当前位置: 安全纵横 > 安全公告

一周安全动态(2011年01月20日-2011年01月26日)

来源:安恒信息 日期:2011-01

2011年1月第三周(01.20-01.26)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 网络攻击成为慕尼黑安全政策会议的新议题

慕尼黑安全政策会议主席伊申格尔18日说,网络攻击以及国际金融危机对安全政策的影响将成为下月初召开的慕尼黑安全政策会议的两大新议题。

伊申格尔在柏林举行的新闻发布会上说,除了北约与俄罗斯关系、阿富汗问题、伊朗问题等传统议题外,第47届慕尼黑安全政策会议首次设立两大新议题,一个是来自互联网的虚拟攻击带来的威胁,另一个是金融和经济危机给外交和安全政策带来的后果。

伊申格尔说,12个国家和政府的领导人、大约40个国家的外交部长或国防部长将参加本次会议,其中包括德国总理默克尔、英国首相卡梅伦、阿富汗总统 卡尔扎伊、美国国务卿希拉里·克林顿和俄罗斯外长拉夫罗夫。此外,联合国秘书长潘基文、北约秘书长拉斯穆森、世界银行行长佐利克和欧盟外交与安全政策高级 代表阿什顿也将与会。

第47届慕尼黑安全政策会议将于2月4日至6日举行。慕尼黑安全政策会议诞生于1962年,最初研讨的重点仅限于跨大西洋关系和欧洲安全,随着全球化进程的发展,慕尼黑安全政策会议最近10年来逐渐演变为全球性质的安全政策论坛。

1.2 日本高轨电脑系统疑遭黑客攻击

据日本新闻网报道,17日,因为中央管理系统故障问题,导致日本首都圈连接整个东北地区的5条新干线全线停车1个多小时。事件原因目前还没有查明。JR东日本铁道公司承认,事件“十分蹊跷”,怀疑电脑系统遭到黑客攻击。

据报道,当地时间17日上午8时23分许,位于东京的JR东日本铁道公司的中央司令室内的20几台电脑的屏幕突然一齐变黑。由于中央司令室的系统控制着整个日本东北地区的新干线运营系统,因此,该公司不得不下达紧急停车令,几十列新干线列车全线停驶。

奇怪的是,30分钟后,这20几台电脑突然自动启动,并恢复正常。当工作人员重新坐到电脑前准备工作时,电脑又突然同时黑屏。负责这一套系统开发保修的IT公司的技术人员赶到中央司令室后,也找不出系统故障的原因。直到当地时间9时38分,整个系统又重新自动回复正常。

报道称,这一停车事件导致日本8万多名乘客无法按时乘车。但是直到18日上午,IT公司和JR东日本铁道公司找不出系统故障的原因。有人因此怀疑,或许系统遭到了黑客的袭击。

1.3 Oracle在18日修复66个安全漏洞

Oracle在1月18日发布一系列安全更新,覆盖了其企业软件系列中产生的66个漏洞。该公司在一份重要补丁更新预声明文件中称28种产品将接受安 全修复,包括Oracle数据库,Fusion Middleware,企业管理器,PeopleSoft CRM和电子商务套件。

与此同时,Oracle公司也为Sun产品,OpenOffice以及StarOffice产品套件提供安全修复。

在Oracle数据库服务器平台中发现了6个漏洞,其中两个会导致远程代码执行攻击。Oracle称最严重的漏洞在通用漏洞评分系统(CVSS)中被评为7.5分。

Fusion Middleware需要修复16个漏洞,其中12个会导致远程代码执行攻击,其中一个被CVSS评为10分。Sun产品也有21个修补程序,包括9个远程代码执行漏洞,最高的CVSS评分等级为10分。Oracle公司强烈建议客户特别关注这些漏洞并尽快修复最严重的漏洞。

1.4 Windows新补丁再受挑衅 攻击代码已公布

微软去年Pwn2Own黑客大赛上发现的漏洞,在9个月后终于得到了修补,但是短短一天过后,就有研究者公布了新的Windows补丁的攻击代码。

这个被微软定义为最高危险等级“危急”的漏洞早在9个月前的黑客大赛上就发现了,当时它被其发现者用于强强联手攻击Internet Explorer 8 (IE8),并为其赢得了10000美元的奖金。

