当前位置: 安全纵横 > 安全公告

一周安全动态(2012年9月27日-2012年10月4日)

来源:安恒信息 日期:2012-10

2012年10月第一周(9.27-10.4)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 phpMyAdmin官方镜像被发现植入后门

开源PHP管理工具phpMyAdmin软件包的官方镜像被发现植入了后门,开发者已经向用户发出了警告。开发者称,SourceForge.net镜像之一的cdnetworks-kr-1被用于传播了一个植入后门的phpMyAdmin软件包,后门位于server_sync.php文件中,允许攻击者远程执行PHP代码,另一个文件 js/cross_framing_protection.js也被修改。

SourceForge.net是世界上最大的开源软件开发网站。很多国外非常有用的资源都可以从上面下载。而由于国内目前暂无SourceForge的CDN节点,导致从国内访问下载均是从韩国节点获取数据。对国内用户影响非常大。

文件的修改日期是2012年8月12日,但研究人员推测日期系伪造,SourceForge认为入侵发生在9月22日左右,日志显示大约有400人下载了修改版软件。镜像服务器位于韩国,服务器供应商已经证实了入侵。

PhPmyadmin官方说明: http://www.phpmyadmin.net/home_page/security/PMASA-2012-5.php

1.2 Java新安全漏洞致10亿电脑处于安全威胁中

甲骨文Java软件中发现了最新的0day漏洞,这一漏洞几乎出现在所有受支持的Java版本中,通过此漏洞,黑客可在超过10亿台装有Java的 Mac和PC机上安装恶意软件与病毒。安全专家Adam Gowdiak昨天宣布,这一安全漏洞存在于Java 5、Java 6和Java 7中。计算机世界还特别指出,使用Mac OS X最新版本系统的用户同样存在这一安全问题,包括Snow Leopard 10.6系统。10亿这一数据是甲骨文根据已安装的计算机数目进行统计得出的。

关于这一漏洞的技术细节目前还没有完全公开,Gowdiak强调他已经掌握了所有情况,包括导致问题的源代码。据说甲骨文正着手为修复此问题发布补丁,但没有透露发布的具体时间,也不确定在10月16日Java的常规升级之前补丁能否完成。上个月黑客利用类似的0day漏洞攻击PC,当时甲骨文临时发布了补丁更新才得以确保用户安全。

1.3 专家发现近10万IEEE的工程师用户名及密码暴露在网络上

近日,来自丹麦的一位计算机科学家Radu Dragusin表示他发现了一个美国电气与电子工程师协会(IEEE)网站的服务器,在这上面将近有10万的用户,并且这些用户的密码都已文本的形式公开储存在网络上。Dragusin是哥本哈根大学的一位助教,他于上周在网上提交了这一帖子。

在帖子中,他提到IEEE用户的密码可以在IEEE的FTP服务器上找到,并且这样的情况持续了至少有一个月了,其中被暴露的用户有来自苹果、谷歌、IBM、甲骨文、三星、NASA、斯坦福大学等公司以及各大机构。

除此之外,Dragusin还发现除了可以查看到这些用户的名字以及密码之外,还可以看到他们在ieee.org以及spectrum.ieee.org上的所有行为。

到目前为止,IEEE并没有就此事给出任何正面的回应。

1.4 人民网评论:法制,才能更好的保护个人信息

上半年,工信部中国软件测评中心联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已正式通过评审,正报批国家标准。

网络时代以来,个人信息用途越来越广泛,特别是姓名、身份号码、手机号码等身份信息在日常生活中使用越来越广泛,广泛的信息让我们对信息的安全担忧。

制定个人信息保护指南,旨在为行业开展自律工作提供参考依据,为企业处理个人信息制定行为准则。指南涵盖的最少使用、安全保障、诚信履行、责任明确等八项原则,条条鞭辟入里,击中要害,为个人信息保护勾勒出一幅美妙的蓝图。只是这看起来很美的梦想,能否真正照进现实,恐怕还要打上一个问号。

个人信息在商业中用处越来越多,这也成为了许多不法分子的窃取目标。个人信息被比喻成“很多钱装在纸糊的银行里”,很容易被别有用心者攻破,显然,一个不是强制性标准,甚至也不是推荐性标准的指南,不足以为这座信息银行筑起铜墙铁壁。把希望寄托在行业道德自律上,更像是防君子不防小人,如果企业不按照标准执行,我们没有任何钳制办法,只能无可奈何。

