当前位置: 安全纵横 > 安全公告

一周安全动态(2011年04月07日-2011年04月14日)

来源:安恒信息 日期:2011-04

2011年4月第二周(04.07-04.14)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象,需对网络和主机进行必要的监控和升级。

 

 

 

1. 安全新闻

1.1 黑客频繁入侵政府网站调查:形成非法牟利产业链

新华网北京电范东东、文超两名仅有初中学历的90后,因非法侵入最高人民检察院反渎职侵权厅网站后台、非法控制长沙质量技术监督局等十多家政府网站,构成非法侵入计算机信息系统罪、非法控制计算机信息系统罪,最近被北京市朝阳区法院一审分别判处有期徒刑1年6个月和1年。

朝阳区法院法官辛祖国告诉记者,此案绝不是个案。据国家互联网应急中心的监测报告显示,2010年5月10日至16日仅一周,中国境内就有81个政府网站被篡改,其中包括4个省部级网站,还有25个地市级政府网站。

记者了解到,黑客之所以频繁入侵政府网站,原因之一是利用政府网站漏洞进行非法营利,并已经形成黑客非法牟利“产业链”。

给政府网站挂“黑链”赚钱

今年20岁的范东东,初中文化,新疆维吾尔自治区乌鲁木齐人;今年20岁的文超,初中文化,四川省江油市人。这两人于2010年3月至5月间,在河南省郑州市用计算机上互联网,通过后门程序,先后进入最高人民检察院反渎职侵权厅网站、长沙质量技术监督局、青海质量监督总站、抚顺政务公开网、佛山市高明区档案局、云南楚雄州人大常委会等数家网站后台更改网页源代码,为其他网站提升搜索排名率,达到牟取利益的目的。后公安机关接群众举报,将二人查获归案。

范东东和文超虽然没学过计算机编程,但在一次QQ群聊天时,得知给被破解的政府网站挂“黑链”可以赚钱,二人通过“52CC”网站上的教学视频学习了简单编程知识。通过“A5论坛”、 “中国站长论坛”等论坛购买上述网站“权限”。

“网站‘权限’10元一个,黑链代码4元至7元一个,都是通过网上买的,自己不会做。”范东东供述说,使用购买的“权限”登录上述网站后,植入在网上购买的后门程序设定属于自己的“权限”,便于随时登录为“客户”添加黑链。

文超则在网络论坛、聊天群等地方发布能添加黑链的帖子以招揽“客户”,并明码标价“添加一条黑链代码收费4元至7元”。范东东将“客户”提供的关键词如“传奇私服”、“汽车交易”、“美国留学”等添加到黑链代码中,登录上述政府网站添加黑链并进行日常的维护,“客户”可以使用“站长帮手网”里的管理工具,查看某网站是否有其网站的链接。攻击政府网站3个月间,两人共获利6000元。

考察上述二人的犯罪过程,花钱购买网站“权限”并控制、购买黑客工具——网上做广告招揽“客户”——添加黑链代码并维护——通过银行电汇方式收费,一条清晰的非法牟利线路浮现出来。在上述攻击政府网站的过程中,并没有看见高超的黑客技术,更多的是买卖交易。

黑客入侵政府网站的两个步骤

记者了解到,黑客入侵政府网站有两个步骤。第一步,破解并控制政府网站,即“拿站”。第二步,登录“后门”实施黑客攻击、实现非法营利。

其中,第一步“拿站”一般分四个步骤:

一、熟悉网站、收集信息。先大致浏览入侵网站的相关网页,查看入侵网站网页的内容、设计布局等信息,借助网络输入网站的域名,查询域名注册的详细信息。

二、寻找漏洞、破解密码。技术较高的黑客通常利用自己编写的黑客工具查找网站的安全漏洞,利用漏洞破解网站后台管理员的用户名和密码。

三、查找入口、侵入网站。在破解密码的基础上,查找管理员登录入口。

四、植入后门、控制网站。在登录网站管理后台之后,黑客都会植入木马后门程序,如同管理员一样,修改网页、下载、上传、删除文件等等。

第二步,登录“后门”实施黑客攻击、实现非法营利。通过第一步破解的网站,黑客会通过网络向外贩卖,业内称“卖漏洞”、卖服务器“权限”,一般均价10元就可以买到一个服务器“权限”。

