当前位置: 安全纵横 > 安全公告

一周安全动态(2011年06月16日-2011年06月23日)

来源:安恒信息 日期:2011-06

2011年6月第三周(06.16-06.23)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 美国参议院官方网站遭黑客攻击 文件被窃

一个名为鲁兹安全(Lulz Security)黑客组织在自己的网站上宣布对美国参议院内部网络进行了攻击。

俄媒转引报道称,黑客公布了一份大约是从参议院服务器窃取的很长的文件清单,并表示这仅仅是其获得内部资料的“一小部分”。在声明中该黑客组织称:“我们非常不喜欢美国政府。他们的船已经脆弱不堪,他们的笑话已不好笑,他们的网站保护的也不好”。参议院方面证实了网站遭攻击一事,并称计算机安全处这就此事展开调查。计算机安全处则表示,黑客攻击带来的损失微乎其微,参议院内部网络中的数据受到良好保护。

此前,鲁兹安全黑客组织曾攻击了美国联邦调查局分部的一个服务器以及索尼公司的网站。此外,因不满播放批评维基解密创办人的影片,鲁兹安全黑客组织还攻击了美国公共广播事务局公司网站。

1.2 IMF、花旗遭骇客入侵:调查仍在继续之中

正因卡恩性丑闻辞职而陷入新总裁之争“内忧”的国际货币基金组织(IMF),最近再次遭受网络骇客入侵的“外患”打击。

上周纽约时报援引匿名消息源率先披露:IMF在最近几个月中遭受了非常严重的网络攻击,IMF直到6月8日才向其执委会成员及内部员工通报了此次骇客入侵事件。

IMF新闻发言人大卫·霍利(David Hawley)6月10日表示,IMF的运营已恢复正常,并正在对骇客入侵事件进行调查。

6月13日,本报记者就骇客入侵事件调查的最新进展向IMF求证,IMF表示“调查仍在继续之中”,本报截稿为止,IMF未能透露相关细节。

与IMF一街之隔的世界银行总部,同样也因为此次IMF骇客入侵事件受到牵连。作为布雷顿森林体系的两大支柱,世行与IMF向来关系密切,双方的部分数据库可以信息共享。所以当IMF遭遇骇客入侵的消息传出之后,世行一度断开与IMF的网络连接以求自保。但世行表示,目前网络连接已经恢复正常。

IMF是欧洲债务危机的“拯救者”之一,5月份通过了未来3年内向葡萄牙提供260亿欧元贷款的计划。这也正是IMF遭受骇客入侵的时段,所以骇客是否窃取IMF相关信息并用于牟利,已引发各方的关注。

IMF骇客入侵事件并非偶然,最近几个月美国连续出现重大骇客入侵事件。

5月28日,洛克希德·马丁公司遭受严重网络攻击,该公司是美国国防部最大的军工承包商之一。

5月30日,美国PBS电视台网站遭骇客入侵,在其主页上发布了一些虚假报道。

6月1日,谷歌披露其Gmail邮件系统遭受攻击,数百邮件账户遭入侵,涉及到一些来自美国政府、军方的Gmail邮件用户。

而在6月8日,美国花旗银行证实该银行系统遭侵,大批信用卡持有者的信息被盗取。据估计,花旗约1%的信用卡持有者受到该入侵事件的影响,将近20万用户的姓名、账号以及电子邮箱地址等联系方式被骇客盗取,但用户的出生日期、社会安全号、信用卡过期日及安全密码等信息没有被盗取。花旗称已将此事交由司法部门调查处理。

频繁发生的网络攻击事件已引起美国政府的重视,美国总统奥巴马在上月宣布将出台一部新的网络安全立法,以保护美国重要基础设施和网络系统。这项网络安全立法将加大对互联网犯罪行为的惩罚力度,并要求一些核心企业随时向美国国土安全部汇报“重大网络安全事件”。

奥巴马还在寻求国际合作来确保网络安全 ,白宫5月份发布了《网络空间国际策略》。该文件要求在执法领域加强网络立法和执行力度,提高全球打击网络犯罪的能力,如得到各国认可,将有助于美国执法人员“越界”追缉骇客。

1.3 黑客近期活动猖獗 微软甲骨文等狂打“补丁”


