当前位置: 安全纵横 > 安全公告

一周安全动态(2012年4月5日-2012年4月12日)

来源:安恒信息 日期:2012-3

2012年4月第二周(4.5-4.12)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 工信部牵头起草 保护个人信息将出台行业标准

由工信部牵头30多家单位起草,正报批国家标准;为企业处理个人信息提供行为准则

昨日,一位乘客用手机扫描自己的火车票信息。通过扫描软件可获得火车票二维码含有的身份证信息。

近日,工信部直属的中国软件测评中心透露,他们联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,正报批国家标准。

工信部安全协调司副司长欧阳武介绍说,这个指南能为行业开展自律工作提供了很好的参考,为企业处理个人信息制定了行为准则。据介绍,我国信息技术保护不容乐观,甚至已形成

利用个人信息从事非法获利的黑色链条。特别是去年年底揭露出的中国互联网最大规模的泄密事件,将个人信息保护推向了风口浪尖。

许多发达国家很早已开始个人信息的保护研究和立法工作。我国近年来也启动了个人信息保护的相关工作。

去年,全国信息安全标准化技术委员会提出制定个人信息保护指南。这个委员会主要从事信息安全标准化工作,现任主任由工信部副部长杨学山兼任。

个人信息保护指南的全称是《信息安全技术、公共及商用服务信息系统个人信息保护指南》,标准由工信部直属的中国软件测评中心牵头,联合近30家单位起草。

该中心常务副主任黄子河透露说,指南目前还在等待批准文号,但其最终的发布应是“指日可待”。但这个指南并非国家强制性标准。

焦点

个人信息用后立即删除

在个人信息安全缺少专门法律规范时,一部行业标准成为业内的希望。

“去年正式通过了评审,报批国家标准”,中国电子信息产业发展研究院院长、中国软件评测中心主任罗文希望今年能通过这项标准,以拓展个人信息保护的体系。

《个人信息保护指南》对个人信息的处理包括收集、加工、转移和删除四个主要环节,其中还提出了个人信息保护的原则。

工信部安全协调司副司长欧阳武介绍,“这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。”

“最少使用”的原则就是获取一个人的信息量时,只要能满足使用的目的就行。

黄子河举例说,一些网站本是办一个很小的事,却让用户填包括家庭住址、手机号在内等很多信息,这就不符合“最少使用”原则。

“安全保障”则是要个人信息管理者一旦收集了个人信息,就必须建立一套个人信息保护制度,明确责任人和内部管理流程,以及应对个人信息泄露的风险。

中国软件测评中心的副主任高炽扬估计,个人信息泄露中70%-80%属内部作案,这是“安全保障”原则没能落实好所致。

他介绍说,一些商业公司掌握大量个人信息,由于管理制度疏漏,一些内部员工未经授权就能获取客户信息。

依照《个人信息保护指南》,在收集个人信息阶段告知的“使用目的”达到后应立即删除个人信息。

高炽扬说,有次,他在某航空公司网站购买机票,使用电话支付的时候,工作人员搜集了他的支付信息:姓名、身份证号、信用卡号和信用卡的最后三位支付号码。购票成功。

但是,过段时间他再去购票时,对方问他,“您还是使用卡号末四位是****的信用卡支付吗?如果是,只要告诉我就可以了。”

“(这家公司)存储了我的信息。”3月26日,高炽扬一边讲述一边摇头。

高炽扬说,他所经历的航空公司电话订票的经历,就是航空公司在达到此次订票目的后,未能及时删除客户信息。

信息保护指南非强制标准

“为了经济效益,无利不起早。”高炽扬估计,目前没有哪个行业不存在信息泄露。

比如孕妇生完孩子刚回家,卖奶粉的电话就过来了,病人检查完身体,检查单还没看懂,相应的医药公司就已经打电话卖药来了。

中国软件评测中心研究员刘陶把个人信息比喻成“很多钱装在纸糊的银行里,很容易被黑客破解。”据他们调查,公众最关心的金融、电信等领域的个人信息安全。

而让人担忧的是,这个指南标准不是强制性标准,甚至也不是推荐性标准,标准通过会对行业起到多大的规范效力,仍待观察。

中国软件评测中心主任助理朱璇说,此次个人信息安全国家标准“属于技术指导文件”。

国家标准分为三种,一个是强制性标准,一个是推荐性标准,一个是指导性技术文件,标准可以作为参考。而国家强制性标准多在食品安全领域。

不过,黄子河认为,标准适用于除了政府机关等行使公共管理职能以外的各类组织和机构,特别是电信、医疗等涉及个人敏感信息比较多的服务机构。

现状

40部法律难约束个人信息泄露

工信部电子科技情报研究所副所长刘九如统计,目前有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,其中包括规范互联网信息规定,医疗信息规定,个人信用管理办法等。

