当前位置: 安全纵横 > 安全公告

一周安全动态(2013年3月01日-2013年3月07日)

来源:安恒信息 日期:2013-03

2013年3月第一周(3.01-3.07)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 云计算笔记应用Evernot大量用户信息泄露

云计算笔记应用Evernote近日向近5000万用户发出重置密码通知。Evernote表示,近期遭遇了黑客攻击,导致大量用户名、电子邮件地址和加密密码泄露。

Evernote在官方博客中表示,用户在Evernote中记录的内容没有“被获取、修改或丢失”,但建议用户在下次登录时选择新的密码,同时提供了关于用户如何设置密码的建议。修改密码将影响所有的Evernote应用,包括Evernote Food、Evernote Business和Evernote Hello。

除官方博客之外,Evernote还通过电子邮件和社交媒体发出了通知。Evernote发言人表示:“我们鼓励任何有疑问的用户联系Evernote,获取直接的支持。”

Evernote表示,该公司的信息安全团队最初于2月28日发现了“不同寻常、可能的恶意活动”。当时一些人获取了Evernote的用户名、电子邮件和加密密码数据。在随后的分析中,Evernote没有发现任何证据表明,用户帐户中的内容在未经授权的情况下被获取。Evernote计划对该公 司各个平台的原生应用进行升级,从而帮助所有用户进行密码重置流程。

Evernote CEO菲尔·利宾(Phil Libin)表示,Evernote仍在继续提供服务,但目前当用户登录该服务时,可能会发现异常。他表示:“我们刚刚发送密码重置通知,因此服务器可能会很拥挤。服务仍然正常,但响应速度可能较慢。对于用户数据,目前尚没有我们已知的威胁。”

Evernote同时表示,在此次事件中,没有任何用户支付信息泄露。利宾表示:“我们没有存储任何用户支付信息,因此不会有支付信息泄露的情况。”

过去几周中,Twitter和Facebook等网站也遭到了黑客攻击。业内人士认为,近期多次出现的用户数据泄露事件将影响用户对互联网服务的信心,这将给云计算服务未来的发展蒙上一层阴影。

1.2 HTML 5漏洞可致硬盘遭垃圾数据填满

据国外媒体报道,最近有开发者发现,HTML 5编码语言有一漏洞会使得网站产生数GB垃圾数据,在短时间内塞满硬盘,多款流行浏览器均受到该问题的影响。

据本周发现这一问题的开发者法罗斯·阿布哈迪杰(Feross Aboukhadijeh)称,数据转储问题出现于大多数的网络浏览器上,其中包括苹果Safari、谷歌Chrome、微软IE和Opera,Mozilla的Firefox是唯一能够阻止数据转储的浏览器,Firefox的存储上限是5MB。

该问题的的根源在于HTML 5处理本地数据存储的方式有关。尽管每款浏览器的存储参数设置并不相同,但大多数都支持用户自定义上限,这使得存储在用户电脑的空间上限至少达2.5MB。

阿布哈迪杰发现的漏洞可产生无数个与用户访问的网站链接的临时网站,从而绕过数据存储上限。由于大多数浏览器都没考虑意外情况,附属网站能够进行本地存储,而且存储上限与主站点一样。通过生成大量相连网站,该漏洞能够在受影响的电脑转储大量的数据。

阿布哈迪杰在测试该漏洞时,其采用固态硬盘的MacBook Pro每16秒钟就能够转储1GB数据。他指出,像Chrome这样的32位浏览器在硬盘存满之前可能会出现崩溃。

阿布哈迪杰已经发布了代码来利用该漏洞,还专门创建了一个名为Filldisk的网站来引起人们对该问题的重视。漏洞报告已经发给受影响浏览器的厂商,阿布哈迪杰称目前尚未发现其代码遭遇大范围的恶意使用行为。

1.3 深圳四黑客攻击河南网站被捕 曾入侵百余家网站

一名90后男青年从电脑学校毕业后,招来3名“黑客爱好者”,4人用木马程序在知名网站植入非法广告链接,为其骗取点击量。半年内破坏网站百余家。昨日,记者从郑州市金水区检察院获悉,检方以涉嫌破坏计算机信息系统罪将4人批捕。