拥有服务器“权限”,就可以登录网站服务器后台管理系统,常采用以下三种方式实施黑客攻击:

一、种木马病毒(圈内称“挂马”)、卖流量。“挂马”对象为有一定浏览量且有安全漏洞的网站。黑客将木马病毒植入政府网站,网民点击该网站的时候,就可能使网民的计算机终端中木马病毒,感染木马病毒的计算机内的银行账号、游戏账号密码、QQ号码、视频照片等信息就会被木马程序的远程控制者偷走,业内称感染木马病毒的计算机为“肉鸡”,种植木马程序的黑客通常根据下载或点击木马病毒产生的流量计费,称为卖流量。利用数量庞大的“肉鸡”组成的“僵尸网络”可以实施网络攻击,导致被访问的网站瘫痪。

二、植入黑链接、提高点击率。制作目标网站的超链接,如游戏网站、购物网站等,登录政府网站后门植入黑链接,网民打开政府网时实际上也打开了超链接的目标网站,由于政府网站在搜索引擎中排名靠前,从而可以提高目标网站的搜索排名,提高点击率。

三、修改、添加、删除政府网站信息。通过修改政府网站的内容,为特定需求者提供服务,实现非法获利。

黑客为何“偏爱”政府网站

在众多网站中为何政府网站屡屡被黑呢?为此,记者采访了中国核工业计算机应用研究所专家朱泉等,专家分析主要存在以下几方面原因:

其一,搜索引擎给政府类网站的权威值评重高、网页级别高。黑这类网站易于获得更高的搜索排名、更高的点击率,“挂马者”可以得到更多的“肉鸡”,添加黑链,目标网站可获得更高的点击量,从而实现更多的营利。

其二,部分政府网站尤其是基层政府网站安全漏洞多、安全技术防范薄弱,易于被破解。黑客攻击政府网站多利用的是政府网站这一平台,很少窃取内部信息,看似对政府网站危害不大,这使得部分政府网管部门对外网安全重视程度不够。有些网站服务器甚至连防火墙都没装,是名副其实的“裸网”。

其三,部分政府网站提供成绩查询、资格证书编号验证等便民服务,部分不法分子为实现非法目的,不惜高价雇佣黑客修改、添加、删除私人信息,使得此类政府网站易于成为黑客攻击的对象。如2008年的江西省卫生厅被黑客攻破添加假医师资格证书编号案件、湖北省的假车牌案件等。一般而言,此类政府网站的安全级别相对比较高,由于“客户”肯出高价,部分黑客不惜以身试法。

1.2 扬州市城乡建设局官网变色情网站 官方称被黑客袭击

被黑客攻击后网站直接跳转到了这个网页。网友供图


中国江苏网4月6日讯(记者 程远)今日上午7:30,有网友拨打本网新闻热线84737000爆料,称自己在百度中搜索“扬州市城乡建设局”网站(www.yzjsj.gov.cn/)时,发现该网站点击进入之后竟然是黄色网站。

记者随后通过网友提供的线索在百度中进行搜索,发现确如网友所言,在点开扬州市城乡建设局网站主页之后,跳转成了一个名为“美美图秀”的网站。网站首页图片中女子穿着暴露,整个页面充斥着性感、偷拍、诱惑、走光等字眼,页面上还漂浮着激情视频的小广告。不少网友表示,扬州市城乡建设局网站可能被黑客攻击了。网友“扬州土包子”表示:“这可是政府网站啊,现在的黑客越来越厉害了!”网友tenight也留言表示,该网站在1月份左右就曾被黑过一次。

当记者下午再次登陆扬州市城乡建设局网站主页时,发现该网站已经恢复正常。记者通过电话采访了扬州市城乡建设局信息中心朱主任,他也表示很无奈:“我们今天早上9点上班就发现网站被黑了,一直就忙着维护,现在已经恢复了正常。”朱主任也表示,上次被黑客攻击过后就及时向领导汇报了相关情况,现在正在等领导审批。“由于现在仍然缺乏相关的网络安全保护设备,所以网站两次遭到攻击。目前网站正在准备升级,将集中统一管理,优化网络安全,还请广大网友谅解。”

