当前位置: 安全纵横 > 安全公告

一周安全动态(2013年4月04日-2013年4月11日)

来源:安恒信息 日期:2013-04

2013年4月第二周(4.04-4.11)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 仅凭信用卡卡面信息便可直接支付 网络消费或存安全隐患

随着网购日渐普及化,网银在线支付也不再是个新鲜玩意儿。近期,有个新的支付平台在各大网商平台上线,只要有银行卡,哪怕没有开通网银也可以直接实现在线支付。不过,记者亲自体验发现,使用这种方式付款只需要几项卡面信息,而不需要类似手机验证码此类传统的认证措施,支付安全或存在一定隐患。

使用卡面信息即可在线支付

“以前登陆网银支付,要么是用U盾,要么是用数字密匙(手机短信验证)的,相对来说安全系数还是比较高的, 那天订酒店的时候看见一种新型的支付方式,就试了试,竟然只需要输入卡号、背面三位安全码、卡面有效期和手机号码,连验证程序都没有,系统就提示我支付成功了,还是有点慌的。”前几日,家住三里亭的王女士刚刚在去哪儿网上预订了周末出差即将下榻酒店的房间,通过一款最新的支付平台联动优势付款,只需卡面信息和手机号码就能完成的支付过程令她对该支付程序的安全性怀疑不已。

随后,记者亲身体验了一把这种最新的支付方式,在购物网站选择好相应的商品并点 击支付后,二级页面显示包括网银支付、支付平台等在内的多种支付方式,而写着“如果您没有网银,推荐您使用联动优势在线支付,使用联动优势支付无需开通网 上银行”的提示信息出现在显著位置,具体支付时,信用卡号、有效期、卡背面末三位数字、卡绑定的手机号这四项为需要填写的信息,而并不需要支付宝、银联在 线支付等支付平台需要的短信验证码。

安全隐患不容忽视

也就是说,一旦持卡人的卡面信息泄露,对方又知道自己的手机号码,就可以直接使用联动优势进行在线支付,盗刷似乎轻而易举。对于这种新型支付方式的安全隐患,记者昨日致电联动优势客服,但客服人员并没有给出实质性的回答。

“正常情况下,银行卡属于个人信息,不会向其他人泄露,卡号、有效期、背面末三位都属于交易的验证方式,只是省去了短信验证这个环节,目前来看,还是安全 的。”对于记者对联动优势缺少安全认证的质疑,相关客服人员仅如此表示。同时,在被问到一旦因为不需要短信认证而遭遇盗刷,责任如何归集时,该工作人员仅 表示,“我们对于假如的问题没有办法回答。”

日常应保护好卡面信息

“其实这种做法是沿袭 了国外的支付传统,欧美的在线支付方式基本默认输入卡号即可,但这是由国外健全的诚信体系决定的,目前国内的实际情况确实并不太适用。”中信银行杭州分行 资深理财师丁志毅表示,相比需要使用U盾认证或是手机短信认证的在线支付方式,这种新型支付方式的安全系数会出现一定程度的下降。因此,建议持卡者日常应 保护好自己的卡面信息,卡背面3位安全码最好用贴纸遮盖,卡片平常也应该放置在隐秘位置,在实体店消费时要自己拿卡刷POS机,不要交给服务员,输入密码 时要遮挡好,更不要向服务员透露自己的姓名和手机号,因为不排除有记性好的服务员在消费时记下你的卡面信息。

此外,开通短信提醒功能也较为重要。一旦卡片被盗刷,手机会收到短信提醒,这个可以保证持卡人在第一时间知道自己卡的消费情况,此时,持卡人可以及时冻结信用卡,以免损失进一步扩大。