“针对个人信息的法律法规并不少,然而内容较为分散、法律法规层级偏低。”刘九如说。

刑法修正案(七)被认为是个人信息立法的标志性事件之一。

2009年,刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名,首次将公民个人信息纳入刑法保护范畴,规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。

但是,这一犯罪主体是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。除此之外,还存在着互联网公司、房地产公司、物业公司、汽车厂商、宾馆酒店、会计师事务所等掌握个人信息的机构和单位。

诸多法律界人士认为,刑法未明确该罪的具体界定标准,这一条款还有进一步改进和完善的空间。

另外,专家认为法律中对信息泄露者惩罚机制不够。

前段时间,警方破获csdn(即中国软件开发联盟)的600多万条用户名和密码泄露案件,“目前为止对网站的处罚只是提出行政警告,太轻了,这种处罚几乎没有威慑力。”北京科技大学经管学院教授梅绍祖说。

梅绍祖认为,如果在国外,这样的大规模用户信息泄露,至少应该有经济处罚。

2009年,《侵权责任法》的通过,使“人肉搜索”侵犯受害人权利的责任认定有了法律的统一规制,如果网站无视受害人提出的屏蔽、删除要求,就要承担连带责任。

但是,社科院法学所研究员周汉华说,《刑法》和《侵权责任法》都属于事后救济,在网络时代要对网络安全以及个人信息进行全流程的监管才更为有效。

个人信息安全法未入立法程序

《个人信息安全法》并非从未尝试破冰。

工业和信息化部副部长杨学山回忆,2003年的4月,国务院信息化办公室专门对个人信息立法研究课题进行部署,2005年《个人信息保护法》专家意见稿已经提交。不过这项立法建议一直未能进入正式的立法程序。

参与此次专家意见稿的梅绍祖说,当时文本已从国务院信息化办公室上报到国务院法制办,此次未能进入正式立法程序的原因很复杂,主要是“从紧迫性上讲还没太关注这个问题”。

梅绍祖承认,凡事总有轻重缓急,有关部门会综合考虑,但考虑到目前我国发生的个人信息泄露和被盗、个人隐私侵犯以及个人信息交易的事件愈演愈烈的现实,再发展下去可能会影响到整个社会经济活动,“我觉得紧迫性早就有了,可能各个层面感觉不一样,有人觉得没那么紧迫”。

工信部副部长杨学山力主加快立法。

他说,个人信息保护实行面广,一定要从法的角度规范,才能使这项工作在法律上有依据。

“这几年我们和大家一起在个人信息立法尽快进入正式程序正在努力。”杨学山说,在大家的努力下,“尤其是在今天个人信息保护已经成为社会迫切的问题,立法的进程就会加快”。

 

1.2 匿名者黑客组织并没有“关闭互联网”

匿名者黑客组织“关闭互联网计划”并没有真正发生,域名系统3月31日星期六一整天都是安全的但是管理员对系统进行了备份,因为他们害怕匿名者黑客组织真的会进行攻击。

“全球大瘫痪”一位匿名者成员星期六的下午说,该集团一天并没有举行大规模行动, 匿名者黑客组织“关闭互联网计划 “,成为一个谎言。

简单的威胁让网络工程师尽量在很短的时间内保存百万兆的数据,有趣的是,几乎没有任何的攻击发生。

 

1.3 国防部网和中国军网月均遭受境外攻击8万余次

国防部29日在京举行例行记者会,针对有境外媒体不时指责中国军队所支持的黑客组织对他国的高科技企业、武器生产商以及电网、金融等非军事领域设施进行攻击的问题,杨宇军表示,网络攻击具有跨国性和匿名性等特点,在没有经过彻底调查、没有掌握确凿证据的情况下就对攻击源做出判断,是不专业的,也是不负责任的。