背景资料:2010年1月12日上午7点钟开始,中国国内最大搜索引擎“百度”遭到自建立以来,持续时间最长、影响最严重的黑客攻击;2月15日,央视网被黑客占领长达两个小时,不少网友反映中央电视台官方网站间歇性无法登录,主页变成了一欧美女子照片。而2010年仅1月4日至10日,中国境内被篡改的政府网站数量就为178个,与前一周相比大幅增长409%。

1.3 真嚣张 黑客窃走企业客户邮件

据新华社专电 美国网络营销企业埃普西隆公司4日宣布,公司电脑系统遭黑客袭击,不少客户电子邮件信息遭窃。

埃普西隆是一家网络营销供应商,用户遍及全球,包括美国花旗集团、摩根大通银行、第一资本金融公司和全球最大家电和电子产品零售和分销企业百思买公司。公司每年帮助这些企业向其客户发送超过400亿封电子邮件。

埃普西隆4日在一份声明中说:“公司电子邮件系统遭非法入侵,不少客户的信息曝光……但遭窃信息仅限于邮件地址或客户姓名,关联姓名的其他个人信息没有危险。”按这家公司的说法,一些黑客3月30日入侵系统,当局正调查这一事件。

花旗集团4日说,遭窃信息仅局限于集团北美信用卡客户的邮件地址或姓名,不包括账户信息。

1.4 英90后学生建黑客社交网 涉案金额达1.8亿元


韦柏曾是一个好学生,还提前一年考过了GCSE的数学考试。


白色定制服装、背靠着悍马,韦柏的行为从来都是高调的。


韦柏的手下盖里·凯利擅长盗用逝去者的信用卡,被称“网络时代的盗墓者”。

社交网站Facebook受到全球用户的欢迎,其成功模式也让不少人受到启发。比如英国一名中学生就建立了类似Facebook的黑客社交网,供全球黑客交流和切磋“技艺”,盗刷别人的信用卡。几年时间内,涉案金额高达人民币1.8亿元,数千人受害。近日,该“学生黑客”被判入狱,涉案人年龄之小、案值之大、受害人之广引发全球关注。

高调亮相


少年大佬吓傻服务生

当尼古拉斯·韦柏来到伦敦五星级宾馆“雅典娜神庙”,入住每晚1600英镑的套房时,宾馆的员工就觉察出了事情有点不大正常。

他身穿昂贵的定制服装,傲慢自大不可一世;挥金如土时没有丝毫的掩饰。当然这一切本来没什么奇怪的,引人生疑的是他的娃娃脸。结果一名颇有心计的酒店员工报了警,最后才让年仅17岁的韦柏落入法网。他的罪名是,信用卡欺诈。

一开始,警方并不知道这个私立学校的学生仔是英国警察最想抓的网络诈骗犯,更没有想到他在豪华的宾馆房间里,正在操纵着一个涉案1800万英镑的网络诈骗帝国。他的作案工具就是一部笔记本电脑,还有几部手机。

不过,经过伦敦警察厅电子犯罪科的长时间调查,终于发现这位学生仔的真面目,并以诈骗罪判处其五年徒刑。警方估计,以韦柏为首的犯罪集团通过其“幽灵市场”网站,窃得的数千份信用卡和银行账户信息,造成受害人损失高达1800万英镑。

家庭变故

父母离婚让A等生堕落

最引人关注的除了韦柏犯下的大案,还有他的中产阶级家庭背景。尼古拉斯·韦柏曾是英国布拉德菲尔德学院的一年级学生,他的父亲曾是英格兰格恩西岛的一名政治家。接受的是私立学校的教育;家族史可追溯到诺曼征服时代。这样的一位“名门”之后,如何堕落到如此地步?

