当前位置: 安全纵横 > 安全公告

一周安全动态(2011年10月20日-2011年10月28日)

来源:安恒信息 日期:2011-10

2011年10月第四周(10.20-10.28)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1、安全新闻

1.1 网银欺诈导致日本银行半年内损失2700亿日元

国际在线专稿:据《今日日本》10月19日报道,日本国家警察厅(National Police Agency)日前证实称,从4月至今半年时间内,网络银行欺诈已经给日本造成2700亿日元(约合225亿元人民币)的财政损失,创历史最高纪录。日本共有53家银行机构受到“网贼”重创。

家警察厅在一份报告中称,许多日本网络银行机构被黑客列入欺诈目标,黑客欺诈的手段就是通过网络钓鱼欺诈(phishing scams)和间谍软件。这种间谍软件通常都以电子邮件附件的形式发出,感染电脑并搜集电脑用户的私人信息,比如身份证和密码等,而电脑用户对此却并不知情。然后,“网贼”会利用这些信息偷取电脑主人网上银行中的存款。仅索尼和乐天市场(Rakuten)的账户上就被非法取走2000万日元(约合166万元人民币)。

日本国家警察厅一名发言人呼吁民众采取措施,保护他们的电脑免受间谍软件攻击。网络安全专家推荐用户在进行转账时,在网络银行上使用一次性密码。这种密码的有效时间只有一分钟,因此即使客户的账户和密码被偷,“网贼”也无法获得账户里面的钱。与固定密码不同,客户每次登陆账户时,一次性密码都会发生改变。

 

1.2 甲骨文修复56个漏洞 涉及数据库等多款产品

北京时间10月19日,据国外媒体报道,日前甲骨文为即将发布的十月份安全更新向用户发送通知。该公司称此次更新共修复五十六个漏洞,涉及数据库,应用服务器和 Fusion 中间件平台等多款产品。此次更新还将包含大量的 Sun 产品。

此次更新中与 Fusion 中间件平台有关的漏洞能够被攻击者利用,远程控制服务器而无需用户名和密码。与 Oracle E-Business 套件有关的漏洞能够被远程利用而无需授权认证或者用户许可。在22个针对 Sun 产品的更新中,有九个针对的是可被远程利用的漏洞。被修补的组件包括 Solaris,GlassFish Server,Sparc T3 平台和 Oracle 统一通信平台。Oracle 的 Linux 6 平台的远程操纵漏洞也会被修复。

补丁的发布紧随2011Oracle 开放世界大会。在此次大会上,该公司发布了多款新产品,包括 Exalytics 和 Big Data 数据库,云服务以及大量 Java 更新。

 

1.3 iPhone4S成钓鱼网站诱饵

iPhone4S被热炒,钓鱼网站也纷纷盯上了急于购入新装备的“果粉”。少量iPhone4S上周末刚到京,价格就已经飙至2万元,比预期高出一倍。而同样受iPhone4S热潮催化而生的钓鱼网站,从10月10日到14日的5天时间里就达到94个,而这些钓鱼网站多是以超低价格、限时销售等噱头吸引“果粉”上钩作为其主要的欺诈方式。

作为乔布斯在世的最后一款iPhone,iPhone4S在“果粉”心中具有特殊的纪念意义,再加上人们对“新苹果”翘首以待多时,使得iPhone4S首日预订数量就超过100万部。

面对如此具有吸引力的市场,钓鱼网站又活跃开来。记者昨天浏览网页发现,专门销售iPhone4S的网站明显增多,其中很多售价只有1000元——3000元,不少还标注了“此价剩余时间”,进行抢购倒计时。

业内人士透露,通常情况下,以超低价卖苹果产品的网站都是钓鱼网站。他们之所以限定购买时间,除了刺激消费者的购买欲望之外,还因为他们的服务器并不稳定,生命周期很短,往往用一周左右的时间卷钱就走。

●温馨提示

网络安全专家提示,在购买售价异于常规售价的商品时一定要提高警惕,不要轻易点击陌生人发来的链接,并且最好能安装一款安全软件。。

 

1.4 巴西总统府网站再遭黑客侵入中断4小时

新华网巴西利亚10月13日电(记者刘彤)巴西总统府13日宣布,黑客当日侵入了总统府网站。这是自今年6月以来,巴西总统府网站第二次遭黑客“光顾”。

总统府新闻发言人莫塔透露,黑客13日凌晨入侵总统府网站的博客栏目,张贴了一张巴西利亚前一天举行集会的照片,并写下一些要求政府终止官员腐败行为的留言。

莫塔说,为了清除这些内容,总统府网站的运作被迫中断了4个小时。他表示,总统府网站的其他内容未受到影响,相关部门已经就此事件展开调查。

6月22日,一个自称为“卢尔兹安全”的黑客组织对总统府、参议院等网站发动攻击,但据称被安全防护系统及时发现并予以挫败。此后,巴西政府曾要求各官方网站提高警惕,强化自我安全保护措施。

 

1.5政府云计算隐现——但云究竟有何用处?

