当前位置: 安全纵横 > 安全公告

一周安全动态(2011年03月18日-2011年03月24日)

来源:安恒信息 日期:2011-03

2011年3月第三周(03.18-03.24)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象,需对网络和主机进行必要的监控和升级。

 

 

 

1. 安全新闻

1.1 美国军方封杀13个网站节约带宽支援日本

美国战略司令部(U.S. Strategic Command)发言人罗德尼·埃里森(Rodney Ellison)周三证实,美国军方内部暂时封杀了13个流行网站,禁止其计算机访问,旨在节约带宽,帮助日本灾后复苏。埃里森称,包括YouTube、ESPN、亚马逊、eBay和MTV在内的13个网站被封并不是因为其内容违法,而是在军方计算机用户中颇受欢迎,占用了大量带宽。

埃里森表示,该项禁令从本周一开始实施,其目的是确保日本拥有足够的带宽用于军事用途。在上周日本发生强烈地震和海啸后,美国便开始向日本提供一些援助。

节省带宽这项提议是由美军太平洋司令部(U.S. Pacific Command)提出的,目前共有13个网站被禁止访问。埃里森说:“这是在网络资源极度需求的情况下做出的反应。”

埃里森强调,此次封杀只是暂时的。美国军方称:“此次封杀是暂时的,并可能根据需要来扩大或缩减封杀规模。”埃里森说:“此举旨在帮助日本灾后复苏,我们会尽全力支援他们。”

被美国军方封杀的这13个网站分别为:

* Youtube.com

* Googlevideo.com

* Amazon.com

* ESPN.go.com

* eBay.com

* Doubleclick.com

* Eyewonder.com

* Pandora.com

* streamtheworld.com

* Mtv.com

* Ifilm.com

* Myspace.com

1.2 黑客组织称周一披露从美国银行截获的电邮

黑客组织Anonymous在Twitter发布消息称,该组织计划在周一披露从美国银行截获的电邮,当中涉及一些与这家美国资产最大银行腐败及欺诈有关的资料。

该组织的一名代表称,所披露资料与美国银行在房屋止赎过程中是否存在不正当行为有关。他还补充说,尚未看到具体资料,但已经知道了大概内容。

美国银行发言人称,Anonymous组织所言并不属实,银行旗下机构Balboa Insurance员工窃取了一些公司的文件,但所窃文件与房屋止赎无关,只是一些办公及行政资料。美国银行已经同意将Balboa Insurance出售给澳大利亚保险公司QBE Insurance Group。

1.3 拉美路由器遭恶意软件攻击

国外媒体报道,安全公司Trend Micro发布消息,后缀名.elf的恶意软件攻击拉美的Linux和Unix路由器,公司称其为ELF_TSUNAMI.R.,实际上属于IRC(因特网中继聊天)后门程序,并认为其会影响D-Link DWL-900AP+访问节点。

Trend Micro指出,受感染的机器会连接到IRC服务器上的僵尸网络,对路由器用户名和密码实施强力的攻击。公司分析了恶意软件的传播方式并以此推断其他地区的机器是否会受到影响。

2010年1月D-Link曾表示其三款路由器中存在的安全隐患可以为黑客提供重设管理员设置的机会。赛门铁克也在2008年表示发现了攻击路由器的恶性软件。

1.4 广州个人公积金信息可被轻易查询

目前广州有28万多个个人公积金缴存账户,为方便市民,广州住房公积金管理中心日前推出网上查询公积金信息服务,但有网民指出该措施存在泄漏个人信息的漏洞。昨日广州公积金中心表示,网上仅可查询职工的公积金信息,不能办理其他业务;中心已立即减少查询项目,职工相对私密的信息将待系统完善后再推出,请职工尽快重置网上密码。

据报道,由于广州个人住房公积金查询只需要姓名、个人住房公积金账号、密码,而个人住房公积金账号是由本人身份证数字后加两个零构成,网上查询 的初始密码被设定为个人身份证号码最后四位数字再加两个零,这就意味着,只要知道一个人的姓名和身份证号,就能登录市住房公积金网站查询其余额及账户其他信息,但并不能转移账户里的金额。