英国媒体经过调查才发现,原来在财富和尊贵的外表之下,韦柏的童年却是非常扭曲的,父母亲对彼此不忠直到后来离婚,一团混乱。韦柏11岁那年,他父母离婚。在此之前,他的生活很正常,受人羡慕。韦柏的堕落很好地诠释了日子如何经不起折腾、父母离婚会给孩子们带来怎样灾难性的影响。

父母离婚殃及孩子

韦柏的父亲安东尼是泽西岛前议员,母亲苏珊则是泽西岛金融委员会高级高级管理人员。安东尼退出政坛后开始自己做生意,他坚称,家里的环境“充满了爱”,生活有保姆侍候,还经常到外国度假。这个“充满了爱”的家庭环境很快就分崩离析了。安东尼与自己的年轻女秘书搞起了暧昧关系,而苏珊先是跟脑瘤作斗争,手术后成了一个整天要坐轮椅的人。夫妻俩的婚姻很快便触礁,安东尼公然跑去与自己的女秘书一起生活;苏珊则物色了一个只比儿子韦柏只大六岁的斯洛伐克男伴,在与安东尼离婚之后与其结婚。

这场家庭的混乱,给韦柏幼小的心灵带去了太多不安。离婚后,包括韦柏在内的三个孩子被判由安东尼和苏珊共同监护,不过照顾的责任则由苏珊负责。离婚之后,韦柏跟着母亲苏珊从格恩西带到了波克郡,并成了波克郡一私立学校寄宿生,学费每年1.8万英镑。

读书时入侵学校网络

13岁时,韦柏入读布莱德菲尔德学院,该校每年学费2.4万英镑,是英国作家路易·德·伯尔尼埃的母校。正是在这里韦柏逐渐显露了他的独特天赋,比如通过帮助别人解决电脑问题赚了不少钱。

最让他“扬名”的一件事是,他成功地入侵了学校的计算机网络并因此在学生中开展了另一项服务,帮别人从学校档案中删掉不好的内容。这件事最后东窗事发,他被学校老师抓到,并被处罚一段时间内不能使用电脑。当然,在当时没人知道他到底“坏”到了什么程度,心里到底有多少鬼主意。

由于韦柏是被判给妈妈苏珊监管的,因此安东尼自然而然地把责任归结到她头上,称其未尽到监管的责任。安东尼说,“学校的报告只是写他在电脑方面浪费了太多的时间,却没有提他入侵学校电脑网络的事。学校里把他入侵学校网络这事通知了韦柏的妈妈,学校肯定认为她会通知我的,可是她并没有告诉我。如果我早知道这事,我一定会好好教育他,这事是很愚蠢的事。可是,我知道的时候已经太晚了。”

做黑客平衡心理失落

苏姗对儿子的行为没发表意见,安东尼则坚称,生活上的变动是儿子堕落的原因,“他入读的学校里,个个同学都是有钱人家的孩子,韦柏自然而然地会很自卑,而那段时间我的经济条件也很不好,无法给他太多钱。韦柏也知道这一点,因此,为了获得心理平衡,他只能动歪脑筋赚钱了。我想后来的一切都是因为这个。”

韦柏堕落直接影响到了学习成绩,2007年的时候,15岁的他提前一年参加了中等教育GCSE数学考试,成绩还是A+;可一年后,他才勉勉强强地过了其他6科考试,成绩还都很低。于是,韦柏的母亲又决定让他转学,换到了一个公立的学校,不寄宿住在家里。“由于继父只比他大六岁,因此基本上没给他什么正面的影响,”安东尼说。

市场幽灵

盗得信用卡随便买卖

后来的学习中,韦柏在信息技术和计算机方面特别优秀,可是由于经常迟到早退的,后来被学校开除。可能是受到Facebook的“启发”,韦柏建立了一个专门为诈骗犯提供服务的社交网站,起名为Crimebook。还建立起了一个名为“幽灵市场”的网络论坛,用于倒卖从世界各地偷来的银行账号,并向网友传授黑客知识。