杨宇军说,中国是黑客攻击的受害者,大量事实表明,中国信息网络在这方面深受其害。据不完全统计,今年1月至3月,根据IP地址显示,中国国防部网和中国军网每月平均遭受来自境外的攻击达8万余次。但是,我们从来没有以此为由指责其他国家。我们认为,妄加指责只会增进彼此的猜疑,不利于有关问题的解决。。

 

1.4 跨国零售商TJX数千万客户刷卡记录被盗

网络的快速发展在为人们提供各种便捷时,同样也带来了不少风险。3月29日,美国跨国零售商TJX公司对外宣布,他们被网络黑客窃取了数千万客户的刷卡记录,这些信息主要源于英国子公司TKMAXX的电脑系统。这起案件可能是迄今为止世界上最大的一起信用卡和借记卡用户资料被盗案。

TJX公司女发言人表示,2002年12月31日至2003年11月23日在北美和英国分店刷卡消费的4570万用户的交易资料已经确认被盗走。此外,对于在2003年11月24日至2004年6月28日期间被盗了多少用户资料,他们还无法评估。消息人士猜测,这一数字可能至少在13.2万。

发言人无奈地表示,究竟能否最终确切地统计出来总数目前还不得而知,也有可能他们永远也无法知道具体数字。“我们可以断定,有两组英国分公司的计算机数据失窃,但是我们现在还无法精确地知道里面究竟包含了多少信息。”

这位发言人称,多数被盗的信息属于那些未给自己的银行卡特别是信用卡加设密码的客户。她提醒那些曾经在2003年1月至2004年6月期间到过TJX公司在英国各地210家连锁店购物的顾客,近期要留意他们的银行卡交易信息,防止不必要的损失。

尽管TJX公司眼下还无法全部确认失窃个人资料的客户的身份,但是一些银行猜测说,他们相信这些资料可能已经被用来进行非法金融活动了。欧洲 Visa信用卡公司的发言人表示,与TJX公司有协议的所有信用卡公司基本上都受到了影响,目前美国的Visa公司正和TJX公司以及执法机关正一起联手调查此事。

TJX公司在全球拥有2500家分店。除英国外,黑客盗窃的对象也涵盖了美国、加拿大和波多黎各等国的分店电脑系统,堪称世界上最大的一起信用卡用户信息失窃案。

该公司表示,他们最初发现计算机系统出现漏洞是在2005年7月,但是在之后的近18个月里他们并没有继续留意此事。2006年12月18日,他们觉察到了问题所在,并予以高度重视。他们对外宣布了此事,但是直到3月29日,相关的详细信息才得以公开。

 

1.5 我国电力行业网络与信息安全工作开展情况及建议

随着互联网技术的快速发展,现代电力系统生产运行越来越依赖于计算机通讯及程控技术,尤其是近几年,以“智能电网”为代表的电力行业信息化建设多次出现在政府工作报告中,同时在“十二五”规划纲要中也多次被提及,电力行业的信息化建设作为国家意志的体现已经上升到国家战略的高度。

但当我们在享受信息化技术带来的高效和便捷的同时,电力行业所面临的网络与信息安全风险也与日剧增。

我国电力行业网络与信息安全工作开展情况

2000年以来,我国相继发生了“二滩电厂停机事件”、“故障录波器事件”、“逻辑炸弹事件”、“换流站病毒感染事件”等多起电力行业网络与信息安全事件,造成了不同程度的事故影响,威胁到了电力系统安全稳定运行,同时也暴露出了我国电力行业在网络安全接入方面、安全生产管理方面、人员信息安全培训等方面存在薄弱环节。

针对类似电力信息安全事件,2002年,原国家经贸委发布第30号令《电网和电厂计算机监控系统及调度数据网络安全防护规定》,对电网和电厂计算机监控系统防护提出了要求。国家电监会成立后,对电力二次系统及网络信息安全防护明确提出了“安全分区、专网专用、横向隔离、纵向认证”的总体防护策略,并制定印发了《电力行业网络与信息安全信息报送暂行办法》、《电力行业网络与信息安全应急预案》、《电力行业网络与信息安全监督管理暂行办法》等一系列管理办法,使电力行业网络与信息安全防护的理念更加系统化、具体化,增强了可操作性,电力行业网络与信息安全防护工作进入了实质性建设阶段。