广州公积金中心对此十分重视,昨日该中心有关负责人回应说,该项措施仅供职工查询自己的公积金信息,不能办理其他业务;中心已立即研究改进措施,调整减少了部分信息项目,暂时网上只显示账户、姓名、余额、最近2月缴存记录等信息,对诸如职工单位、年度缴存明细等相对私密的信息,待网上查询措施完善以后再逐步供职工查询。中心将尽快完善网上查询服务,在提供方便的同时,保证职工信息安全。

该负责人同时提醒广大职工,请尽快上网修改密码。没有条件上网或者不会上网,以及初始密码有错误或者被修改过的职工,可持本人身份证到各公积金业务经办网点重置初始密码。

1.5 初中学历黑客“劫持”数万网民 只为勒索两千块

图为:嫌疑人何某及其作案的电脑

网站遭遇“黑客”远程攻击,数万用户受影响。谁曾想,十堰市最大一起网络黑客攻击案的元凶,竟然是一名只有初中文化、20岁出头的小伙子。

昨日,十堰市公安局东岳分局网络安全保卫大队民警向记者披露了案件侦破经过。

一家网站受攻击数万用户受影响
  去年11月18日至24日,十堰市一家房产网遭到“黑客”持续攻击,特别是11月23日上午,网页无法打开,网站服务器瘫痪。

据了解,该房产网服务器出租方是“东风通信”和“十堰联通”。东风通信是为2万多用户提供互联网宽带业务的宽带运营商。11月23日,该房产网受攻击后,致使东风通信和十堰联通互联网宽带业务受到不同程度阻塞,遭受无法统计的直接和间接经济损失。

11月24日上午,受害方负责人向十堰警方报案,并称“黑客”以仍将继续对其网站实施攻击相要挟,向其索要人民币2000元。

警方历时8天8夜异地擒获网络黑客
  当日,一个以东岳公安分局网络安全保卫大队民警为主要力量的专案组迅速成立。专案组民警侦查发现,“黑客”是利用天津、南京等数个网络主机发动攻击的,而其真实攻击源及其实际藏身地一时无法查清。

查不到攻击源,确定不了“黑客”的藏身地,就难以破案。经过20多个小时的努力,11月25日上午,专案组成功捕获到“黑客”的有关信息,并发现其藏身在几千里外的浙江某地。

办案民警睁大双眼,在网络世界里来回穿梭,寻觅“黑客”的踪影。“温州,浙江温州。”12月1日上午,专案组民警准确分析出“黑客”的藏身地,兴奋得差点跳了起来。12月2日,专案组民警秘密来到温州市瓯海区新桥街道富新路一栋居民楼门口。

而此时,屋内的一名年轻人正坐在电脑前,通过网络实施黑客攻击。他,就是警方正在寻找的犯罪嫌疑人何某。

面对突如其来的警察,何某没有反抗,他将双手从键盘上移开,伸向冰凉的手铐。

“黑客”只有初中文化只为炫耀技术勒索“赎金”

这位神秘的“黑客”,到底是何许人也?

何某,男,21岁,贵州余庆县人,初中文化,是一名电脑爱好者。

经查,2010年11月23日至24日,何某利用其掌握的黑客技术,多次非法侵入天津、南京等地服务器,植入黑客工具。然后远程登录服务器,对十堰市的这家房产网发动持续网络攻击,致全市数万宽带用户受到影响。

警方同时查明,何某还利用同样手段攻击青岛等地的网站,利用互联网出售黑客软件,非法获利3000余元。

目前,何某已被警方刑事拘留,案件正在进一步审理当中。

2. 本周关注病毒

2.1 病毒名称:Win32.KB.a(EW感染源木马)
警惕程度 ★★★

病毒通过感染两个关键的系统文件实现开机自动隐蔽加载。加载后还会使用共享内存方式将恶意代码注入到explorer.exe中,从而绕过大部分杀毒软件的主动防御。随后,病毒会在用户运行opera.exe,firefox.exe,iexplore.exe等浏览器时,伺机恶意篡改它们的主页为黑客指定的恶意网站。