【10月19日外电头条】地方政府CIO:“这东西到底是干啥用的?”

尽管已经有一段时间音信全无,但G Cloud计划如今已经再次回到政府的IT议事日程当中。

在2009年4月发布的政府机关“数字化进程”白皮书中,为地方部门提供云计算服务的正式框架构建意见首次公布。然而该计划仅仅保持了一段时间就被束之高阁,内阁办公室也不再对其进展发表任何评论。尽管已经有不少地方政府部门在云服务方面表现出高涨的热情,但这一中心规划仍然处一地无限搁置状态。

这一情况直到上周才有所转变,经过内阁办公室证实,该部门即将针对云服务推动一项短期的框架采购计划——这是此计划停滞九个月以来的首次复苏——对象涵盖了基础设施、平台、软件及云支持服务等。这在很大程度上可以卸任一次试水性动作,内阁办公室打算以此为契机在明年广泛开始长期性框架普及活动。问题在于,到底有多少供应商及政府部门客户具备测试G Cloud的潜力?

来自供应方的反响非常热烈,IT行业协会Intellect就表现出了对该计划的欢迎与支持。其公共事务部门负责人Surreya Cansoy表示:“我们将此视为政府在技术引进方面的重大变革,公共部门给了我们为其提供创新型产品及服务的机会。业界长期以来一直坚持的云技术确实能够带来种种收益,而且我们也相信政府此次敞开大门的行为能够迎来更多灵活性强、成本较低的上佳解决方案。”

“新的云服务框架应该会对整个系统的开发性及灵活性提升有所助益,并使得当前的从业人士能够与政府分享他们的想法与产品,进而鼓励新的供应商进入市场。政府采购行为无疑将使企业受益,而企业也将凭借良好的营运能力为政府提供更理想、理念更契合的创新型产品。”

但也有人质疑即使是对那些对云技术有浓厚兴趣的公共部门买家来说,当今的卖点似乎也还不够清晰。来自公共部门IT智能专家Kable的首席分析师Chris Pennell就认为,目前还看不到这方面的强劲吸引力。

“在宽松的规则之下,只有更具责任心及勤勉态度的供应商才能按照自己的承诺拿出与能力相符的合格产品,而这绝对不会是一蹴而就的事情,需要漫长而复杂的演化过程,”他指出。“而作为消费者的政府也会更加关注服务水平协议中的各项条件及条件,或者至少保持审慎的处理态度,因为这意味着其整套业务流程都将被迁移到全新的平台之上。”

“此外,该框架还不具备相应的营销预算或者任何品牌及沟通方面的战略。鉴于此前从未有过包含这些强制要求的合同,许多机构在这方面可能也不会加以重视。将框架小规模引入非关键性业务只能被视为一种测试,这种低端服务无法真正带来变革;相比之下,让客户完全依赖自己所采购的云服务产品才是重中之重。”

“这套框架在短期内可能确实会一些买家前来试水,但它需要拿出令人信服的实践经验及更多长期合同,才有机会脱离那些无关痛痒的常规功能,真正被大范围推广到政府事务处理流程中去。”

我们也听到了一些来自地方政府云计算计划倡导者们的质疑之声。例如现任埃塞克斯郡座谈会首席信息官的David Wilde就对其曾供职的威斯敏斯特市议会引进云基础设施一事发生了重大态度转变。尽管在埃塞克斯也提出了类似的长期规划,但他仍然提出问题,希望了解到底哪些地方政府适合引入G Cloud方案。

“市场上的某些云产品已经证实是被过分夸大了的,尤其是围绕核心桌面的相关项目,因此当我们面对G Cloud时,心中的疑惑自然难以消除,”Wilde如是说。

“第一个问题就是,‘G Cloud与PSN(即公共交换网络)之间到底有什么关系?’在这方面我仍然充满怀疑。我能得到PSN却用不到G Cloud。这到底是一款能让我们无需全面执行采购流程即可获得云管理服务的框架协议,还是只是一种无聊且相当复杂的、并不能真正让政府买单的辅助手段?”

