安全日报（2023.05.18）

安全日报（2023.05.18）

原创

360CERT

三六零CERT

05/18 17:10

阅读数 43

赶紧点击上方话题进行订阅吧！

报告编号：B6-2023-051899

报告来源：360CERT

报告作者：360CERT

更新日期：2023-05-18

Security Incident|安全事件

582万PharMerica患者数据被盗

http://urlqh.cn/n1Vj1

RA勒索组织利用泄露的Babuk代码攻击美国和韩国的公司

http://urlqh.cn/n2Yhp

Cisco警告使用公共漏洞代码的关键交换机漏洞

http://urlqh.cn/n3PUZ

严重的RCE漏洞使数千台工业物联网设备面临网络攻击

http://urlqh.cn/n3ynm

恶意的Microsoft VSCode扩展窃取密码并打开远程shell

http://urlqh.cn/n32SD

BatLoader在网络攻击中模拟ChatGPT和Midtravel

http://urlqh.cn/n1bzc

能源行业面临日益严重的暗网网络威胁

http://urlqh.cn/n4DeY

攻击者使用Cobalt Strike瞄准macOS

http://urlqh.cn/n5VXI

WordPress插件用于1M多个网站修补关键错误

http://urlqh.cn/n434n

CISA发布BianLian勒索软件分析报告

http://urlqh.cn/n3KJD

与胡塞运动有关的APT组织OilAlpha

http://urlqh.cn/n4fId

分析Andariel组织的Jupiter恶意软件

http://urlqh.cn/n43t9

特制报告相关说明

一直以来，360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务，现360CERT推出了安全通告特制版报告订阅服务，以便用户做资料留存、传阅研究与查询验证。

今后特制报告将不再提供公开下载，用户可扫描下方二维码进行服务订阅。

360CERT

https://cert.360.cn/

进入官网查看更多资讯

长按扫码关注我们

点击在看，进行分享

本文分享自微信公众号 - 三六零CERT（CERT-360）。
如有侵权，请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”，欢迎正在阅读的你也加入，一起分享。

魔力猫 2023-12-01 09:50

作者表示想不通？绑匪觉得绑票拿钱，天经地义，我们更想不通。如果不把你骂死，始作俑者，其无后呼？大家都这么玩，谁还敢用开源？特别是国内开源！你不就是仗着国内绝大多数用户，不愿意花钱跟你打官司么。我要正好是项目技术负责人，脑子昏聩，把你的框架引入了项目，结果现在被绑了，咋办？和老板说，咱们被勒索了？苛刻点的老板，我怕不是马上卷铺盖滚蛋！还不是只能含泪自掏腰包，找你买文档，赎肉票？！作者洋洋得意的三千多文档用户，有多少不是这么来的？！

zhuzhua 2023-12-04 14:46

前一阵闹的沸沸扬扬的红帽闭源rhel代码的事情，外国不就是骂声一片？

桐乡张学友 2023-12-02 10:06

自己翻评论，六月份的，承诺源码和文档永久开源，自己打自己脸

溪涧顽石 2023-12-01 13:27

你出尔反尔, 违反了mit开源协议. 一条足以

zhuzhua 2023-12-04 14:42

linus也哭了，什么微软，aws都白嫖我的linux，还特么卖钱呢。。。。。。我不活了

osc_77539574 2023-12-01 15:19

主要是前面听到这个作者人品差，就没用这个，幸好没用

zhuzhua 2023-12-04 14:25

不会vue的纯后台开发人员，用这个layui还是蛮好的，上一家公司，就是在用。可惜现在流行前后端分离了。。。。。的确是小众化了

292015 2023-12-01 12:50

第一次看到furion这个词，很震惊。原因很简单，一个库取这个名字，怎么担得起。都不说一开始这个库就有对标spring的意思。然后我就说了一句这个名字的问题，结果你应该知道的。我没再说什么，毕竟各人有各人的看法。再然后，看到某些对这人的评论，说他造假微软mvp。这么石锤的评论，显然是真的。我当时就觉得，这得多黑的脸才能干这种事。现在嘛，呵呵，一贯如此，飞逝都不要了。再说一句实话，很多软件加入神话、哲学相关的事情，也就用了一个名字而已。这确实可能多一点文化认同感。但是没人大段大段的说一堆废话。这种属于土鳖行为了，而且非常恶心。

