全研究人員Vladislav Yarmak發現，海思SoC晶片系統韌體有個遠距除錯和管理工具，可存取同個網路的攝影機和閉路電視等產品的內容。只要有人連接特定端口TCP 9530，並開啟Telnet守護程序，就可以憑簡單的root帳號和固定密碼登入（而且所有裝置上的密碼都一樣），進而擁有最高權限，可隨意存取內容或控制該裝置。

這端口只向本地網路開放，而不是向外網開放，是方便還是潛在危險，大家怎麼看？

---
www.smarthomelab.tw 智慧家庭實驗室

根據NSFocus 對Mirai 的source code 分析:

其攻擊針對的對象主要是安裝了busybox工具的linux操作系統的設備，結合分析，其防護方法包括以下幾個方面：

- 修改default password 或 weak password，加固用戶名和密碼的安全性
- 禁用48101端口
- 關閉telnet連接（使用了23端口）
- busybox工具只允許特定用戶進行使用

如果有其他分析報告，歡迎分享..

#Mirai