1.2 Shodan:互联网上最可怕的搜索引擎

虽然目前人们都认为谷歌是最强劲的搜索引擎,但其实真正的高手是Shodan,其可谓是互联网上最可怕的搜索引擎。与谷歌不同的是,Shodan不是在网上搜索网址,而是直接进入互联网的背后通道。Shodan可以说是一款“黑暗”谷歌,一刻不停的在寻找着所有和互联网关联的服务器,摄像头,打印机,路由器等等。每个月Shodan都会在大约5亿个服务器上日夜不停地搜集信息。

Shodan所搜集到的信息是极其惊人的。凡是链接到互联网的红绿灯、安全摄像头、家庭自动化设备以及加热系统等等都会被轻易的搜索到。Shodan的使用者曾发现过一个水上公园的控制系统,一个加油站,甚至一个酒店的葡萄酒冷却器。而网站的研究者也曾使用Shodan定位到了核电站的指挥和控制系统及一个粒子回旋加速器。

Shodan真正值得注意的能力就是能找到几乎所有和互联网相关联的东西。而Shodan真正的可怕之处就是这些设备几乎都没有安装安全防御措施,其可以随意进入。

Rapid 7 的首席安全官HD Moore,表示:你可以用一个默认密码登陆几乎一半的互联网。就安全而言,这是一个巨大的失误。

如果你搜索“默认密码”的话,你会发现无数的打印机,服务器及系统的用户名都是“admin”,密码全都是“1234”。还有很多系统根本不需要认证,你所需要做的就是用浏览器进行链接。所以如果你在使用默认密码的话,请现在就改换新的密码。

如果Shodan落入坏人之手的话,那真是一个可怕的东西。

而更大的问题是很多设备根本不需要链接到互联网。很多公司常常会买一些他们能够控制的系统,比如说一个电脑控制的热力系统。而他们又是如何把热力系统链接到网上的呢?为什么不直接控制呢?很多IT部门就直接把这些系统插入到网络服务器上,殊不知,这样就和世界分享这些系统了。

Shodan的研发者Matherly表示,这些链接到网上的设备根本没有安全防御措施,他们根本就不应该出现在互联网上。
而好消息就是Shodan几乎都是用在了好的方面。

Matherly对搜索数量也进行了限制。比如没有账户的用户最多提供10个搜索结果,而有账户的用户则可以享受50个搜索结果。如果你想要Shodan提供的所有信息,那Matherly会就你所要搜索的内容,要求你提供更多的信息且付费。

同时,Matherly也承认坏蛋会使用Shodan,但到目前为止,大多数网络攻击都集中在窃取财物和知识产权上。坏蛋们还没有试图摧毁一栋大楼或毁坏市内的红绿灯。

安全防御措施的专业人士们都不希望使用Shodan时搜索到这些没有防御措施的设备及系统。但同时,互联网上有太多可怕的东西,那些没有防御措施的设备只能等着被攻击。

1.3 MySQL安全分析:缓解MySQL零日漏洞

一些世界上最大的公司(例如Facebook、谷歌和Adobe)以及很多规模较小的企业都在使用Oracle公司的MySQL数据库服务器软件。它的性能、可靠性和易用性使其成为在LAMP(Linux、Apache、MySQL、Perl/PHP/Python)平台上构建的数千Web应用不可缺少的部分。鉴于其庞大的用户群,最近发现的几个MySQL零日漏洞利用引起IT安全团队的高度关注,也激起了攻击者对MySQL安全的兴趣。

本文将讨论MySQL安全状况和这些MySQL零日漏洞威胁。我们还将为MySQL用户提供一些可行的缓解措施,和可能的MySQL替代方案。

MySQL零日漏洞概述

为了确定最近MySQL零日漏洞的严重程度,我们首先必须深入分析每个漏洞。这些漏洞已经被分配了以下公共漏洞和暴露(Common Vulnerabilities and Exposures CVE)ID:

CVE-2012-5611 MySQL基于堆栈的缓冲区溢出:这是通过发送超长参数到GRANT FILE命令来触发的,该操作会导致堆栈缓冲区溢出。它将允许远程攻击者执行任意代码,甚至可能导致数据库崩溃。