对比国外发达国家相对孤立、松散的电力行业信息安全防护现状,我国的电力行业信息安全防护工作在组织管理、部署实施、企业参与积极性等方面具有更为明显的优势。截至2011年底,全国电力安委会成员单位中的15家电网和发电企业90%以上的单位已按照“安全分区、专网专用、横向隔离、纵向认证”的要求完成了生产控制大区和管理信息大区的物理隔离改造,通过认证、加密、访问控制等技术手段实现了远程数据传输、控制及纵向边界的安全防护。其中电网企业较发电企业,省级以上调度单位较地级调度单位,330千伏及以上变电站较220千伏变电站信息安全防护工作开展的更快、更全、更好。通过加强电力行业信息安全防护工作有效保证了北京奥运会、上海世博会、广州亚运会等重要保电时期电力系统的安全稳定运行和可靠供电。但在取得一系列成效的同时,问题和不足也相对明显。

问题:法规标准不全责任落实不明技术保障不力

(一)信息安全法规和标准体系建设不全面对新形势下信息安全保障工作的发展需要,电力行业信息安全在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设相对滞后,缺乏总体规划;二是规范和标准互通性和协调性不强,部分规范和标准的可执行性较差;三是部分规范和标准已不适应现实需要,尤其是新能源、新技术和新模式的引入,原有的信息安全防护标准无法应对某些新型信息安全的威胁;四是部分信息安全规范和标准在行业内难以得到切实落实。

2007年国家电监会启动了电力行业信息系统安全等级保护定级工作,并编制印发了《电力行业信息系统安全等级保护管理办法》和《信息系统安全等级保护定级指南》,行业信息安全法规和标准体系初步形成。但对电力行业信息系统等级保护的具体要求和规范意见,以及后续的信息系统等级测评和督促检查机制却仍未建立起来。

(二)组织体系与责任落实不明当前,电力行业中普遍存在重生产安全轻信息安全的状况,电力企业对信息安全重要性的认知程度也存在经济发展水平和所在地域上的差异。即便企业高层逐步认识到信息安全的重要性,也存在着以下问题:一是信息资源在公司的战略资产中的地位受到高层重视,但具体情况不甚清楚;二是信息安全工作缺乏明确的概念描述和参数指标;三是信息安全工作的责任与职能落实不够清晰,大部分电力企业未设立信息安全专岗。

(三)网络和数据安全防护不完善由于互联网的开放性,来自互联网上的病毒、木马、黑客攻击以及计算机威胁事件,都时刻威胁着电力行业的信息系统安全,成为制约行业平稳、安全发展的障碍。因此,维护网络和数据安全成为行业信息安全保障工作的重要组成部分。

近年来,电力企业采取了一系列措施,建立了相对安全的分区网络安全防护体系和冗灾备份系统,220千伏及以上主网信息安全防护体系已较为完善,基本保障了信息系统的安全运行。但细追究起来,电力行业的网络安全防护体系规划、配电网信息安全防护建设及灾备系统建设还不够完善,还存存以下几方面的问题:一是网络安全防护体系缺乏统一的规划;二是110千伏及以下配电网纵向数据传输安全性防护推进工作有待加强;三是网上营销管理系统防护能力有待继续加强;四是对数据安全重视不够,数据备份措施有待改进。

(四)技术支撑及后勤保障有待加强随着近几年信息安全重要性的逐步凸显,电力行业信息安全工作逐步得到重视,行业信息安全专业技术队伍不断发展壮大。部分大型国有电力企业已经建立了专门的科技信息部门,并设立专岗、专职人员负责信息安全工作。但是,仍存在着以下几方面问题:一是随着信息系统等级保护工作的深入开展,后续系统测评工作未能及时跟进,目前社会上有资质的测评机构大都缺乏必要的电力运行基础知识;二是信息安全人才队伍依然存在着结构不合理、后续教育不足等问题,此行业的人才培养有待加强;三是信息安全队伍不稳定,人员流动性较大,甚至有的已经设立信息安全技术部门的单位出现了撤编的情况。