2012年9月18日,河南一家知名房产网站遭到“黑客”攻击,其主页被插入赌博等非法链接广告,造成系统不能正常运行。网站负责人报案后,2012年11月8日,王某等4名“黑客”在深圳被抓获。

今年19岁的王某是湖南省人,2011年他初中毕业后到深圳一家电脑学校学技术。2012年5月,王某毕业后,在深圳租房,开始从事网站入侵工作。

2012年6月,福建人杨某、温某通过“黑客”圈子认识王某后,与杜某一起找王某学习“黑客”技术。王某供述,他们找出目标网站的后台漏洞后放置“木马”,把编辑好的一些非法网站链接(黑链)插入到目标网站主页。用户点击目标网站,就会跳转到黑链。

经查实,4人被抓获前,已破坏网站达百余家。提供黑链方按点击量支付费用,王某等4人非法获利近10万元。

1.4 这次不是Java 来自Adobe Reader上的“MiniDuke”漏洞肆虐欧洲

根据卡巴斯基最新的报告中指出欧洲网站在过去一周内正遭受猛烈的恶意攻击,这个名为“MiniDuke”的漏洞能够让恶意程序嵌入到政府和私人机构的网站上,目前已经确定乌克兰,比利时,葡萄牙,罗马尼亚,捷克共和国和爱尔兰等国的政府网站已经通过这个漏洞植入恶意程序。

然而和最近一连串恶意软件攻击不同的是, MiniDuke并不是针对Oracle的Java平台的弱点进行秘密的攻击的。 相反这个漏洞来自于Adobe的Reader应用,根据卡巴斯基称恶意程序作者使用“非常有效的社会工程技术”发送含有“高度相关”的数据受感染的PDF文件进行传播。一旦安装之后这个恶意程序能够在未经消费者允许的情况下首先是获取消费者Twitter的帐号,然后通过社交网络再次进行传播。

1.5 Oracle发布紧急补丁,修复上周2个Java漏洞

上周波兰安全公司Security Explorations发布JAVA漏洞的声明,甲骨文公司经确认并已经发布了一个紧急补丁,以修复该安全问题。甲骨文官方发布了一个针对该漏洞的安全警报,报告中提到,“当用户访问一个攻击者制作的恶意页面,如果该页面利用了该漏洞,可能会影响用户系统的可用性、完整性和保密性”。

甲骨文公司在2013年第一季度刚发布了包含86个关键安全漏洞的更新,涉及Oracle数据库、MySQL、中间件以及应用等多款产品。而没过多长时间,该公司又爆出了两个严重的安全漏洞。甲骨文公司安全总监Eric Maurice今天在博客提到,“为了保障所有Java SE用户的安全,所以决定立即发布更新,修复该漏洞”。

 

2 本周关注病毒

2.1 Trojan.Win32.Fednu.umy(木马病毒)

警惕程度 ★★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Trojan.Win32.Fednu.umx(木马病毒)

警惕程度 ★★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 Backdoor.Win32.Bai.a(‘小白’后门病毒)

警惕程度 ★★★★

病毒运行后,在用户C盘的Program Files下创建与病毒文件同名的文件夹,然后自我复制到该文件夹下,删除原文件。同时,该病毒还将打开系统的远程控制功能,并向黑客开放用户电脑的所有权限,黑客能够随意浏览、复制、修改用户硬盘上的数据。除此之外,该病毒还会远程打开视频捕捉设备,进行视频录制,严重威胁用户的隐私安全。

 

3 安全漏洞公告

3.1 Debian Apache HTTP Server 符号链接攻击本地权限提升

Debian Apache HTTP Server 符号链接攻击本地权限提升

发布时间:

2013-03-04

漏洞号:

BUGTRAQ ID: 58325
CVE(CAN) ID: CVE-2013-1048

漏洞描述:

Apache HTTP Server是开源HTTP服务器。
Debian GNU/Linux上,Apache HTTP Server的apache2软件包squeeze 2.2.16-6+squeeze11之前版本, wheezy 2.2.22-13之前版本, sid 2.2.22-13之前版本内的Debian apache2ctl脚本,没有正确创建/var/lock/apache2 lock目录,可允许本地用户通过符号链接攻击获取权限。

安全建议:

Debian已经为此发布了一个安全公告(dsa-2637)以及相应补丁:
dsa-2637:DSA-2637-1 apache2 -- several issues
链接:http://www.debian.org/security/2013/dsa-263

3.2 Squid 'httpMakeVaryMark()'函数内存破坏漏洞

Squid 'httpMakeVaryMark()'函数内存破坏漏洞

发布时间:

2013-03-05

漏洞号:

BUGTRAQ ID: 58322

漏洞描述:

Squid是一个高效的Web缓存及代理程序。
Squid 2.7.Stable9在函数'httpMakeVaryMark()'的实现上存在安全漏洞,成功利用后可允许远程攻击者在受影响应用的上下文中执行任意代码。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.squid-cache.org/Advisories/

3.3 Citrix Access Gateway 不明细节安全绕过漏洞

Citrix Access Gateway 不明细节安全绕过漏洞

发布时间:

2013-03-05

漏洞号:

BUGTRAQ ID: 58317
CVE(CAN) ID: CVE-2013-2263

漏洞描述:

Citrix Access Gateway是提供安全远程访问虚拟桌面和应用的SSL VPN。
Citrix Access Gateway 5.0.4.223524之前版本在实现上存在不明细节漏洞,可导致未授权访问网络资源。

安全建议:

Citrix已经为此发布了一个安全公告(CTX136623)以及相应补丁:
CTX136623:Vulnerability in Citrix Access Gateway Standard Edition 5.0 Could Result in Unauthorized Access to Network Resources
链接:http://support.citrix.com/article/CTX136623
补丁下载:
http://www.citrix.com/downloads/netscaler-access-gateway/product-software/access-gateway-504.html

3.4 RedHat 多个JBoss Enterprise产品安全绕过漏洞

RedHat 多个JBoss Enterprise产品安全绕过漏洞

发布时间:

2013-02-11

漏洞号:

BUGTRAQ ID: 57890
CVE(CAN) ID: CVE-2012-5629

漏洞描述:

JBoss企业应用平台(JBoss Enterprise Application Platform,EAP)是J2EE应用的中间件平台。
JBoss Enterprise Application Platform和Web Platform在配置了LDAP身份验证后,默认情况下,用户可以用空密码通过身份验证,这就不符合RFC 4513的建议。攻击者可利用此漏洞绕过某些安全限制并执行未授权操作。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.redhat.com/apps/support/errata/index.html

3.5 Oracle Java Runtime Environment多个不明细节远程代码执行漏洞

Oracle Java Runtime Environment多个不明细节远程代码执行漏洞

发布时间:

2013-03-04

漏洞号:

BUGTRAQ ID: 58294

漏洞描述:

Oracle Java Runtime Environment (JRE)是一款为JAVA应用程序提供可靠运行环境的解决方案。
Oracle Java Runtime Environment (JRE)在实现上存在多个不明细节远程代码执行漏洞,攻击者可利用这些漏洞在应用的上下文中执行任意代码。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.oracle.com/technetwork/topics/security/

3.6 JBoss Enterprise Application Platform side-channel 数据泄露漏洞

JBoss Enterprise Application Platform side-channel 数据泄露漏洞

发布时间:

2013-01-28

漏洞号:

BUGTRAQ ID: 57549
CVE(CAN) ID: CVE-2011-2487

漏洞描述:

JBoss企业应用平台(JBoss Enterprise Application Platform,EAP)是J2EE应用的中间件平台。
JBoss Web Services在分配对称密钥时会泄露side-channel数据,可允许远程攻击者恢复完整的对称密钥纯文本表。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.jboss.org/