如果您是一名微软Windows操作系统,请您务必注意本月的补丁。6月15日消息,微软本周二发布了16个安全公告资讯,共发布34个安全漏洞,其中有9项被列为“紧急”强度。

据悉,微软一直有每个月第二个星期二进行安全更新的惯例,但本次更新发布补丁数量之多,的确令人“发指”。

按照媒体报道中的解释,近日网路黑客活动猖獗,索尼、任天堂、花旗银行、甚至美国参议院的网站都遭到黑客的入侵。因此各大软件商都不敢怠慢,将安全漏洞的修补当作一大要务,微软windows作为全球最大的桌面操作系统更是紧张。

微软强调,,本周二发布的安全补丁当中,最重要的包括了Windows操作系统自身、IE浏览器、SMB共享客户端、以及分散式档案系统等方面的更新。

为了让用户更相信系统更新能够有效的提高安全防护顶级,微软公布了一项相关的调查数据,数据显示,今年二月一项针对自动播放功能所作的重要安全更新发布之后,受到病毒感染的电脑数目显着下降。

而除微软外,软件大厂Adobe也加入了“补丁修补大赛”。Adobe针对Flash播放器Shockwave播放器、Acrobat及Adobe Reader均发布了安全更新,这个月稍早时甲骨文也为Java SE修补了17个安全漏洞。

1.4 近来黑客活动频繁 谁是幕后策划者?

几乎每天都有一条计算机被黑新闻报道。昨天是一家视频游戏公司和美国参议院数据库遭攻击,今天又可能是美联储被黑。毋庸置疑,新一轮攻击正在酝酿中,黑客对不同目标采取不同攻击措施。大家不禁要问,谁在幕后领导这些计算机攻击,其目的何在?下面的解疑答惑将就此作出回答:

Anonymous是何方神圣?

最近,Anonymous因其活跃性及公开表示甚或预先通知对网站的攻击而声名鹊起。Anonymous是一个分散式组织,负责组织发起分布式拒绝服务(DDoS)攻击、致使被攻击网站关闭,尤其支持言论自由。之前攻击过的目标包括科学教派、BMI、埃及和伊朗政府及保守派亿万富豪查尔斯(Charles)及大卫·科赫(David Koch)麾下公司。Anonymous还对安全公司HBGary Federal发动大规模攻击,据说该公司曾与美国联邦调查局(FBI)合作识别Anonymous领导人身份。

Anonymous去年曾对PayPal、Visa和MasterCard发起系列有效攻击,原因是上述公司封杀通过其支付方式向泄密网站 WikiLeaks的捐款。消息人士向CNET透露,去年晚些时候,一名16岁会员在荷兰被捕;今年1月,5名年龄在15-26岁之间的成员在英国被捕;美国发出逾40张逮捕令。之后,Anonymous遭遇成员减少,其指导方向和组织参与方式也发生剧烈改变。据悉,其成员身份已在互联网上泄密。由于该集团反政府情绪强烈、政治观点偏激,被部分人士称为黑客活动家。目前尚不清楚有多少人参与他们的“运作”,因为其系统只允许信任的人员参与。

Anonymous最近攻击目标及原因

Anonymous最近对索尼发起大规模攻击。为报复索尼将数位PS3黑客告上法庭,Anonymous于4月初对数家索尼网站发起DDoS攻击。PS3“修改者”乔治·霍茨(George Hotz)与索尼最终达成庭外和解,但黑客对索尼的攻击仍在继续:对PSN攻击导致7700万客户纪录外泄;对索尼在线娱乐(SOE)攻击造成逾2400 万客户纪录外泄。尽管Anonymous承认对第一次DDoS攻击负责,表示自己并非PSN和SOE攻击的幕后策划者,也不对其它索尼攻击事件负责,但索尼认为Anonymous难与攻击事件脱掉干系。上周,西班牙警方逮捕3名涉嫌参与Anonymous活动的嫌疑分子,Anonymous成员通过攻击西班牙国家警署网站进行报复。土耳其颁布新互联网过滤法后,Anonymous发起攻击,关闭土耳其政府网站。数天后,土耳其警方于本周逮捕32人,其中包括8名青少年。昨天,Anonymous计划今天对美联储网站发起攻击。