Vreugdenhil在去年的Pwn2Own上只用了2分钟就攻击了IE8,被称为“技术上令人印象深刻的”。他不光用了两个漏洞,而这两个漏洞都可以自身被利用,他还令两个漏洞同时奏效。

Vreugdenhil指出,这个攻击代码并不适用于实施犯罪的人,单单运行该开发程序不会起作用,不过IE会瘫痪。TippingPoint公司的Portnoy认为微软在9个月后才迟迟做出修补表现出他们在交流上的工作失误,因为微软认为该漏洞不可开发,而Vreugdenhil的工作则证明这是可以开发的,但直到Vreugdenhil到美国的TippingPoint工作后,他们才正式和微软联络上并指出这个漏洞的可开发性。

上个月微软再次就其对ASLR和DEP的信任表态,认为他们对目前可预想的攻击都可以做出强有力的对策。Portnoy对此持反对意见,“他们看不到漏洞不代表这些漏洞没有被利用过。这只是能说明微软还没发现它们”。今年3月9日至11 日,将在CanSecWest安全会议上举行新一届Pwn2Own比赛,届时将主要关注对浏览器和手机的开发。不过今年的现金大奖将颁给成功入侵手机宽带处理器的研究者,因为这将为开发处理无线通讯信号的芯片固件漏洞提供思路。

1.5 山东开发出计算机犯罪在线取证系统 国际领先

由山东省科学院计算中心自主研发出的计算机取证产品“计算机数字证据安全备份与搜索系统”荣获 2010年度山东省科技进步一等奖。山东省科学院鉴定认为,这套系统与国际前沿研究水平同步,达到国际领先水平,在计算机网络违法犯罪行为侦查取证工作的 多个领域填补了国内空白。

在线取证是指在不关闭目标计算机的情况下,获取电子证据并进行分析呈现的技术。近年来,我国计算机网络违法犯罪呈现不断增长的趋势,利用计算机传播木马、病毒、色情、邪教,实施诈骗、盗窃,泄露国家机密等违法犯罪行为给社会造成了巨大损失。然而,在线取证难,也给这类案件定罪和量刑造成了困难。

山东省科学院开发的这套在线取证系统有效解决了取证难的问题。据山东省科学院计算中心取证与鉴定实验室主任王连海介绍,这套系统以计算机物理内存分析为突破口,通过获取目标计算机的物理内存镜像,得到计算机上系统进程、注册表、网络链接等大量信息,并可以实现电子邮件、即时通讯工具等敏感信息的提取和来源分析,从而使在线取证的可信性可以评估;同时,系统兼容了不同版本的计算机操作系统,对待机、密码锁定等状态下的目标计算机,也可以获取内存镜像,同时不影响计算机运行。系统操作简单,取证快速,实时性强,可以广泛应用于信息安全应急响应和计算机网络犯罪的在线取证。

王连海介绍,目前这套系统已经参与侦破了多起泄密和传播邪教的重大案件,并开始逐步应用到民事纠纷中。

2. 本周关注病毒

2.1 病毒名称:Trojan.PSW.Win32.GenFxj.a(木马病毒)
警惕程度 ★★★

这是一个通过聊天工具传播的木马下载器病毒。黑客以“我的照片”或“艳照”等诱惑性文件名诱使用户接收病毒打开,当用户运行这些文件后,电脑就会感染木马下载器病毒,导致不断下载最新盗号木马病毒。

2.2 病毒名称:Trojan.PSW.Win32.QQPass.fhm(木马病毒)
警惕程度 ★★★★

该病毒运行后会在后台监视用户的输入,伺机窃取用户的QQ号码及密码,并发送给黑客。

2.3 病毒名称:Trojan.Clicker.Win32.Agent.frq(木马病毒)
警惕程度 ★★★★

病毒运行后会将自身复制到系统目录中,修改注册表键值并且不定期地访问黑客指定网站以提高其访问量。黑客借以获取利益,并造成网络带宽的浪费。染毒用户的计算机速度及网络速度都会变慢,给用户造成很大的不便和损害。