zhuzhua 2023-12-04 14:23

还有人在用netbean吗？太少见了

技术粉 2023-12-01 14:55

别人说心里话叫宣泄，你这叫什么？报复社会？

技术粉 2023-12-01 09:41

什么叫“对错先不谈”，活什么稀泥呢？不论对错，凭什么他先给别人分对错！

木有龙井茶 2023-12-01 09:59

对错都不谈了，还说个毛线啊。首先，文档以前包含在源码里，也是开源的，现在删了。用户有权部署之前开源版文档，现在他说不允许你部署，这是违反开源协议的。兴趣是不能成为饿肚子的理由，但也不是把以前承诺当屁放了的理由

zhuzhua 2023-12-04 14:49

你的windows系统缴费了吗？你的linux服务器给过linus同学一分钱了吗

monkey_cici 2023-12-04 10:01

各大厂，干活的老程序员都被炒鱿鱼了，新人便宜又勤奋，但是上来接手就懵逼，到处都是坑，维护起来处处是坑.....这些就是开猿节流,降本增笑的影响了....

zhuzhua 2023-12-04 14:33

作者他是有权利去转变为收费的，这个没有任何问题的，只是这种收割方式挺恶心人的。大家吐槽的也是这个

飞酒 2023-12-04 14:10

为啥以前升级不出这么大故障哩

zhuzhua 2023-12-04 14:31

你有权收费，这个大家都没有疑问。恶心人的是，靠开源来吸引人，然后收割。这种行为让人不齿

姜

姜饼人的拐杖 2023-12-04 14:19

留个名

dickhahn 2023-12-01 16:59

代码是符号、逻辑、算法、数据结构的综合艺术。至于是用西文还是中文，最多也就是在符号上使劲，感觉走偏了。

osc_73355549 2023-12-01 09:29

之前是声明免费，现在是99，后面++++，谁用谁+++++..是诚信问题，不是收费问题。

渔民小镇 2023-12-01 11:31

说句公道话，软件作者是有权修改的；如果之前的文档也在库里，并且是 MIT 协议的；大家可以放心使用，并且有权公开到互联网中供大家使用，因为这符合 MIT 协议；如果作者明确说明了文档收费并且不使用 MIT 协议了，那么在这之后的文档就不能再以 MIT 协议使用，但在这之前的依旧是 MIT；说白话一点就是，假设之前的文档有 11 篇，那么这 11 篇遵循的是 MIT 协议；如果作者宣布文档不再使用 MIT 协议后，又多加了几个新的文档，或者修改了之前的文档，那么这些新文档将不能随意传播；注意，之前以 MIT 发布的那些文档大家有权使用，并且有权公开，因为这符合 MIT 协议。除了使用外，还能将其商业化，因为这也符合 MIT 协议；也就是说，如果大家有兴趣可以在 MIT 协议的文档上自己维护一份，实时地跟进框架源码来写一份属于自己的文档；在这之上新增、修改的文档版权属于维护者，因为这并没有破坏之前的 MIT 协议。对于收费，如果还有其他做开源的作者，请提前规划好开源协议和发展路线；建议使用 GPL、AGPL 类似的开源协议，这种协议更符合开源精神和GCZY精神；对于想私有化项目的人，可以选择私有化授权。通常来说，一些开源项目如果声称完全免费的，我都不会去关注，除非该项目得到了其他资金的支持；但如果有两个大致相同的开源项目，一个有商业性质，一个完全免费，我会更关注具备商业性质的开源项目。在 git 上有很多长年不更新的开源项目，通常是刚开始有激情，没多久就不再维护了。收费并不一定是坏事，通常免费的才是最贵的。但大多数使用者没有计算时间成本，所以只关心是否免费。大多数白嫖的想法是：你这产品不错、你这框架不错、你这项目不错，应该免费。还有一些江湖侠客给你说各种大道理，让你免费提供劳动力；这些不过是慷他人之慨的白嫖的人，真让他们付出时，结局是真有一头牛。