LulzSec庐山真面目

LulzSec今年5月初突然冒出。消息人士向CNET透露,LulzSec是从Anonymous队伍中分离出来的,但没有为自己打出政治口号或披上道义外衣。LulzSec是LOL(大声笑)与security(安全)两词的缩写,其动机就是为了追求刺激与娱乐。该集团在Twitter上对攻击目标百般嘲弄。今天表示将接受被黑目标请求:“选定一个目标,我们就会让它消失。请在Twitter上为我们设定目标。”

LulzSec攻击目标

LulzSec今年5月份公开表示对福克斯电视节目“X Factor”网站攻击,在披露内部数据时,参赛选手个人资料外泄。LulzSec还表示对索尼音乐日本网站、Sony Pictures、Sony BMG比利时和荷兰网站、索尼计算机娱乐开发者网络及Sony BMG网站被黑负责。

上月底,LulzSec攻击PBS.org网站、外泄密码,并在该网站上发布一篇恶搞文章,声称已故RAP歌手图帕克·沙克(Tupac Shakur)和Biggie Smalls仍活在世上,目前居住在新西兰。该集团声称其目的是惩罚PBS对WikiLeaks的告密,并表示对该告密者网站有成见。LulzSec还将任天堂和FBI合作伙伴Infragard确定为被黑目标,让FBI难堪。LulzSec表示,之所以对Infragard采取行动是因为奥巴马政府制订了一个将网络攻击定为战争行为的计划。在Infragard站点上的密码中,有一个为僵尸网络跟踪公司Unveillance CEO使用的密码。该CEO向CNET表示,黑客使用该密码阅读其电子邮件、窃听电话会议,并威胁他提供金钱和僵尸网络数据。感染僵尸病毒的计算机通常被用于发送垃圾邮件、发动DDoS攻击。

LulzSec最近公开窃取的美国参议院网站数据,并发布通过游戏公司ZeniMax Media子公司Bethesda Softworks窃取的数据。LulzSec最近还攻击了英国国民健康服务网站。LulzSec并未公开信息,但向该机构发送了一封电子邮件提出警告,然后向公众公开一份经过编辑的电子邮件。

Idahc身份揭秘

Idahc是一名对索尼攻击负责的黑客,是一名18岁黎巴嫩计算机科学系学生。他在接受福布斯采访时说,他做黑客的目的是为了“公正”。目前他正在督促组织改进其网站的安全性。他说:“我做黑客的目的不是为了好玩,而是为了道义。”他认为LulzSec集团是“黑帽子”黑客,即罪犯,而自己则是 “灰帽子”黑客。

Idahc攻击目标

Idahc表示已窃取索尼爱立信加拿大电子商务网站2000条纪录,外泄一个索尼欧洲数据库,攻击索尼葡萄牙站点。与此同时,还有许多效仿者也对索尼发动攻击。化名为“k4L0ng666”的黑客对攻击Sony Music印尼网站负责;“b4d_vipera”声称对Sony BMG希腊站点被黑负责。

最近发生的其它大规模攻击目的何在?所有攻击是否都相关?

过去数月曾发生一系列计算机被黑事件,但并非都有关联。Anonymous和LulzSec针对索尼及其它公司发动的攻击是暴露其安全缺陷、使被攻击目标难堪并公开表示对攻击负责,其它类型的攻击则更为恶毒。

例如,花旗银行和国际货币基金组织(IMF)最近遭到攻击。报道曾猜测IMF被黑是一家外国政府所为,目的是获得可能影响金融市场的内部信息。目前尚不清楚花旗银行攻击事件的幕后策划者。

RSA今年3月份曾警告客户其系统被黑,与SecurID双向认证设备相关的数据被窃。

Google本月初表示已挫败一起旨在窥探美国政府官员、新闻记者、政治活动家电子邮件账户的攻击。

电子邮件服务提供商Epsilon遭遇攻击后,促使花旗银行、大通银行、Capital One、沃尔格林、Target、百思买、TiVo、TD Ameritrade和Verizon等大公司警告客户电子邮件地址外泄。

3月份,有人窃取Comodo注册机构数字认证,愚弄Google、雅虎、Live.com和Skype站点。一名21岁的伊朗爱国青年对该攻击负责,声称此举是对美国政府的抗议,对去年Stuxnet恶意件或关闭伊朗核计划实施报复。