CVE-2012-5612 MySQL基于堆的溢出:低权限经验证的远程攻击者可以通过发送一系列特制的命令来导致堆缓冲区溢出。

CVE-2012-5613 MySQL数据库权限提升:这并不被认为是一个安全漏洞,而是MySQL错误配置的结果,它可能导致远程认证用户获得管理员权限。

CVE-2012-5614 MySQL拒绝服务(DoS):通过发送SELECT命令以及包含XML(有大量独特的嵌套元素)的UpdateXML命令,一个认证用户可导致拒绝服务。

CVE-2012-5615 MySQL远程preauth用户枚举:远程攻击者可以基于MySQL生成的错误消息来发现有效的MySQL用户名。

乍一看,这个列表似乎指出了很多令人担忧的问题,包括DoS攻击、权限升级、身份验证绕过和代码执行。但其实CVE-2012-5615已经出现很长一段时间了,并记录在MySQL开发者手册中。此外,如果攻击者想要成功利用漏洞CVE-2012-5611(实际上是复制了较旧漏洞CVE-2012-5579)和CVE-2012-5614,他/她将需要有效的MySQL用户名和密码。而对于CVE-2012-5613,攻击者则需要有FILE权限(对服务器的读/写访问)的人的有效登录账号。这并不是一个漏洞,因为这种已知的服务器行为只能发生在错误配置的服务器。手册上说,最多只能向数据库管理员授予FILE权限。

因此,在实际情况中,只有CVE-2012-5612和5614需要引起真正的关注。通用漏洞评分系统(CVSS)是评估安全漏洞的标准方法,分数范围从0到10,0代表最不严重,10代表最严重。CVE-2012-5612的得分为6.5,CVE-2012-5614的得分为4.0,所以它们并不是最严重的漏洞。目前还没有报道有利用这些漏洞的攻击,但趋势科技已经发布了“深度包检测”(DPI)规则,并将这些漏洞涵盖在其防火墙规则中。

仍然担心MySQL安全?尝试替代方案

对于仍然担心潜在漏洞的MySQL用户,可以采取一些措施来进一步保护MySQL。首先,确保远程用户发到数据库的命令经验证后为有效和符合常理的。例如,SHOW FIELDS FROM命令应该被阻止,这种命令只可能来自恶意用户。同时,确认MySQL没有监听可从互联网访问的端口;理想情况下,限制对主机或子网上MySQL的访问。确认所有测试账户和不必要的权限已被删除,当新版本发布时,尽快升级MySQL,因为其中修复了这些漏洞。

在全面风险评估后,MySQL用户如果还觉得使用该产品的风险太大,可以考虑MariaDB,它是MySQL的二进制嵌入式替代品。它不仅功能与MySQL类似(它的开发者每个月与MySQL代码库混合,以确保兼容性),而且它经常先于MySQL打补丁。此外,它有MySQL中没有的很多选择、存储引擎和漏洞修复,虽然没有管理支持。

总结

也许这些MySQL零日漏洞可能没有想象的那么严重,但它们却提醒着我们,正确配置数据库软件及运行这些软件的操作系统是保持数据安全的重要因素。虽然MySQL很容易设置和使用,但企业应该多花些时间确保MySQL的安全配置,很多企业急于推出新的web应用而常常忽略了这个步骤。错误配置的服务器很容易受到攻击。对于所有MySQL用户,笔者建议阅读涉及安全问题的MySQL参考手册的第六章,特别是第6.1.3节《Making MySQL Secure Against Attackers》。你可以在MySQL网站找到关于MySQL漏洞的信息。