cczywyc 2023-12-04 11:12

不要混淆概念，大家从来都不是反对收费，所以别在这扯什么人生价值、情商智商乱七八糟的。本质上这是违反 MIT 协议的问题，别在这又当又立的。

linus:对不起我没有好好努力，现在都没能让linux变成付费文档，我错了

光明丶 2023-12-04 14:26

收费嘛没毛病，毕竟也要活下去，但是先拉人下水，再套，你让别人怎么办？进退不得，伤筋动骨剥皮。

angelshaka 2023-12-04 14:42

现在java太卷，不想掉头发😉

买房也用券 2023-12-01 09:48

如果一开始就收费,别说499,就算49999也没人会说什么;499这个价钱也不是很贵,但是大家反感的是这种"先免费,等用户量起来了,再收割"的这种套路

zhuzhua 2023-12-04 14:50

学啥.net?java从来没有过收费的spring，它不香吗？

顾真牛 2023-12-03 14:00

之前在知乎，因为有个人发表了一点自己对框架的看法，就跑去人家github下面威胁人家的好像就是这位吧？所以，这有啥好奇怪的？？

iman123 2023-12-01 11:03

我可能一生也写不了这么多“实打实”的代码，有些新建项目使用的 boilerplate/template 代码还没开始写就已经成千上万行了，这些其实不应该计算在内的

红薯条 2023-12-01 09:32

行了别跳了还 .NET中国。。。你是有点实力但是你配不上.NET中国。。。

我

我是MN 2023-12-01 11:15

要收费早说啊，现在人家都用上了，然后收费，说实话就跟勒索差不多

魔力猫 2023-12-01 09:59

软件系统是有沉没成本的。哪有什么喜欢用不喜欢不用的。你一句话就能去IOE？为什么这个难？因为之前的投入直接归零，之后还要再投入几个亿？！而且失败可能性不低，真要到时候全系统崩溃，公司破产都不是不可能。换到这里。如果公司已经在几个十几个项目里面用了这个框架。那怎么换？当初做决定的人，要么忽悠老板买VIP，要么自己悄悄掏钱买文档。不然？直接就是“引入重大风险，造成公司严重损失”，一分钱赔偿拿不到，直接走人！

zhuzhua 2023-12-04 14:43

你是真搞笑，搞清楚事情的来龙去脉再发表你所谓的高论吧

MichaelJou 2023-12-04 14:14

多老

zhuzhua 2023-12-04 14:44

可不敢，过今天人家给你来个律师函警告呢

zhuzhua 2023-12-04 14:41

spring哭了，java开发者白嫖了我几十年了，我活不下去啦。。。。

yejun365 2023-12-01 22:07

对错都不谈了，还说个毛线啊。首先，文档以前包含在源码里，也是开源的，现在删了。用户有权部署之前开源版文档，现在他说不允许你部署，这是违反开源协议的。兴趣是不能成为饿肚子的理由，但也不是把以前承诺当屁放了的理由！！！！重发一位网友的反对理由！

依然藏锋 2023-12-01 10:03

都别吵了，.net的兄弟们，有能力，转Rust, Java 它不好吗？要生态有生态，要性能有性能， .net 在国内ZF都明令不用了，现在除了在游戏开发U3d还有点用外，还有啥？不值得你们花时间精力吵来吵去。不过宣称MIT 开源，突然收费这行为只会让人有种被骗的感觉。。。

思北谢Special 2023-12-02 10:36

开始用MIT完全不限制商用这个宽松协议，忽悠大家用上，很多程序员冒着被质疑，去说服公司用，如果你是GPL有多少敢用？而一旦大家用上了，轻易更换代价很大，这时候封闭文档收费，完全撕毁MIT协议，这么玩，其实是损害了所有国产开源软件的信誉度，所有国产开源软件的同仁都应该出来抵制，在社会里，大家要遵守一些底线，当有人突破了底线开始赚钱的时候，其实是损害了同行的信誉度，而那些守规矩的人将更加难以生存，当有人再想以MIT协议推出开源软件的时候，大家就会说：国产的软件用MIT协议你也敢信？

java欢迎你，王者springboot永不收费，放心

AdminBj 2023-12-01 14:10

作者，我其实很支持你走一些商业化道路，在知道你开启了vip服务的第一时间我就充了vip。但是严格的将，furion文档之前是跟furion开源库的，而furion库是明确写了MIT协议。你现在把文档从这里面移除进行收费，是非常不明智的行为，此举也违背了MIT协议，，所以才遭到很多人的口诛笔伐！希望慎重，可以从其他方面走一些商业化而不是把之前mit库里的内容移除！