专业论坛外人看不懂

起初他只是窃取信用卡信息,然后在网上销售;后来他“痛感”没有一个英文版的网站可供贼人们交流黑客信息,于是决定自己搞一个。这对他来说简直就是小菜一碟,于是就有了“幽灵市场”,他给网站起的宣传标语是“盗卡专业网站”。仅仅一年半的时间,就聚集了数千名成员。该论坛设五个不同的板块,各有专攻。一是如何入侵电脑,二是如何盗窃和处理信用卡,三是设立虚假银行,四是其他犯罪交流,比如如何制造毒品。第五个论坛是秘密交易区,供犯罪分子交换窃来的信息。

“幽灵市场”看上去只是一行行的计算机代码和一些错误百出的英语。而黑客和诈骗犯们则可以在专门的数据库里匿名交易,这里有数千份个人信息,包括帐户、识别码以及密码。

网购人群成主要目标

“幽灵市场”的种种行径引起了警方的注意,并于2009年11月介入调查。据警方介绍,当时该网站已经有近8000名会员,他们在网站上讨论各种网络诈骗技巧,并且买卖被盗信用卡持卡人的信息。

韦柏被捕后,警方起获了他的笔记本电脑,发现了10万多条盗窃的信用卡信息,还找到了登陆“幽灵市场”网站的途径。受害人基本上都是在网上购物的人群。韦柏使用专门的软件,入侵受害人的家用电脑,复制对方的帐户和密码。他网站的8500多名会员遍及全球各地,他们一起交流如何诈骗以及如何作案后不留首尾。他还出售黑客软件以及生产去氧黄硷粉和爆炸物的方法。


气焰嚣张

“大佬”威胁爆掉警察

2009年10月29日韦柏被捕。当天,他入住伦敦最繁华的皮卡迪利大街的雅典娜神庙酒店时,用信用卡的那份嚣张,让酒店员工怀疑卡根本不是他本人的,于是报警。保释之后,韦柏和一个同伙跑到了西班牙的马略卡岛,再次入住五星级酒店。网站也在继续经营,他还在网站上骂道“狗日的警察”,利用自己的专业知识查找警察的地址。在一个论坛上,他威胁要爆掉负责网络犯罪的警察头头,以示报复,丝毫没有悔改的意思。

2010年1月,他从马略卡岛飞回英国会见一名助手时,在伦敦盖特威克机场再次被捕。随同他一起被捕的还有网站管理员赖安·托马斯,也只有18岁。韦柏和他讨论网上音乐下载事情时,请他“加盟”。赖安负责促进论坛上犯罪分子之间的联系。他被判入狱4年。

韦柏的另一个助手盖里·凯里21岁,也被判入狱5年。他设计的软件帮助犯罪分子入侵到数千台电脑并窃得重要信息。由于凯利十分擅长利用已故人士的信用卡进行诈骗活动,警方称其为“网络时代的盗墓者”。

独孤求败

高调炫耀只想被抓?

尽管韦柏的辩护律师称这些年轻人建立“犯罪社交网站”并不是为了钱,而是为了出名,但韦柏和托马斯的生活其实一直非常高调,喜欢购买奢侈品,还将诈骗获得的钱财拍照并且发到网上;就连两人暂居马略卡岛期间,也过着十分奢靡的生活。警方表示,韦柏和他的同党共窃取了13万张信用卡账号,数额在1500至1800万英镑(1.5~1.8亿人民币)之间。韦柏、托马斯、凯利被英国法院以诈骗罪判处5年徒刑,其他参与者也被分别量刑。法官约翰·普莱斯对韦柏以及他的同伙表示:“我在量刑的时候考虑到你们都是年轻人,如果你们再大个4、5岁,刑期会比这高得多。”

警方称,韦柏乐在其中是毫无疑问的。他在网上公布的照片里,戴着墨镜,身旁就是手提电脑和成堆的现金。另一张则是他穿着定制服装靠在一辆黑色悍马车上。

他的父亲说他是“年少无知”,还说,儿子一味沉迷在电脑上,是想逃避现实。“他毫不在意地高调炫耀,似乎是想自投罗网。我觉得那是一种很特别的求援。如果不是想被抓,他完全可以不这么抛头露面招摇过市。”