1.4 网络攻击日益升温 安全技术滞后黑客步伐

历史上最大规模的DDoS网络攻击持续十天之后,终于在上周四濒临尾声。据悉,感染病毒的开放DNS解析器数量多达2500万个,攻击强度高达300GB/s。

据国外媒体报道,这起最大规模的网络攻击源于反垃圾信息组织Spamhaus封杀荷兰网站Cyberbunker的一些服务器,由此引起恶意黑客们对前者的恶意报复。

黑客们采用了分布式拒绝服务攻击(DDoS)的方式,对象是Spamhaus的域名系统服务器,导致很多热门服务受到影响。相比之前发生在2010年,被称为最大规模的强度为100GB/s的DDoS攻击,这次攻击强度高达300GB/s。

目前,分布式拒绝服务攻击已经成为黑客们最为经常使用的攻击方式。就在不久之前,代码共享托管网站GitHub就因连续遭受DDoS攻击而导致服务中断。而提供云安全服务的美国公司CloudFlare也是因为DDoS攻击中断一小时的服务。根据波耐蒙研究所的最新调查报告显示,基于网络的攻击和拒绝服务式攻击被列为受访者公司所经历过最严重的攻击类型。

如今,企业面临的安全情况变得更加糟糕。在Arbor Networks发布的《全球基础设施安全报告》中指出,分布式拒绝服务(DDoS)攻击在规模上趋于稳定,但却更加复杂。同时,DDoS攻击已经成为高级持续威胁(APT)的一部分,而APT则成为服务提供商和企业的头等大事。

此外,随着数据中心的规模兴建和云服务的普及,数据中心和云服务成为重点攻击目标,还有诸如BYOD安全,2013年,企业面临的安全形势更加严峻。“网络攻击又升温了,这是一件非常令人不愉快的事情。”一些企业IT技术人员向记者抱怨。

安全威胁升级

在刚刚结束的RSA 2013信息安全大会上,高级持续威胁成为大家讨论最多的话题。针对非常明确的预先确定目标的最复杂长期攻击被称为高级持续威胁(APT)。

在APT攻击中,通常首次行动是进行侦察,以搜集目标情况。然后,攻击者对目标网络进行初步入侵,已打开后门,并持续进入网络。这通常伴随着采用僵死感染主机,从而允许攻击者与感染主机通信,而不会被发现。然后,攻击者努力深入渗透网络,并控制更多节点。之后,攻击者实现其目标,利用感染主机来远程搜集数据或造成有意破坏,同时长期保持存在而不被发现。

在过去几年,发生过多起至今令业界记忆犹新的APT攻击,Google极光攻击,Google的一名员工点击即时消息中的一条恶意链接,惹上APT,造成大量关键性的数据被窃取;夜龙攻击,被McAfee在2011年2月发现,目标指向全球主要能源公司;当然还有RSA的SecurID遭遇窃取,其后果导致很多使用SecurID作为认证凭据建立VPN网络的公司受到攻击,重要资料被窃取。

如果说前两年APT攻击还是极为个别的现象,那么今年将成为APT攻击频发的一年。多项安全报告都给出了类似预测。

Check Point在其《2013安全报告》中指出,网络犯罪分子不再是孤立的业余爱好者。在许多案例中,网络犯罪分子属于结构延米的组织,他们类似恐怖分子小组,资金充足,具有动机和目标。

Check Point中国区大客户总监李若怡告诉记者,如今企业面临的最严重网络安全威胁之一就是僵尸网络,未来,僵尸将在针对性APT攻击中发挥关键作用。而根据Check Point的调查,在63%的企业中,至少发现了一种僵尸。因此可以预计,APT攻击在今年会更加普遍。

令企业头痛的是,在他们努力追赶技术潮流的时候,却同时背上了更多潜在的网络安全威胁。不少专家指出,针对云服务和数据中心的攻击将成为黑客们的重点对象。

在Arbor Networks的《全球基础设施安全报告》中就指出,94%的数据中心运营商都表示受到攻击。

此前,一位吉林联通的数据中心人员告诉记者,频繁发生的网络攻击让他们特别头痛,不少企业的数据都放在数据中心,一旦出现宕机或数据泄露,将严重影响用户的感知。

因此,今年越来越多的安全企业将关注数据中心的安全问题。

瞻博网络大中国区安全行业营销顾问杜建峰向记者表示,去年很多企业关注大数据安全,但是回归本质大数据是要做数据分析,今年企业将更多的注意力已经转移到保护数据中心网络安全。