“至今我还没有得到确切的答复。如果没有强大的竞争力作为保障,并对地方政府做出严格意义上的法律承诺,我们是不可能花几十万美元引进这种产品的。”

他还指出,中央政府代表着权力中心,但地方政府的根基则来自选举;因此盲目响应前者的需求很可能给后者带来造成法律问题的风险。

另一个实质性问题是,地方政府在服务提供者方面扮演着更为重要的角色——在中央机关中,只有税务及海关司以及劳动与养老保障部门具备同等的面向民众功能——而议会的作用则以一种另类方法对地方部门加以控制,类似于合资企业及外包公司的运作状态。根据Wilde的意见,目前G Cloud要如何应对这些特殊模式的管理及传达还没有明确的答案。

“告诉我G Cloud到底能干啥?”Wilde问道。“我希望能从内阁办公室及政府采购服务部门得到确切的回应。”

鉴于他作为最早一批云技术拥护者的身份,上述情况表明G Cloud真正成为服务资源的一部分还有很长的路要走。在此之前,花时间磨合并通过一到两个过渡框架进行实践验证是不可或缺的必经阶段。


2、本周关注病毒

2.1 DL.Win32.Undef.tke(木马病毒)
警惕程度★★★

这是一个病毒下载器,病毒运行后链接黑客指定的病毒下载列表,随后根据这个下载地址列表下载很多流氓软件和病毒。

2.2 Trojan.Win32.KillAV.cwp(木马病毒)
警惕程度★★★

该病毒运行后试图关闭多种杀毒软件,访问黑客指定的网站,下载木马病毒到本地执行。病毒会遍历系统中的可移动存储设备(U盘、MP3、移动硬盘等),并向这些设备中写入自动运行的脚本,用户使用这些带毒设备后就会被感染。

2.3 Backdoor.Win32.Hupigon.aq(灰鸽子后门)
警惕程度★★★★

病毒通过将自身伪装成Windows自带播放器的文件,以达到隐藏和保护自己的目的。病毒运行后,首先复制自身到「开始」菜单\程序\启动”文件夹,并更名为Windows Bets,实现开机启动。病毒在运行过程中悄无声息,用户察觉不到任何现象。随后,病毒悄悄开启后门,导致用户隐私完全暴露在黑客面前。

 

3、 安全漏洞公告

3.1 phpPgAdmin 多个跨站脚本攻击漏洞

phpPgAdmin 多个跨站脚本攻击漏洞

发布时间:

2011-10-18

漏洞号:

 

漏洞描述:

phpPgAdmin是一款基于PHP开发的免费软件包,为PostgreSQL数据库管理提供图形界面。

phpPgAdmin 5.0.2及之前版本中存在多个跨站脚本攻击漏洞。由于用户提供的输入没有经过正确的过滤,攻击者可利用该漏洞窃取基于cookie的认证证书,并在受影响站点上下文中的不知情用户的浏览器中执行任意脚本代码,或其他攻击。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://freshmeat.net/projects/phppgadmin/releases/336969

 

3.2 phpMyAdmin phpmyadmin.css.php完全路径泄露漏洞

phpMyAdmin phpmyadmin.css.php完全路径泄露漏洞

发布时间:

2011-10-18

漏洞号:

 

漏洞描述:

phpMyAdmin是一个用PHP编写的,可以通过 web 方式控制和操作 MySQL 数据库。

phpMyAdmin的phpmyadmin.css.php脚本实现上存在输入验证问题,远程攻击者可能利用此漏洞获取服务器相关的敏感信息。

phpmyadmin.css.php中的js_frame参数缺乏足够的输入验证,可被利用泄露信息。如果js_frame参数定义为数组,脚本会在返回的错误信息中包含完整路径。

安全建议:

厂商补丁:
phpMyAdmin
----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.phpmyadmin.net/home_page/security/

 

3.3 IBM WebSphere ILOG Rule Team Server 'project' 参数跨站脚本攻击漏洞

IBM WebSphere ILOG Rule Team Server 'project' 参数跨站脚本攻击漏洞

发布时间:

2011-10-15

漏洞号:

 

漏洞描述:

IBM WebSphere ILOG Rule Team Server中存在跨站脚本攻击漏洞。由于用户提供的输入没有经过正确过滤,攻击者可借助project参数窃取基于cookie的认证证书并在受影响站点上下文中不知情用户的浏览器中执行任意脚本代码,或其他攻击。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg1RS00803

 

3.4 HP Onboard Administrator远程非法访问漏洞

HP Onboard Administrator远程非法访问漏洞

发布时间:

2011-10-14

漏洞号:

 

漏洞描述:

HP Onboard Administrator (OA) 3.21至3.31版本在实现上存在远程非法访问漏洞。远程攻击者可借助未知向量绕过预期的访问限制。

安全建议:

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://marc.info/?l=bugtraq&m=131835356508182&w=2

 

3.5 Linux kernel net/core/net_namespace.c 资源管理错误漏洞

Linux kernel net/core/net_namespace.c 资源管理错误漏洞

发布时间:

2011-10-14

漏洞号:

CVE-2011-2189

漏洞描述:

Linux Kernel是开放源码操作系统Linux所使用的内核。

Linux kernel 2.6.32以及之前版本中的net/core/net_namespace.c不能正确处理网络命名空间的高效率创建和清理。远程攻击者可借助向需要每个连接单独命名空间的守护进程请求导致拒绝服务(内存消耗)。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://ie.archive.ubuntu.com/linux/kernel/v2.6/ChangeLog-2.6.33