1.5 “如果你关掉我们的电网,我们也许会向你们的烟囱里发射一枚导弹”----美军网络战概念“升级”的背后



美军网络战司令部宣布成立后,已于2010年10月开始全面运作。
图为美空军网络战司令部工作场景。



每年都会有大批神秘黑客赶赴美国拉斯维加斯,参加全球最大规模的黑客盛会。
图为2009年黑客大会现场。



伊朗核设施在“震网”病毒袭击中损失有多大,至今仍是一个谜。
图为伊朗布什尔核电站的技术人员正在工作。

 

近日,美国五角大楼出台了一份关于网络战争的新战略文件。根据这一新战略,从外国向美国计算机系统发起的攻击将被视为战争行为,美国将对此类攻击进行包括传统军事打击在内的报复。这一事态再次表明,在互联网迅猛发展的今天,美国正以一系列战略举措试图独占全球网络空间霸主地位,并一手制定网络战争游戏规则,以抢占未来网络战争制高点。这一事件也在提示我们:虚拟战场上的暗战与博弈正在向更高的形态发展,面对新的挑战,我们必须做出新的战略考量,“升级”我们的应对之策。

高调宣布“网络攻击就是战争” 美军网络战概念再次“升级”

人类以什么方式生产,就会以什么方式作战。美国“智库”兰德公司断言:工业时代的战略战是核战争,信息时代的战略战主要是网络战。

互联网缘起于美国,美国也是最早关注网络安全问题的国家。上世纪90年代,美军就率先提出网络战概念,并开始进行网络战的研究与实践,以夺取未来信息战主动权。2002年,美国总统布什签署“国家安全第16号总统令”,要求美国国防部牵头制定网络战战略,开始从战略高度研究网络战。2003年,美国公布了《确保网络空间安全的国家战略》,对未来国家安全战略指导和网络安全管理机制产生了深远的影响。

奥巴马政府执政以来,美军的网络战略呈现加速推进之势。2009年4月,美国国防部长盖茨在宣布新年度国防开支预算时,宣布包括停产F-22战机等一系列的缩减开支计划,使美国军购进入“阴霾时期”;然而与之形成鲜明对比的是,在网络战方面,他们却特别强调要增加网络专家的编制,加强网络战部队的建设。同年6月,盖茨正式下令组建网络司令部,以统一协调保障美军网络安全和开展网络战等与电脑网络有关的军事行动。

去年5月,美国高调宣布网络司令部成立,并于11月正式投入运转。据评估,目前美军共有3000-5000名信息战专家,5-7万名士兵涉足网络战。如果加上原有的电子战人员,美军的网战部队人数应该在8.87万人左右。这意味着美军网络战部队人数已经相当于7个美军最精锐的101空降师的兵力。

为了提高美军的网络战能力,美军分别于2006年、2008年和2010年举行了三次“网络风暴”系列演习。尤其是“网络风暴Ⅲ”演习,是美军网络司令部成立后进行的首次跨部门大型演习,模拟了“一些关键基础设施遭受大型网络攻击”的情景,模拟事件的想定竟然多达1500起以上。

今年5月16日,美国更是将其网络战略推向了一个新的高度,公布了一份题为《网络空间国际战略》的文件。这份文件称美国将通过多边和双边合作确立新的国际行为准则,加强网络防御的能力,减少针对美国政府、企业,尤其是对军方网络的入侵。在这份文件中,美国高调宣布“网络攻击就是战争”,表示如果网络攻击威胁到美国国家安全,将不惜动用军事力量。美国保留一切回应重大网络攻击的所有必要方式,包括外交、信息技术、军事和经济手段。

用一个“战略”支撑另一个“战略”美军不会打无准备的网络战

美国的这份《网络空间国际战略》真是有点“冒天下之大不韪”的味道,一时间舆论哗然。国际媒体纷纷做出评论,指责美国在互联网上的“霸权主义”。但是美国从来不会打没有准备的战争,其实在《网络空间国际战略》之前,美国于今年2月15日还曾出台一份文件——《国防网络安全战略》,该战略是美军网络司令部成立以来出台的第一份总纲式文件,鲜明提出了以五大支柱全面推升美军网络战能力:

一是将网络空间看作与陆海空天一样重要的作战领域。早在2005年,美国国防部已明确将网络空间与陆、海、空、太空定义为同等重要的、需要美国维持决定性优势的第5空间。2009年,美军更是提出:“21世纪掌握制网络权与19世纪掌握制海权、20世纪掌握制空权一样具有决定意义。”

二是采用主动的网络防御措施和其他新型防御方法。美国网络司令部强调,必须发展出有效的探测、监控、攻击能力,积极探讨“跨境先发制人”的可行性。所谓“跨境先发制人”,即在侦测到对方计算机里有针对美国的间谍软件时主动出击并删除之;或以瘫痪对方关键信息基础设施为筹码,威慑并遏制对方可能对美国发动的攻击。

三是在国家网络安全战略上,与政府机构和私营部门进行协作。美军专家认为,应对网络威胁要靠团队合作来解决,在美国举行的“网络风暴”系列演习中,均有地方政府甚至企业集团参与其中。在“网络风暴Ⅲ”演习中,参演的数千名网络安全专家,来自美国的11个州、60家私营企业,涉及金融、化学、通信、水利、防务、信息技术、核能、交通和水资源行业。

四是加强与国际伙伴的联系。网络战既是真实的战争,又是西方大国推行所谓“颜色革命”这一新冷战的重要工具。去年9月,在布鲁塞尔北约总部,美国国防部副部长威廉·林恩三世指出,北约盟国应该建立一个与跨大西洋联盟相重合的“网络盾牌”,并将这一“数字盾牌”和自冷战时期沿袭下来的北约“核盾牌”相提并论。

五是招募一支网络安全队伍。1993年,美国国防大学率先成立了旨在培养信息战人才的信息资源管理学院,首批16名学员被称为第一代计算机网络战士。2005年,美国防部建立专门的“黑客部队”,并组建了世界第一支具有实战意义的网络信息战部队,其中一个重要的作战手段就是利用间谍软件对别国网络系统进行控制。

网络技术的军事运用呈“井喷”之势美军加紧抢占网络军事制高点

美国接连出台的互联网政策文件凸显“两手战略”,一方面以所谓“网络自由”作为其全球外交的重要辅助手段,继续在西亚北非等地政治风波中呼风唤雨;另一方面以“网络安全”为由积极研发网络战技术装备、发展新型网络战武器,用以打压竞争对手、维护自身安全。

目前,在“太空互联网路由”计划的关键技术上,美国已开发出太空路由器技术。其目标是将IP路由器安装到地球同步卫星或相关航天器上,使互联网能力延展到太空。“太空互联网路由”可以规避地面光纤网络带来的诸多问题,从而有效地保证了互联网的无缝链接、安全联通。去年1月,该计划的首个互联网路由器通过了在轨验证,表明美国已初步具备经由太空的互联网信息传输能力。

在积极研发网络防御技术的同时,美国还在同步研发新型网络进攻武器。有报道说,美军研制出的网络武器已达2000多种。还有报道称,美国国防部已制定了一份网络武器和工具清单,这份清单将网络武器的使用分为全球、区域和敌对地区3个等级,为美国如何开展网络战争提供了依据。实际上,美国已将部分网络战争武器投入使用。据悉,去年为了使伊朗核设施瘫痪,美国就向伊朗相关计算机系统植入了“STUXNET(震网)”病毒。尽管美国官方对此不予承认,但许多信息专家对此深信不疑。

美军加紧抢占网络军事制高点,又一次将网络战推到了“风口浪尖”。他们的行动也在提示我们:为了维护国家的网络空间安全,必须加紧“网络国防”建设,加快“网络强军”步伐,大力提升网络空间作战能力。目前,我国虽然已经发展成为一个网络大国,但网络安全防护方面还很薄弱。为此,必须加快网络空间作战技术和装备建设,着手建立“网防”机制,强化“网防”力量,推进我国“网防”建设,全面提高我军保卫“网络边疆”的能力,牢牢掌握网络空间安全的话语权、主动权。


2. 本周关注病毒

2.1 Trojan.PSW.Win32.QQPass.fih(黑洞后门)
警惕程度 ★★★

该病毒运行后会在后台监视用户的输入,伺机窃取用户的QQ号码及密码,并发送给黑客。

2.2 Backdoor.Win32.BlackHole.yd(黑洞后门)
警惕程度 ★★★

这是一个后门病毒,病毒运行后,利用游戏作弊器进程进行伪装,使用户在查看进程时,迷惑用户。随后,用户电脑的将成为黑客手中的一台肉鸡,黑客通过远程控制可以对用户电脑进行屏幕监控、摄像头偷拍等操作,并且电脑中的所有信息将完全暴露给黑客,给用户的账号密码、隐私信息安全造成极大危害。