建议:完善法规标准开展专项检查提高防护水平

(一)进一步完善法规和标准体系首先,在法规规划上,要统筹兼顾,制定科学的信息技术规范和标准体系框架。

一是全面做好立法规划;二是建立科学的行业信息安全标准和法规体系层次。建议将行业信息安全标准和法规体系初步划分为3层:第一层是国家制定的信息安全保密法规;第二层是电监会制定的部门规章及管理规范性文件;第三层是电力行协及企业系统内部在电监会总体协调下组织制定的制度文件。其次,在法规制定上要兼顾规范和发展,重视法规的可行性。最后,在法规实施上要坚持规范和指引相结合,重视监督检查和责任落实。

(二)深入开展电力行业信息安全专项检查工作1.提高对信息安全工作的重视度。

通过安全委开员会宣传做好信息安全工作的重要性,提高电力企业做好信息安全工作的认识。通过培训和定期组织开展电力行业信息安全专项抽查,督促并帮助企业及时查找自身漏洞并落实整改,做好防微杜渐工作。

2.制定行业标准积极落实信息安全等级保护。

行业监管部门在推动行业信息安全等级保护工作中的作用非常关键,应进一步明确监管部门推动行业信息安全等级保护工作的任务和工作机制,统一部署、组织行业的等级保护工作,为该项工作的顺利开展提供组织保证。同时,应对各单位实施信息系统安全等级保护情况进行测评,在测评环节一旦发现信息系统的不足,被测评单位应立即制定相应的整改方案并实施,监督机构负责督促其整改。

3.加强网络安全体系规划以提升网络安全防护水平。

(1)以等级保护为依据进行统筹规划。等级保护是围绕信息安全保障全过程的一项基础性的管理制度,通过将等级化的方法和安全体系规划有效结合,统筹规划电力行业网络安全体系的建设,建立一套信息安全保障体系,将是系统化地解决电力行业网络安全问题的一个非常有效的方法。

(2)加强网络访问控制提高网络防护能力。对向电力行业提供设备、技术和服务的IT公司的资质和诚信加强管理,确保其符合国家、行业技术标准,同时签订必要的保密协议。根据网络隔离要求,逐步建立生产控制区与管理区、办公区与互联网、网上营销各子系统间有效的网络隔离。技术上可以对不同的业务安全区域划分Vlan或者采用网闸设备进行隔离;对主要的网络边界和各外部进口进行渗透测试,进行系统和设备的安全加固,降低系统漏洞带来的安全风险;在网上营销管理方面,采取电子签名或数字认证等高强度认证方式,加强访问控制;针对现存恶意攻击网站的事件越来越多的情况,要采取措施加强网站保护,提高对恶意代码的防护能力,同时采用技术手段,提高网上交易客户端软件使用的安全性。

(3)加强对员工的信息安全培训。除了要加强网络安全技术人员的管理能力和专业技能培训外,还要加强对全体电力职工的信息安全宣传教育,提高其信息安全保密意识,并掌握基本的信息安全防护技能,从而整体提高电力行业信息安全的管理水平和专业技术水平。

4.扎实推进行业灾难备份建设。

无论是美国的“9.11”事件,还是我国2008年南方冰雪灾害和四川汶川大地震,都敲响了灾难备份的警钟。电力行业要针对自身需要,对重要系统开展灾难备份建设,制定相关的灾难应急预案,并加强应急预案的演练,确保灾难备份系统应急有效,使应急工作与日常工作有机结合。

5.加强监管技术队伍建设。

为了适应新时期电力行业信息安全监管工作需要,监管机构须进一步加大在此方面的人力物力投入,同时建立起独立的信息安全测评机构,并在各区域组建信息安全测评专家小组,专门负责各区域电力企业的信息安全测评工作。

 

2. 本周关注病毒

2.1 病毒名称:Worm.Win32.Autorun.twl(蠕虫病毒)
警惕程度★★★

该病毒通过U盘等可移动存储设备传播,病毒会双进程守护,下载大量木马病毒,给用户造成很大安全隐患。

 

2.2 病毒名称:Worm.Win32.FakeFolder.ba(蠕虫病毒)
警惕程度★★★

该病毒运行后为躲避杀毒软件查杀,会试图结束当前运行的安全软件进程,通过创建注册表劫持项阻止杀毒软件再次启动,甚至还会删除安全软件图标并使其隐藏。病毒作者为避免病毒被手工删除,会破坏操作系统的安全模式,并让用户无法打开注册表编辑器。最终,病毒会在桌面上创建多个钓鱼网站的快捷方式,使用户进入黑客指定网站,为其带来巨大经济利益。