虽然他父亲以家庭混乱为由向法官求情,可是未被采纳。法庭承认他受家庭影响,可是声称他到今年秋天就满20岁,是个成年人了,不能按小孩子的标准来处理。

1.5 南京市政府网络问政平台遭黑客攻击


网站被黑客攻击后的视频截图


本报讯 从昨天上午开始,不断有市民向本报新闻热线反映,称南京市政府的网络问政平台登录不上去,网站上还出现了奇怪的字符。记者昨天就此事向南京市政府服务热线12345进行了反映。发稿前,记者在该网站上看到了一个帖子,称遭到了黑客的攻击。

昨天上午,市民陶先生向本报新闻热线96096反映称,南京市政府的网络问政平台www.njbbs.gov.cn无论如何也登录不了,过了一会再登录,还出现了一些奇怪的字符。“我从11点开始登录,不停地刷新就是上不了。中午吃完饭又继续登录还是不行,从市政府的网站上的链接也登录不了。”

“网络问政就是方便广大网民与政府交流沟通,点击率高是可以想象到的,但是也不至于登录不了啊,怎么说也是政府部门搞的呀?”陶先生告诉记者,网络问政不但满足了市民的知情权和表达权,对于市民提出的问题公开化出现在网络上,形成了一种舆论压力,也促进了一些事情的解决。对于政府这样的惠民便民行为还是很支持的,陶先生甚至怀疑会不会是因为一些市民投诉得多了,甚至在网上胡搅蛮缠,有关部门觉得面子上挂不住了,故意将网站封闭了。

和陶先生有同样投诉的市民也不在少数,本报新闻热线上午下午都接到了不少市民反映网站登录不了的情况。从昨天下午3点钟开始,记者也一直在登录问政平台,但是也是一直登录不了。记者咨询了有关计算机专家,对于这种情况,专家表示,在使用者电脑、网络都正常的情况下,登录不了一个网址,很有可能是对方的服务器关闭,或者是被黑客攻击了,但是黑客攻击也分不同的类型,最好还是跟网站维护方联系确定一下。记者随后向南京市政府服务热线“12345”进行了反映,对方表示会将此事向上级部门反映并给予记者答复。但是截至记者昨晚发稿前,也没有得到有关部门的答复。

记者发稿前,又再次登录了南京网络问政平台的网址,发现网址出现了一则“提示信息”,内容是“论坛被黑客攻击,部分网络发言人的ID被来自英国的IP(可能使用了代理或跳板)的黑客冒用身份并任意胡乱答复。查找原因中,暂时关闭平台。给您带来的不便非常抱歉,请多多谅解!”由于昨天是西方泊来的节日愚人节,在这段信息的最后还特别提示了一句,“不是愚人节的玩笑,特此说明!”然而,对于网址上出现的这则内容,是网站维护人员的“情况说明”还是黑客攻击网站后留下的“杰作”?记者试图与有关部门联系,仍然未能得到答复。

2. 本周关注病毒

2.1 病毒名称:Win32.Snail.b(“蜗牛”病毒)
警惕程度 ★★★★

该病毒是最新新发现的感染型病毒,具有较强的隐蔽性。病毒不像传统感染型病毒那样大面积感染,而是有选择性的感染,而且针对的文件往往是用户使用概率较高的软件。从而增加用户反复中毒的风险。当用户运行被感染的软件后,电脑就会被黑客开后门,从而使黑客对用户电脑具有最高控制权限。

2.2 病毒名称:Backdoor.Win32.GenFxj.ar(软件劫持大盗)
警惕程度 ★★★★

病毒运行后会在电脑中查找是否安装了常用软件,如果有则会替换这些常用软件目录下的文件,将这些软件劫持为病毒的傀儡,利用这些软件本身进程带有合法数字签名的特点绕过绝大多数杀毒软件的主动防御功能。另外,病毒释放的动态库文件大小高达上百兆,导致无法被某些“云查杀”软件发现。最终,病毒会给系统开后门,上传用户隐私文件,下载盗号木马病毒。

