MongoDB数据库遭泄露，大量后门帐号被曝光；新的Linux后门开始肆虐；Angular.js 1.7.7发布

0、MongoDB 数据库遭泄露，大量后门帐号被曝光‍

近日，一位荷兰安全研究人员意外发现了克里姆林宫的后门账户，指其可被政府用来访问在俄罗斯经营的本土和外国企业的服务器。据悉，安全研究人员在数千个 MongoDB 数据库中，发现了这些后门账户([email protected])。该数据库被散落到了互联网上，且无需密码就能够访问。

换言之，任何留意到该帐户的黑客，都可以利用它来访问在俄罗斯运营的数千家企业的敏感信息。Victor Gevers 在接受 ZDNet 采访时称：

我先是在俄罗斯乐透的用户列表中看到了这些凭证，然后进行了深入的挖掘，了解其需要远程访问处理金融交易的系统。

更令人震惊的是，Gevers 甚至在乌克兰内政部泄漏的 MongoDB 数据库中发现了这个帐户，爆料称该国总检察长办公室正在对腐败政客进行详细的 ERDR 调查。

1、Web 前端框架 Angular.js 1.7.7 发布‍

Web 前端框架 Angular.js 1.7.7发布了，更新内容如下：

Bug 修复

• ngRequired: 在ngRepeat内部时正确设置错误，默认情况下设置为false (5ad4f5, #16814, #16820)

• ......（详情：https://github.com/angular/angular.js/blob/master/CHANGELOG.md#177-kingly-exiting-2019-02-04）

2、Apache Groovy 2.5.6 发布‍

Apache Groovy 2.5.6 发布了，Groovy 是一种功能强大的可选类型和动态的语言，具有静态类型和静态编译功能，更新内容如下：

Sub-task

• [GROOVY-2773] - Strange behaviour when passing chained methods (methodA().methodB().etc()) as parameters

• [GROOVY-3446] - Method call resolves to statically imported method instead of equally named local method

• [GROOVY-4287] - CLONE - import of static nested classes in external groovy files is broken

• ......（详情：https://issues.apache.org/jira/browse/GROOVY-8873）

3、Ruby 2.6.1 正式发布，Bug 修复版本‍

Ruby 2.6.1 已发布。此版本更新内容：

• 修复了当 Net::Protocol::BufferedIO#write 传入过大的多字节字符串时会导致 NoMethodError 的错误。

• ......（详情：https://cache.ruby-lang.org/pub/ruby/2.6/ruby-2.6.1.tar.gz）

4、新的 Linux 后门开始肆虐，主要攻击中国服务器‍

一种新的 Linux 系统后门已经开始肆虐，并主要运行在位于中国的 Linux 服务器上。据 ZDNet 报导，该恶意软件名为 SpeakUp，三周前由 Check Point 安全研究人员发现。研究人员表示黑客利用 PHP 框架 ThinkPHP 的漏洞 CVE-2018-20062 进行攻击，一旦 SpeakUp 入侵易受攻击的系统，那么黑客就可以使用它来修改本地 cron 应用以获得启动持久性，并运行 shell 命令，执行从远程命令与控制服务器（C＆C）下载的文件，以及更新或卸载自身。‍