2.2 病毒名称:Trojan.Win32.StartPage.qea(木马病毒)
警惕程度 ★★★

该病毒会在桌面上生成一个和原来的IE图标完全相同的图标,用户打开这个假的IE图标就会访问黑客指定的网站。病毒还会劫持浏览器的搜索引擎和多种第三方浏览器软件,到达提高网站点击率的目的,并且还会在后台下载安装流氓软件。

2.3 病毒名称:Trojan.PSW.Win32.QQPass.fhr(木马病毒)
警惕程度 ★★★★

该病毒运行后会在后台监视用户的输入,伺机窃取用户的QQ号码及密码,并发送给黑客。

 

3. 安全漏洞公告

3.1 PHP "phar/phar_object.c"格式字符串漏洞

PHP "phar/phar_object.c"格式字符串漏洞

发布时间:

2011-03-14

漏洞号:

BUGTRAQ ID: 46854

漏洞描述:

PHP的"phar/phar_object.c"函数在实现上存在格式字符串漏洞,远程攻击者可利用此漏洞绕过某些安全限制或取得提升的权限。
此漏洞源于在将用户提供的输入用作格式说明符发送到格式化的打印函数之前未正确过滤。

安全建议:

厂商补丁:
PHP
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.php.net

 

3.2 PHP "substr_replace()"释放后重用远程内存破坏漏洞

PHP "substr_replace()"释放后重用远程内存破坏漏洞

发布时间:

2011-03-13

漏洞号:

BUGTRAQ ID: 46843
CVE ID: CVE-2011-1148

漏洞描述:

PHP的"substr_replace()"函数在实现上存在释放后重用远程内存破坏漏洞,远程攻击者可利用此漏洞在网络服务器中执行任意代码,造成拒绝服务。
此漏洞源于在将同一个变量多次发送到"substr_replace()"函数时,PHP会使该函数中的三个变量使用同一个指针,所以当函数中的类型转换更改了该指针,该指针也会使其他变量无效。

安全建议:

厂商补丁:
PHP
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.php.net

 

3.3 Linux Kernel "ldm_frag_add()"缓冲区溢出漏洞

Linux Kernel "ldm_frag_add()"缓冲区溢出漏洞

发布时间:

2011-03-11

漏洞号:

CVE(CAN) ID: CVE-2011-1017

漏洞描述:

Linux Kernel在LDM分区处理实现上存在缓冲区溢出漏洞,本地攻击者可利用此漏洞控制受影响系统。
此漏洞源于fs/partitions/ldm.c中的"ldm_frag_add()"函数中的错误,可通过插入具有特制LDM分区的USB设备造成缓冲区溢出。

安全建议:

厂商补丁:
Linux
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.kernel.org/

 

3.4 Red Hat libvirt API libvirt.c拒绝服务漏洞

Red Hat libvirt API libvirt.c拒绝服务漏洞

发布时间:

2011-03-16

漏洞号:

CVE-2011-1146

漏洞描述:

libvirt是一套免费、开源的C函数库,支持Linux下的主流虚拟化工具。
Red Hat libvirt 0.8.8版本的API中的libvirt.c没有正确限制只读连接中的操作。远程攻击者可以借助多个调用,导致拒绝服务(主机操作系统崩溃)或者可能执行任意代码。这些调用包括:(1)virNodeDeviceDettach,(2)virNodeDeviceReset,(3)virDomainRevertToSnapshot,(4)virDomainSnapshotDelete,(5)virNodeDeviceReAttach,以及(6)virConnectDomainXMLToNative调用。

安全建议:

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://libvirt.org/git/?p=libvirt.git;a=commit;h=71753cb7f7a16ff800381c0b 5ee4e99eea92fed3

 

3.5 Apache Tomcat '@ServletSecurity'注释安全限制绕过漏洞

Apache Tomcat '@ServletSecurity'注释安全限制绕过漏洞

发布时间:

2011-03-16

漏洞号:

CVE-2011-1419

漏洞描述:

Apache Tomcat是一款由Apache Foundation维护的免费开放源代码的Java Servlet和JSP服务程序。
当web.xml不存在安全限制时,Apache Tomcat 7.0.11之前的7.x版本没有遵循ServletSecurity注释。远程攻击者可以借助对web应用程序的HTTP请求,绕过预设的访问限制。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://tomcat.apache.org/security-7.html