2.3 病毒名称:Trojan.Win32.BHO.gcw(木马病毒)
警惕程度 ★★★

该病毒会关闭很多主流杀毒软件,并修改浏览器BHO,然后链接到黑客指定网站下载木马到本机运行。

3. 安全漏洞公告

3.1 Cisco Network Access Control Guest Server RADIUS身份验证绕过漏洞

Cisco Network Access Control Guest Server RADIUS身份验证绕过漏洞

发布时间:

2011-4-2

漏洞号:

CVE-2011-0963

漏洞描述:

Cisco NAC Guest Server提供Cisco NAC设备和Cisco Wireless LAN Controllers的来宾策略的实现。
带有2.0.3版本软件的Cisco Network Access Control (NAC) Guest Server中的RADIUS身份验证软件的默认配置存在权限许可和访问控制漏洞。远程攻击者可以借助未明向量绕过预设的访问限制,使未验证用户访问受保护网络。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b74114.shtml

 

3.2 Ruby on Rails安全限制绕过和SQL注入漏洞

Ruby on Rails安全限制绕过和SQL注入漏洞

发布时间:

2011-4-5

漏洞号:

BUGTRAQ ID: 46292
CVE ID: CVE-2011-0448,CVE-2011-0449

漏洞描述:

Ruby on Rails简称RoR 或Rails,是一个使用Ruby语言写的开源Web应用框架,它是严格按照MVC结构开发的。
Ruby on Rails在实现上存在安全限制绕过和SQL注入漏洞,攻击者可利用安全限制绕过漏洞绕过某些安全限制和执行未授权操作,利用SQL注入漏洞修改SQL请求,完全控制受影响软件,检索信息或修改数据。

安全建议:

厂商补丁:

Ruby on Rails
-------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.rubyonrails.com/

 

3.3 IBM WEBi跨站脚本执行漏洞

IBM WEBi跨站脚本执行漏洞

发布时间:

2011-4-2

漏洞号:

CVE ID: CVE-2010-4476

漏洞描述:

IBM Web Interface (WEBi) 是使用开放标准和支持Web 2.0和AJAX技术的交互性Web客户端。
WEBi在实现上存在安全漏洞,恶意人员可利用此漏洞造成跨站脚本执行。
1)某些输入在返回给用户之前没有正确过滤,可被利用在用户的浏览器中执行任意HTML和脚本代码。
2)其他未明细节的漏洞。

安全建议:

厂商补丁:

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.ers.ibm.com/

 

3.4 IBM Tivoli Directory Server多个安全漏洞

IBM Tivoli Directory Server多个安全漏洞

发布时间:

2011-4-2

漏洞号:

CVE ID: CVE-2010-4476

漏洞描述:

IBM Tivoli Directory Server是企业身份管理软件。
IBM Tivoli Directory Server在实现上存在多个漏洞,可被恶意用户利用泄露敏感信息和造成拒绝服务控制受影响系统。
1)应用程序捆绑了受影响版本的IBM Java。
2)处理某些请求时ibmslapd.exe中存在错误,可造成栈缓冲区溢出。
3)在配置了后端服务器时审计扩展操作时TDS代理服务器在审计日志的纯文本中储存了用户的密码。

安全建议:

厂商补丁:

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.ers.ibm.com/

 

3.5 IBM AIX LDAP身份验证绕过漏洞

IBM AIX LDAP身份验证绕过漏洞

发布时间:

2011-4-2

漏洞号:

 

漏洞描述:

AIX(Advanced Interactive eXecutive)是IBM开发的一套UNIX操作系统。它符合Open group的UNIX 98行业标准(The Open Group UNIX 98 Base Brand),通过全面集成对32-位和64-位应用的并行运行支持,为这些应用提供了全面的可扩展性。它可以在所有的IBM ~ p系列和IBM RS/6000工作站、服务器和大型并行超级计算机上运行。
AIX在身份认证的实现上存在安全漏洞,远程攻击者可利用此漏洞以错误的密码通过身份验证。
利用此漏洞需要/etc/security/ldap/ldap.cfg文件中的"authtype"设置为"ldap_auth". 另外,如果用户没有自己的stanza或用户需要在/etc/security/user文件中具有"SYTEM = "LDAP or compat"属性,默认stanza需要设置为"SYTEM = "LDAP or compat"。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.ers.ibm.com/