2.3 Backdoor.Win32.KfBack.fx(偷窥后门)
警惕程度 ★★★★

该后门病毒使用图片图标进行伪装,借助近期网上流传的艳照进行传播。病毒运行后,会替换系统中无用的服务隐藏自己,十分隐蔽。为不让用户手工查杀,该病毒会修改注册表设置,无法通过“控制面板-服务”程序来结束此服务。同时监控注册表的线程,强制设置使用户修改无效。最后,病毒会接收黑客指令,盗取用户电脑中的个人图片、账号密码、监控摄像头,使电脑被黑客完全控制。

 

3. 安全漏洞公告

3.1 Linux Kernel DCCP选项长度远程拒绝服务漏洞

Linux Kernel DCCP选项长度远程拒绝服务漏洞

发布时间:

2011-06-14

漏洞号:

CVE-2011-1770

漏洞描述:

Linux Kernel是开放源码操作系统Linux所使用的内核。
Linux Kernel中存在远程拒绝服务漏洞。该漏洞是由于处理无效DCCP选项长度时,DCCP(Datagram Congestion Control Protocol)实现中的整数下溢错误导致的,远程攻击者可利用此漏洞造成内核崩溃,拒绝服务合法用户。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://lists.fedoraproject.org/pipermail/package-announce/2011-June/061366.html

 

3.2 Sybase EAServer HTTP Server目录遍历漏洞

Sybase EAServer HTTP Server目录遍历漏洞

发布时间:

2011-06-14

漏洞号:

CVE-2011-2474

漏洞描述:

Sybase EAServer是高性能、可伸缩、安全、开放的应用服务器,适用于使用多层架构的电子门户和互联商务解决方案。
Sybase EAServer 6.3.1 Developer Edition的HTTP Server中存在目录遍历漏洞。远程攻击者可借助路径中的“/.\../\../\”序列读取任意文件。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://downloads.sybase.com

 

3.3 HP OpenView Storage Data Protector代码注入漏洞

HP OpenView Storage Data Protector代码注入漏洞

发布时间:

2011-06-13

漏洞号:

CVE-2011-1864

漏洞描述:

HP OpenView Storage Data Protector是可扩展的数据管理解决方案,实现基于磁盘或磁带的高性能备份和恢复功能。
HP OpenView Storage Data Protector 6.0,6.10和6.11版本中的未明错误导致产生代码注入漏洞。远程攻击者可利用此漏洞通过受影响应用程序执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://h20566.www2.hp.com/portal/site/hpsc/public/psi/home/?sp4ts.oid=3241

177

 

3.4 Fex文件上传安全绕过漏洞

Fex文件上传安全绕过漏洞

发布时间:

2011-06-13

漏洞号:

CVE-2011-1409

漏洞描述:

Fex中存在安全绕过漏洞。该漏洞源于在上传文件时,应用程序没有正确验证“auth-ID”的扩展。远程攻击者可利用此漏洞绕过认证机制。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://lists.debian.org/debian-security-announce/2011/msg00129.html
http://fex.rus.uni-stuttgart.de/fex.html

 

3.5 Sybase OneBridge Mobile Data Suite格式化字符串漏洞

Sybase OneBridge Mobile Data Suite格式化字符串漏洞

发布时间:

2011-06-10

漏洞号:

CVE-2011-2475

漏洞描述:

Sybase OneBridge Mobile Data Suite是帮助企业在多种移动设备上扩展应用到一线雇员的灵活移动解决方案。
Sybase OneBridge Mobile Data Suite 5.5和5.6版本中存在格式化字符串漏洞,远程攻击者可利用此漏洞在服务器进程中执行任意代码。
此漏洞源于默认在TCP端口993(IMAP)和端口587(SMTP)上监听加密请求的iMailGatewayService服务器进程(ECTrace.dll)中。进程在转到身份验证登录函数之前没有正确过滤畸形用户字符串输入。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.sybase.com/detail?id=1092074