当然,企业面临的安全挑战还有很多,例如BYOD安全,这恐怕也将在今年频繁挑战企业IT管理者的神经。

技术无法解决一切

为了尽可能避免网络安全攻击带来的严重后果,企业试图通过一些新兴的安全技术或产品来武装IT系统。例如,下一代防火墙、具有信誉反馈的入侵防御系统和Web应用程序防火墙。

然而,波耐蒙受瞻博网络委托进行的“新兴网络安全技术功效研究”却一针见血地指出,新兴安全技术不足以抵御网络威胁。
报告指出,下一代防火墙和Web应用防火墙通常只部署在显示器上,并且由于误报问题使用非阻塞模式。这个问题似乎会影响到大多数安装基础,这表明作为一个缓解威胁的方案,新兴技术的结合并没有达到预期,不能有效制止机密信息泄露和网络破坏。

波乃蒙通过对企业的调查也进一步佐证了此结果。不到一半(48%)的受访者认为,新兴的网络安全技术没有达到预期的效果,无法将那些破坏Web应用程序或产生无端互联网流量的攻击最小化。

拥有15年网络安全经验的杜建峰也向记者坦承,虽然安全企业每年投入大量的资金和人员研发更加先进的安全技术,但由于企业存在管理疏漏或是其他一些不可避免的因素,总会被黑客找到企业可以利用的漏洞。但这并不能说明安全厂商的设备是不安全的。

瞻博网络大中国区技术总监王卫给出建议,防御更加复杂的安全威胁,需要以一种新的方式思考网络防御。企业必须把重点放在检测和分析早期,而不是在病毒大规模介入之时才开始防御。

因此,在波耐蒙的报告中指出,半数的受访者表示,其企业使用的新型网络安全技术得以有效地操作,依赖于内部人员具备的知识和技能。所以,引进合格并且熟练的安全专家非常重要。

尽管如此,网络攻击或许还是无法避免,正如美国联邦调查局局长Robert Mueller所说,只有两类公司,一类是被攻击的公司,一类是将被攻击的公司。

1.5 定期修补系统漏洞 确保网站安全运行

随着互联网的发展,企业和政府类站点越来越多,然而很多单位都忽略了网站的安全管理。因为服务器系统的漏洞、网站程序漏洞及管理人员的疏忽,使得黑客有机可乘。因此,定时对系统、网站进行漏洞扫描,实时掌握系统及网站的安全状况,才能保证网站的正常运行。

前段时间,诸如苹果、Facebook、Twitter等国际科技和互联网巨头相继遭到黑客攻击,造成用户个人信息资料外泄和网站遭篡改。而这一系列的攻击均因浏览器上的Java程序漏洞导致。这些事件再一次显示出安全漏洞管理的重要性。

对网站环境的检测包括两个方面:

·主机系统的安全检测,定期漏洞扫描检测,确认系统安全性;

·Web应用程序的安全检测,对网页应用程序漏洞进行扫描。

无论是网站运行的主机系统,还是网站程序,都有存在零日漏洞的可能。因此对网站的检测,最好的办法是通过人模仿黑客攻击技术,以非侵入方式检测企业及各单位网站是否具有安全性,及时发现网站脆弱的地方,方便网站管理人员针对性地加强系统安全,完善网站后台程序。目前国内很多安全厂商的团队在从事此类工作,发现漏洞及时通知网站管理人员。