Shazi199 2023-12-01 17:25

纯纯的伪需求，声音最大的那批人并不是核心用户

zhuzhua 2023-12-04 14:47

linus:老哥你早点说啊，我被人白嫖几十年了

zhuzhua 2023-12-04 14:39

跳啊，java开着空天母舰springboot来接你们了。欢迎加入

angelshaka 2023-12-04 14:22

文档在项目源码的handbook文件夹中，在近期被他删了，注意MIT的内容是[源码及文档]

angelshaka 2023-12-01 15:05

翻译过来就是，签了卖身契的就好好交租，不允许随便说话的😁

zhuzhua 2023-12-04 14:38

什么事MIT协议？人家不知道耶。。。。。。。笑死我了，国内这些，有几个是真心开源的？

治

治治熊虚伪 2023-12-04 14:27

U1S1，华为工资再国内肯定是算高的。而且目前国情内，多几个华为总比多几个圈钱上市的企业好

魔力猫 2023-12-01 09:33

但是这是在违法！不想维护了可以放弃。不能说你觉得免费付出亏了，就可以绑票勒索。你以MIT协议分发，现在自己违反。别扯什么99.99%都是自己写的。项目文档接了别人的pull，哪怕一个字符，人家也有版权！你哪怕后续版本改闭源，最起码也要所有贡献者同意。而且文档收入，人家有资格获得报酬！

monkey_cici 2023-12-04 14:25

上有政策下有对策...看大厂怎么应对.....

疯

疯狂的狮子Li 2023-12-03 23:58

挨个大厂走一圈呗这节奏

木有龙井茶 2023-12-01 09:49

不诚信，违背开源协议，威胁用户。说得再多都是狡辩。

zhuzhua 2023-12-04 14:35

spring看他一眼，都是对spring最大的侮辱，不解释。。。。。。就这个玩意，凭什么和java王者spring比较？还对标。。。。。。

kakai 2023-12-04 14:15

高速路上200？我看你是觉得别人的罚款扣分是假的。

zhuzhua 2023-12-04 14:45

spring不也被人白嫖？linus被人白嫖了几十年了，说啥了？

angelshaka 2023-12-04 14:45

和尚说自己是微软MVP，被人发现是假的，自己造了个MIP，这对他来说还叫个事？😁

longzz 2023-12-01 09:54

谢谢大佬，及时收费，治疗好我领导的选择困难症，让我们后续项目成功用spring重构。😀

AsukaQua 2023-12-01 16:22

不是急眼了删评论阿？

zhuzhua 2023-12-04 14:51

spring文档收费试试？全世界javaer联合起来！！！！！！

游

游游酱 2023-12-04 14:48

希望接地气

582万PharMerica患者数据被盗

RA勒索组织利用泄露的Babuk代码攻击美国和韩国的公司

Cisco警告使用公共漏洞代码的关键交换机漏洞

严重的RCE漏洞使数千台工业物联网设备面临网络攻击

恶意的Microsoft VSCode扩展窃取密码并打开远程shell

BatLoader在网络攻击中模拟ChatGPT和Midtravel

能源行业面临日益严重的暗网网络威胁

攻击者使用Cobalt Strike瞄准macOS

WordPress插件用于1M多个网站修补关键错误

CISA发布BianLian勒索软件分析报告

与胡塞运动有关的APT组织OilAlpha

分析Andariel组织的Jupiter恶意软件

热门评论

关于作者

作者的专辑

作者的其它热门文章

热门资讯

热门软件

OSCHINA 社区

在线工具

攻略

QQ群

公众号

视频号

安全日报（2023.05.18）

582万PharMerica患者数据被盗

RA勒索组织利用泄露的Babuk代码攻击美国和韩国的公司

Cisco警告使用公共漏洞代码的关键交换机漏洞

严重的RCE漏洞使数千台工业物联网设备面临网络攻击

恶意的Microsoft VSCode扩展窃取密码并打开远程shell

BatLoader在网络攻击中模拟ChatGPT和Midtravel

能源行业面临日益严重的暗网网络威胁

攻击者使用Cobalt Strike瞄准macOS

WordPress插件用于1M多个网站修补关键错误

CISA发布BianLian勒索软件分析报告

与胡塞运动有关的APT组织OilAlpha

分析Andariel组织的Jupiter恶意软件

热门评论

关于作者

作者的专辑

作者的其它热门文章

热门资讯

推荐关注

热门软件

OSCHINA 社区

在线工具

攻略

QQ群

公众号

视频号