mysql、windows安全漏洞预警公告

上周mysql、windows远程连接分别出现了很严重的漏洞,请开发者尽快进行相关修复和升级工作。漏洞详情如下:
安全漏洞一:

【漏洞发布日期】
2012年6月11日
【受影响的软件及系统】
Ø MySQL AB MySQL< 5.6.6
Ø MySQL AB MySQL< 5.5.24
Ø MySQL AB MySQL< 5.1.63
Ø MariaDB MariaDB< 5.5.23
Ø MariaDB MariaDB< 5.3.6
Ø MariaDB MariaDB< 5.2.12
Ø MariaDB MariaDB< 5.1.62
Ø 其他说明:
Mysql官方发布的二进制包不受此问题影响。而在一些开启了glibc sse优化的Linux平台上,gcc编译时选择了-fno-built选项(不使用内置函数)的mysql版本则会受此问题影响。
【未受影响的软件及系统】
受影响的软件及系统除外。
【漏洞描述】
用户验证绕过漏洞,可导致不用密码以管理员身份登录。在存在漏洞的mysql中,用户经过平均256次左右的尝试,使得检测用户登录密码的函数memcmp()返回值为0(当返回值为0时,说明用户输入的密码与存储的秘密一致),可以无需密码成功远程登录数据库。
【漏洞检测方法】
该漏洞可以使用以下其中一种发法检测,如下:
Ø 验证方法1:
$ for i in `seq 1 1000`; do mysql -uroot –password=bad -h 127.0.0.1 2>/dev/null; done
mysql>
Ø 验证方法2:
#!/usr/bin/python
import subprocess
while 1:
subprocess.Popen("mysql -u root mysql –password=blah", shell=True).wait()

relik@stronghold:~# pythonmysql_bypass.py

执行以上方法后,若能够登录MYSQL,表明该系统存在漏洞并能够利用。
【建议修补方案】
升级MYSQL > 5.6.6 版本
【参考链接】
Ø http://www.nsfocus.net/vulndb/19767
Ø http://seclists.org/oss-sec/2012/q2/493

安全漏洞二:
【漏洞发布日期】
2012年6月13日
【受影响的软件及系统】
Ø Microsoft Windows7
Ø MicrosoftWindows Server 2003 Datacenter Edition
Ø MicrosoftWindows Server 2003 Enterprise Edition
Ø MicrosoftWindows Server 2003 Standard Edition
Ø MicrosoftWindows Server 2003 Web Edition
Ø MicrosoftWindows Server 2008
Ø MicrosoftWindows Storage Server 2003
Ø MicrosoftWindows Vista
Ø MicrosoftWindows XP Home Edition
Ø MicrosoftWindows XP Professional
【未受影响的软件及系统】
受影响的软件及系统除外。
【漏洞描述】
Windows系统的远程终端服务存在安全漏洞,攻击者在可以连接远程终端服务端口的情况下,通过特殊构造的数据包可获取系统管理员权限,执行远程代码等非授权操作。
【漏洞检测方法】
可以通过以下方法检测是否受影响:
Ø 是否安装了微软的补丁KB2685939;
Ø 若已安装,则不受该漏洞影响;若未安装该补丁,且开启了远程桌面,则受该漏洞影响。

新网站SEO优化要避开的五个雷区

  利用搜索引擎在互联网上查找信息早已成为人们获取信息的最主要方式,伴随着搜索引擎技术的不断进步,网站要被搜索引擎收录更多和获取更好排名的难度越来越大。作为网站优化人员,必须要熟悉搜索引擎的特点,尽量避免使用对搜索引擎不友好的优化方式,以获得搜索引擎的青睐。

新站优化雷区一:网站标题和版式经常改动

对于新站来说,网站的权重很低甚至还在搜索引擎的考察期。如果这个时间对网站标题和版式频繁改动,会使得搜索引擎认为你的网站还没有完成,那么搜索引擎需要重新认识你的网站,就还需要重新审核和验证,甚至会降权一段时间才会慢慢被认可。一般来说现在百度对新站的考察期大体在2-4个星期,这个时间里尽量不要动标题和版式。

新站优化雷区二:采集转载内容过多

采集和转载内容过多不利于网站权重的提升,说到底搜索引擎其实还是喜欢新鲜事物,也就是我们通常所说的“原创”。现在很多站长利用软件采集更新网站并不是长久之计,这种采集来的文字即使被收录,对增加网站权重也没什么帮助,而且过段时间就会被清除掉。所以,还是那句话,“原创才是王道”。

新站优化雷区三:短时间内外链大量增长

都知道外链的重要性,那是不是外链越多越好呢?不一定。外部链接的建设是需要技巧的,新站和老站在外链建设问题上要区别对待,新站在建设初期因为权重不高,外链也不宜过多,而且要循序渐进。在搜索引擎的眼里,一个新站是不可能在短时间内获得很多的外部链接的,短时间内外链大量增长很可能会被搜索引擎认为是在作弊。等到网站收录稳定以后,外部链接每天增加的数量和频率也尽量要保持一致。

新站优化雷区四:关键词密度过大或存在不相关的关键词

关于关键词的密度,经过众多站长们的研究分析发现网站关键词的密度控制在2%~8%是最合理的,也是搜索引擎最能接受的。关键词的密度并不是越大越好,是自然最好,即恰当地表达,使行文流畅。再者,有些站长为了吸引流量,故意在网页中布置一些社会热门关键词,而这些关键词与网页内容其实是没有关系的,这样的情况也会被搜索引擎认为是在作弊。比如你的网站明明是手机类的网站,却突然出现很多“金正日逝世”的新闻,这明显是不搭调的。所以,在关键词这里要掌握密度不要过大,同时不要大量存在于网站内容不相关的关键词。

新站优化雷区五:网页中有隐藏信息

网页中有用户看不见但搜索引擎能识别的内容,这些内容主要是隐藏的文字或者链接,在SEO中这属于“黑帽”。其实无论你是使用什么样的方法,比如使用和背景色相同的文字、隐藏的文字、超小号的文字还是滥用图片,都会被搜索引擎认为是作弊的行为,一旦认定你的网站在作弊,举例被降权也就不远了。

综上所述,做网站优化还是要踏踏实实的,不要急功近利,多考虑些用户体验,多做对用户有实际价值的内容,这样的网站才能有持久的生命力。