另外,网站管理人员主动简化网站程序,也能在一定程度上减少程序漏洞对网站安全的影响。很多网站喜欢使用程序外置的各种插件,甚至有些还是测试程序。这些插件存在不少问题,这样一来,黑客就可以很容易地对网站进行旁注等入侵,导致网站安全存在极大的隐患。因此建议网站在进行一些插件测试之后,将不用的程序文件全部删除,以免对网站的正常运行造成危害。

对于一些常见的建站程序,应及时地关注官方升级,安装补丁程序,这也是保障安全的一个方法。

1.6 "黑客"收钱代删交通违章记录 交警合同工侵入数据库

有人负责拉“生意”,有人负责侵入交警的数据库,宿州一伙人帮助20多辆车删除了违章记录,非法牟利4万余元,其中3人是宿州市交警支队合同工。

昨天下午,记者从宿州市埇桥区检察院获悉,犯罪嫌疑人杨某、陈某某、李某、昌某涉嫌破坏计算机信息系统罪,被批准逮捕。

据了解,犯罪嫌疑人杨某、陈某某、李某均为宿州市交警支队合同制工人,犯罪嫌疑人昌某为一家二手车中介公司老板。2012年4月,陈某某、李某打起歪主意,想通过非法手段替人删除车辆违章记录,从中牟利。两人找到了精通电脑技术的犯罪嫌疑人杨某。杨某经过研究,成功非法侵入交警系统后台数据库。随后,陈某某、李某找到了昌某,由昌某充当“黄牛”拉生意,杨某则负责侵入宿州市交警支队车辆违章系统后台数据库,删除车辆违章记录。

2012年12月26日,宿州市公安局接到交警支队报案,称在宿州市交警综合信息平台系统中,发现有非法侵入删除车辆违章信息的情况。遂案发。

1.7 最囧黑客盗2562账号偷50Q币

辽宁人黄某利用黑客软件,窃取了江苏某电子商务公司网站2562组用户名和密码,共偷得50个Q币,折合人民币46.5元。
昨天上午,南京玄武法院开庭审理了这起非法获取计算机信息系统数据案,尽管获利较低,但黄某可能面临3年以上的刑罚。

现代快报记者 马薇薇

网站被“黑”损失近百万

江苏某电子商务公司网站是个代充值、缴费、代收款和收单平台。

2012年7月底,这家公司突然发现系统海量数据库被黑客攻击,短短几天时间就有1.2万组账号被盗。公司负责人称,重启需要至少半天的时间,带来近百万的损失。

南京玄武警方进行侦查,很快锁定是在辽宁的黄某作案。让人惊讶的是,黄某只有初中文化,对于电脑知识也是一知半解。想要成功获取用户账号和密码并非难事,只要一个扫号程序和样本数据就可以。

破数千账号偷到50Q币

2012年夏天,黄某的妻子生下了儿子后就离家出走,黄某既要当爹又要当妈,经济负担可想而知。

那段时间,黄某整日在网上聊天,发泄自己的郁闷。一天,群里有个朋友向他推荐了“生财之道”——获取网络账户盈利。

于是,黄某花300元买了一个扫描程序(也称扫号器),还买了一组包含海量用户名和密码的“信息库”。先将“信息库”数据编辑成TXT文档,通过扫号器进行 “扫号”,验证成功的账号和密码自动保存到对应的文档。

黄某仅仅用了1天多的时间,就扫描了江苏某电子商务公司500多万组数据,成功获取具有支付结算功能的账户和密码共2562组。不过,只有7组是有余额的,一共50个Q币,他全部转移到自己的账户上。

“黑客”犯罪如何量刑?