个人信息的泄露主要在于个人保管不严,其次许多“霸王条款”中登记身份证号码等信息也是造成个人信息泄露的主要原因。必须看到,个人信息泄露频发,并非企业不知道如何保护,而是不愿意去做,甚至是有意为之。首先,缺乏对个人信息的尊重和敬畏,一些商业公司疏于管理,令内部员工未经授权就能获取客户信息;其次,无利不起早,在经济利益的诱惑下,个别企业主动将所掌握的个人信息拿来交易;再次,许多民营企业或者相关公司恶意搜取公民信息。此外,更为重要的是,惩罚机制缺失,使得信息泄露呈现出“高收益、零风险”的不对称。

保护个人信息只有从立法的角度入手,更完善的立法才能够有效的保护公民的个人信息。正如工信部副部长杨学山所言,“个人信息保护实行面广,一定要从法的角度规范,才能使这项工作在法律上有依据。”隐私权是我国公民的一项基本人格权利,更是国际社会上一项公认的至高无上的个人权利。各国的法律法规甚至国际公约都有维护个人信息安全、保护隐私的条文。公开他人隐私的行为,既违反社会道德,也违反相关的法律法规。目前,世界上已有50多个国家和地区制定了保护个人信息的相关法律。

目前我国法律虽然众多,但是涉及个人信息保护,但内容较为分散,法律法规层次偏低,执法主体缺位,执法力度不足。当务之急是出台一部专门法律,明确组织和个人在处理信息过程中的责任,建立个人信息的监管体制,厘清滥用他人个人信息的行政处罚制度和责任。

1.5 阿拉伯黑客组团攻击西方网站 抗议侮辱先知电影

据《朝鲜日报》9月24日报道,近日,对诋毁伊斯兰教创始人、先知穆罕默德的电影《穆斯林的无知》进行抗议的示威在整个阿拉伯地区不断扩散,在这种情况下,一个阿拉伯黑客组织开始对西方进行网络报复。

阿拉伯地区卫星电视台阿拉比亚电视台22日报道称,由阿拉伯黑客组成的“阿拉伯电子军”最近为抗议这部电影攻击了几个西方网站。自称“利杜安”的一名来自摩洛哥的黑客在发给阿拉比亚电视台的电邮中表示:“攻击西方网站是为了拥护先知(穆罕默德)。”

来自摩洛哥、沙特阿拉伯、叙利亚的黑客参与了这一组织。利杜安说:“大家原来都是各自活动的黑客,最近组成团队共同行动。我们提议创建电子军后,想要守护宗教的很多年轻的穆斯林黑客表示支持。”《国际财经时报》(IBT)21日报道称,这一组织可以说是国际黑客组织匿名者(Anonymous)的伊斯兰版,有人将其称为“数字基地组织”。

1.6 伊朗加大对美国网络攻击 黑客频频袭击三大主流银行

据路透社报道称,据知情人士表示,伊朗黑客在过去一年针对美国网络攻击行动中,反复袭击美国银行、摩根大通及花旗银行。据消息称,伊朗黑客袭击始于2011年末,今年攻势升级,主要通过向这些银行的服务网页和公司网站灌入大量网络流量致使其“服务瘫痪”。

知情人士称有证据显示伊朗黑客针对的是对伊朗实施经济制裁的三大银行。伊朗黑客袭击是否已经对其金融网络造成更大损失或盗取信息目前暂不知晓。

伊朗核项目自2010年遭Stuxnet病毒袭击以来加大了对美国的网络攻击。

据消息称,对美国这三大银行的袭击来自于伊朗地区,但是目前暂不清楚是否由伊朗国家集团还是“爱国”市民发起。消息还称,伊朗黑客同时也攻击其他美国公司,但未露头具体细节。

伊朗政府官员无法联系置评。美国银行、摩根大通及花期银行拒绝置评,同时美国国防部及国土安全局等机构均拒绝置评。

自美国银行、摩根大通金融服务出现紊乱以来,本周一家美国金融服务集团曾警告银行、经纪人及保险人称要高度警惕网络袭击。

2 本周关注病毒

2.1 Trojan.Win32.Fednu.uix(木马病毒) 警惕程度 ★★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Trojan.Win32.Injector.fq(木马病毒) 警惕程度 ★★★