 

2.3 病毒名称:Trojan.Win32.DLoader.b(VM木马下载器)
警惕程度★★★★

该病毒运行后首先会进行代码解密,把解密后的代码注入到新起的进程中,利用此方法绕过反病毒软件的检测。随后,恶意篡改注册表启动项,达到开机自启动的目的。为躲避杀毒软件查杀,病毒会主动搜索用户电脑上安装的多种国外杀毒软件,如果发现将发送命令破坏其正常运行。最后,病毒会直接连接黑客远程服务器,上传本机信息,并通过加密字符串下载大量盗号木马。

 

3. 安全漏洞公告

3.1 Red Hat Network Satellite安全限制绕过漏洞

Red Hat Network Satellite安全限制绕过漏洞

发布时间:

2012-04-01

漏洞号:

CVE-2012-1145

漏洞描述:

Red Hat Network Satellite中存在安全限制绕过漏洞,该漏洞源于在处理空组织时spacewalk-backend中的错误验证和授权。攻击者可利用该漏洞消耗/var分割的磁盘空间,通过上传任意程序包从下载更新中停止应用程序。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://rhn.redhat.com/errata/RHSA-2012-0436.html

 

3.2 VMware ESX Server/ESXi本地权限提升漏洞

VMware ESX Server/ESXi本地权限提升漏洞

发布时间:

2012-04-01

漏洞号:

CVE-2012-1515

漏洞描述:

VMware ESX Server是一个适用于任何系统环境的企业级虚拟计算机软件。
VMware ESX Server和VMware ESXi中存在本地权限提升漏洞,该漏洞源于一个在处理基于端口的I/O时的错误。攻击者可利用该漏洞修改虚拟DOS机的只读内存。
以下版本中存在该漏洞:ESX Server和 ESXi 4.1版本、4.0版本及运行在Windows XP 32-bit平台的3.5版本,Windows Server 2003 32-bit版本和Windows Server 2003 R2 32-bit版本。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.vmware.com/security/advisories/VMSA-2012-0006.html

 

3.3 IBM Tivoli Event Pump密码泄露安全漏洞

IBM Tivoli Event Pump密码泄露安全漏洞

发布时间:

2012-04-05

漏洞号:

 

漏洞描述:

IBM Tivoli Event Pump for z/OS可以自动收集并转发z/OS系统和子系统的状态事件,包括CICS、IMS、DB2和第三方产品。
IBM Tivoli Event Pump for z/OS在AOPSCLOG数据集中以纯文本方式保存了用户凭证,可被恶意用户利用泄露敏感信息。

安全建议:

IBM
---
IBM已经为此发布了一个安全公告(OA38586)以及相应补丁:
OA38586:OA38586: Secure Engineering Framework (SEF) remediation
链接:
http://www-01.ibm.com/support/docview.wss?uid=swg1OA38586

 

3.4 HP Business Availability Center跨站脚本执行漏洞

HP Business Availability Center跨站脚本执行漏洞

发布时间:

2012-04-05

漏洞号:

CVE-2012-0132

漏洞描述:

HP Business Availability Center是HP业务可用性中心,提供对业务服务到IT基础设施的综合监控管理。
HP Business Availability Center没有正确过滤某些输入即返回给用户,可被利用执行某些HTML和脚本代码。

安全建议:

HP
--
HP已经为此发布了一个安全公告(HPSBMU02749)以及相应补丁:
HPSBMU02749:SSRT100793 rev.1 - HP Business Availability Center (BAC) Running on Windows, Remote Cross Site Scripting (XSS)
链接:
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03242623

 

3.5 PHP 5.4/5.3弃用函数eregi() memory_limit绕过漏洞

PHP 5.4/5.3弃用函数eregi() memory_limit绕过漏洞

发布时间:

2012-04-05

漏洞号:

 

漏洞描述:

PHP 是一种HTML内嵌式的语言,PHP与微软的ASP颇有几分相似,都是一种在服务器端执行的嵌入HTML文档的脚本语言,语言的风格有类似于C语言,现在被很多的网站编程人员广泛的运用。
PHP 5.3之后版本弃用了基于POSIX正则表达式的函数,在5.4.0版本中,仍然使用这些函数,导致了绕过memory_limit,通过eregi()耗尽内存。

安全建议:

PHP
---
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.php.net