此案并未当庭宣判。 承办检察官表示,虽然黄某仅仅获利50元不到,但其海量扫描的行为,对电子商务公司造成了极大性能压力和损失,同时,也给社会公众的信息安全带来了很大隐患。

所以在量刑时,他们并没有考虑黄某的获利,而是其造成的恶果,所以建议量刑在三年以上七年以下。

据新司法解释规定,获取支付结算、证券交易、期货交易等网络金融服务的账号、口令、密码、数字证书等信息10组以上;获取其他如账号、口令等身份认证信息500组以上;非法控制计算机信息系统20台以上;违法所得5000元以上或造成经济损失1万元以上,可判处3年以下有期徒刑等。如达到上述标准的5倍以上,属于情节特别严重,可处3年以上7年以下有期徒刑。

1.8 警惕高科技!汽车遭遇黑客入侵盗窃

据美国媒体AolAutos 消息,当汽车迎来智能时代时,却面临以前只有在电脑中才会出现的情况:遭遇黑客入侵。

警惕黑客入侵汽车电脑系统,解锁车门,盗窃汽车

近日,美国加州长滩市警方正在寻找两名使用某种无线设备解锁车门的嫌犯。监视器录像中显示他们手中握有某种设备,在靠近车辆时,车内亮灯,车门解锁。警方疑惑盗贼是如何入侵汽车无线系统的。

这并不是首例运用高科技手段入侵车辆的案件。去年在芝加哥,摄像机拍下了类似的作案过程。当地警方推测盗贼是使用了某种解码软件获取汽车遥控钥匙信号后解锁汽车的。

难以想象,整个过程只需一部手机。

现在许多汽车配有手机应用程序来解锁车门并启动汽车。这些应用程序向服务中心发送消息后,服务中心会向汽车发送指令信号。盗车贼能够拦截这些信号用于作案。

因此,在享受便捷功能的同时,汽车正面临着高技术犯罪的危险。在2011年的一个信息安全会议上,一名技术顾问只用了一部手机和一台笔记本电脑就在短短几分钟内成功入侵车辆安全系统,并可以在两个小时左右发动汽车。

1.9 日本门户网站Goo遭攻击 10万账户信息泄露

日本电信NTT旗下门户网站Goo在3日确认,有黑客尝试用从其他渠道得来的用户名和密码信息登录该网站,并查看用户在网站记录的银行卡信息等。截止4日,已有10万个会员账户被侵入。4日,日本雅虎也表示,有证据显示公司内网的大约127万份用户资料被窃取,但在准备向外传送的前一刻被发现。

之所以判断用户信息不是从Goo自身流出,是因为一部分尝试过的密码使用的字符是Goo的密码不允许使用的。

Goo目前有1800万帐号,提供搜索、购物、翻译和电子邮件等服务。由于黑客尝试不同地域登录并不断变化IP地址,不能通过封锁IP进行防御。为确保安全,Goo对有问题的账户暂时冻结,用户需要凭密码验证问题解锁。

日本雅虎称,127万份资料包括用户名、加密的密码、注册的电子邮箱地址、忘记密码的提示语等。网络安全部门发现后及时切断了网络,使这些资料没有来得及发送出去。日本雅虎称后续将追查入侵路径以及黑客所在地,并对内网进行漏洞排查。

目前没有证据表明两起事件有关联。两家公司呼吁民众隔段时间修改密码,不要在多个网站使用同样的密码。

 

2 本周关注病毒

2.1 Trojan.FakeWord.b(‘Word伪装者’木马病毒)

警惕程度 ★★

该病毒通过伪装成Word文档欺骗用户,病毒运行后会修改注册表,以实现开机自启动。同时病毒会打开名为Schedule的服务,通过对比参数的方式判断病毒运行方式,并释放Skype盗号软件。一旦截取到相关信息,病毒会将用户的Skype帐号及密码发送至黑客指定地址,中毒电脑将面临账号被盗及隐私信息被窃等风险。

2.2 Trojan.Win32.Fednu.unj(木马病毒)

警惕程度 ★★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 Trojan.Win32.StartPage.qhw(木马病毒)

警惕程度 ★★★

该病毒会在桌面上生成一个和原来的IE图标完全相同的图标,用户打开这个假的IE图标就会访问黑客指定的网站。病毒还会劫持浏览器的搜索引擎和多种第三方浏览器软件,到达提高网站点击率的目的,并且还会在后台下载安装流氓软件。