木马运行后,黑客将用户电脑指向恶意网址,下载病毒并帮助恶意网站刷流量;开启远程控制,监听用户的电脑操作,窃取用户隐私信息。

2.3 Backdoor.Win32.Mielit.a(“米利特”后门病毒) 警惕程度 ★★★★

该病毒是一个由国外传入的病毒,运行后会修改注册表,将自身添加为开机启动项,同时病毒将自身设置为隐藏,并在%SYSTEM%\目录下创建lgfiles文件夹,同样设置为隐藏。然后该病毒将通过TCP协议,与黑客指定的远程主机连接,向其发送用户的隐私信息,并等待接收远程命令。

3 安全漏洞公告

3.1 phpMyAdmin 'server_sync.php'远程后门漏洞

phpMyAdmin 'server_sync.php'远程后门漏洞

发布时间:

2012-09-26

漏洞号:

CVE ID: CVE-2012-5159

漏洞描述:

phpMyAdmin是一个用PHP编写的,可以通过web方式控制和操作MySQL数据库。 phpMyAdmin通过"cdnetworks-kr-1" SourceForge mirror系统分发的phpMyAdmin 3.5.2.2及其他版本源文件为phpMyAdmin-3.5.2.2-all-languages.zip,其中包含名为server_sync.php的木马,可允许远程攻击者通过调用eval()攻击执行任意命令。

安全建议:

phpMyAdmin已经为此发布了一个安全公告(PMASA-2012-5)以及相应补丁: PMASA-2012-5:PMASA-2012-5
链接: http://www.phpmyadmin.net/home_page/security/PMASA-2012-5.php

3.2 Oracle Java SE 5/6/7沙盒安全限制绕过漏洞

Oracle Java SE 5/6/7沙盒安全限制绕过漏洞

发布时间:

2012-09-26

漏洞号:

BUGTRAQ ID: 55669

漏洞描述:

Sun Java Runtime Environment是一款为JAVA应用程序提供可靠的运行环境的解决方案。
Oracle Java SE在JVM的安全机制实现上存在严重安全漏洞,攻击者可利用此漏洞绕过Java沙盒安全限制执行任意指令,远程攻击者可能通过浏览器利用此漏洞控制用户系统。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.oracle.com/technetwork/topics/security/

3.3 Oracle Database身份验证协议安全限制绕过漏洞

Oracle Database身份验证协议安全限制绕过漏洞

发布时间:

2012-09-25

漏洞号:

CVE ID: CVE-2012-3137

漏洞描述:

Oracle Database是甲骨文公司的一款关系数据库管理系统。
Oracle Database 11g Release 1 and 11g Release 2存在影响身份验证协议的远程安全限制绕过漏洞,攻击者可利用此漏洞绕过身份验证进程,非法访问数据库,获取任意用户的会话密钥和salt,泄露密码哈希,执行暴力密码猜测攻击。

安全建议:

厂商补丁: Oracle
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.oracle.com/technetwork/topics/security/

3.4 Apache Tomcat重复请求处理安全漏洞

Apache Tomcat重复请求处理安全漏洞

发布时间:

2012-09-27

漏洞号:

CVE ID: CVE-2007-6286

漏洞描述:

Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。
Apache Tomcat 5.5.11-5.5.25、6.0.0-6.0.15在使用了本地APR连接器后,没有正确处理到SSL端口的空请求,可允许远程攻击者触发处理最近一个服务器请求副本。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://jakarta.apache.org/tomcat/index.html

3.5 IBM WebSphere Commerce Enterprise远程拒绝服务漏洞

IBM WebSphere Commerce Enterprise远程拒绝服务漏洞

发布时间:

2012-09-27

漏洞号:

CVE ID: CVE-2012-3300

漏洞描述:

IBM WebSphere Commerce是业界领先的下一代电子商务解决方案, 被世界百强企业所采用,能帮助各种规模的公司随心所欲地进行电子商务业务。
IBM WebSphere Commerce 7.0.0.6之前版本在启用了永久会话和个性化ID后,可允许远程攻击者造成拒绝服务。

安全建议:

IBM已经为此发布了一个安全公告(swg21610909)以及相应补丁:
swg21610909:Security Bulletin: Vulnerability in WebSphere Commerce related to persistent sessions and personalization IDs. (CVE-2012-3300)
链接: http://www-01.ibm.com/support/docview.wss?uid=swg21610909