3. 安全漏洞公告

3.1 Oracle Fusion Middleware远程Oracle WebLogic Server安全漏洞

Oracle Fusion Middleware远程Oracle WebLogic Server安全漏洞

发布时间:

2011-01-19

漏洞号:

BUGTRAQ ID: 45852,45868,45854,45848,45858,45877

漏洞描述:

Oracle Fusion Middleware是融合中介软件,甲骨文为其现有中间件产品创立的产品名称。Oracle WebLogic Server是应用程序服务器。
Oracle WebLogic Server、Oracle GoldenGate Veridata、Oracle HTTP Server、Oracle Discoverer、Oracle WebLogic Server在实现上存在安全漏洞,“Servlet Container”、"Server"、"Apache Plugin"、"EUL Code and Schema"、"Servlet Container"子组件也受到了影响。远程攻击者可利用HTTTP协议利用此漏洞。

安全建议:

Oracle
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.oracle.com

 

3.2 Oracle PeopleSoft多个远程Enterprise PeopleTools安全漏洞

Oracle PeopleSoft多个远程Enterprise PeopleTools安全漏洞

发布时间:

2011-01-19

漏洞号:

BUGTRAQ ID: 45865,45881,45879,45899

漏洞描述:

PeopleSoft企业软件集成多个商务功能,包括人事、客户关系、供求关系、财务等管理。
PeopleSoft PeopleTools网关管理Servlet存在信息泄露问题,“PIA Core Technology”、"Talent Acquisition Manager"、"Order Capture"、"Portal"子组件也受到了影响。远程攻击者可利用HTTTP协议利用此漏洞。

安全建议:

Oracle
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.oracle.com

 

3.3 Oracle供应链产品远程安全漏洞

Oracle供应链产品远程安全漏洞

发布时间:

2011-01-19

漏洞号:

BUGTRAQ ID: 45872,45860

漏洞描述:

Oracle供应链产品是支持信息驱动的供应链的一流、全面、开放且集成的解决方案。
Oracle供应链产品Agile Core在实现上存在安全漏洞,“Web Client”、"Folders, Files and Attachments"子组件也受到了影响。远程攻击者可利用HTTP协议利用此漏洞。

安全建议:

Oracle
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.oracle.com

 

3.4 Linux Kernel "execve()"内存扩展"OOM-killer"本地拒绝服务漏洞

Linux Kernel "execve()"内存扩展"OOM-killer"本地拒绝服务漏洞

发布时间:

2011-1-18

漏洞号:

BUGTRAQ ID: 45004
CVE ID: CVE-2010-4243

漏洞描述:

Linux Kernel是开放源码操作系统Linux所使用的内核。
Linux Kernel的"OOM-killer"功能在实现上存在安全漏洞,本地攻击者可利用此漏洞终止不相关的进程,造成拒绝服务。
漏洞源于oom_kill()函数看不到没有附加到任何线程的已分配内存。

安全建议:

Linux
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.kernel.org/

 

3.5 Microsoft Data Access Components数据源名称缓冲区溢出漏洞(MS11-002)

Microsoft Data Access Components数据源名称缓冲区溢出漏洞(MS11-002)

发布时间:

2011-1-18

漏洞号:

BUGTRAQ ID: 45695
CVE ID: CVE-2011-0026

漏洞描述:

Microsoft Data Access Components (MDAC)是一套用于Windows平台上提供数据库互连的组件。
Microsoft Data Access Components (MDAC)在实现上存在安全漏洞,远程攻击者可利用此漏洞在应用程序中运行任意代码造成拒绝服务。
odbc32.dll组件的SQLConnectW调用中存在特定漏洞,在计算"szDSN"值的大小时,该值也与"SQL_MAX_DSN_LENGTH"相比较以验证目标缓冲区的大小,该值稍后用于将用户提供的数据复制到固定长度的栈缓冲区中,恶意的szDSN长度可导致执行任意代码。

安全建议:

厂商补丁:
Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS11-002)以及相应补丁:
MS11-002:Vulnerabilities in Microsoft Data Access Components Could Allow Remote Code Execution (2451910)
链接:
http://www.microsoft.com/technet/security/bulletin/MS11-002.asp