 

3 安全漏洞公告

3.1 ESPCMS cookie注入漏洞

ESPCMS cookie注入漏洞

发布时间:

2013-04-04

信息来源:

 

漏洞描述:

易思ESPCMS企业网站管理系统基于LAMP开发构建的企业网站管理系统。ESPCMS在某个in_list函数内存在一个cookie注入漏洞,问题代码获取cookies[‘ecisp_order_list’]的值,没有经过过滤,直接被用来构造了sql语句,并带入了查询。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.espcms.cn/

3.2 Huawei AR系列路由器DHCP报文解析拒绝服务漏洞

Huawei AR系列路由器DHCP报文解析拒绝服务漏洞

发布时间:

2013-04-07

漏洞号:

BUGTRAQ ID: 58939

漏洞描述:

Huawei AR是低端的企业级系列路由器。
当某类IP电话连接到Huawei AR V200R002C01SPC200及之前版本时,以DHCP方式向AR路由器请求地址信息时携带特殊字段,AR路由器设备处理特殊字段时发生异常,导致设备复位。漏洞存在于设备对DHCP包某认证和授权域的处理过程。局域网内的攻击者可以利用该漏洞造成网络崩溃。

安全建议:

Huawei已经为此发布了一个安全公告(hw-258476)以及相应补丁:
hw-258476:The AR Abnormally Resets When Receiving Special DHCP Packets
链接:
http://www.huawei.com/en/security/psirt/security-bulletins/security-advisories/hw-258476.htm
补丁下载:
http://support.huawei.com/enterprise/softdownload.action?idAbsPath=
fixnode01%7C7919710%7C9856750%7C7923148%7C9858988%7C6078839&pid=
6078839&vrc=6157054%7C7213777%7C9843315&show=showVDetail&tab=
bz&bz_vr=7213777&bz_vrc=&nbz_vr=null

3.3 多个D-Link产品命令注入和信息泄露漏洞

多个D-Link产品命令注入和信息泄露漏洞

发布时间:

2013-04-08

漏洞号:

BUGTRAQ ID: 58938

漏洞描述:

D-Link是国际著名网络设备和解决方案提供商,产品包括多种路由器设备。
DIR-600/DIR-300 revB/DIR-815/DIR-645/DIR-412/DIR-456/DIR-110在实现上存在多个安全漏洞,攻击者可利用这些漏洞获取敏感信息并在受影响设备中执行任意命令。
1、OS命令注入
由于dst参数缺少输入验证和会话验证,可导致注入和执行任意shell命令。
2、信息泄露
某些server banner可轻易检测到某类设备。
3、信息泄露
通过网络可获取详细的设备信息。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.dlink.com/

3.4 McAfee Email Gateway远程拒绝服务漏洞

McAfee Email Gateway远程拒绝服务漏洞

发布时间:

2013-04-02

漏洞号:

BUGTRAQ ID: 58901

漏洞描述:

McAfee Email Gateway 是一款全面的电子邮件安全解决方案。
McAfee Email Gateway 7.x在处理电子邮件附件时存在错误,通过精心构造的附件,攻击者可利用此漏洞触发内存泄露并终止应用程序。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.mcafee.com/

3.5 PostgreSQL 密码泄露漏洞

PostgreSQL 密码泄露漏洞

发布时间:

2013-04-04

漏洞号:

BUGTRAQ ID: 58882
CVE(CAN) ID: CVE-2013-1903

漏洞描述:

PostgreSQL是一款高级对象-关系型数据库管理系统,支持扩展的SQL标准子集。PostgreSQL 9.2.x、9.1.x、8.4.x向与"graphical installers for Linux and Mac OS X"相关的脚本提供了超级用户密码,在实现上存在安全漏洞,目前影响未知。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.postgresql.org