当前位置: 安全纵横 > 安全公告

一周安全动态(2013年7月04日-2013年7月11日)

来源:安恒信息 日期:2013-07

2013年7月第二周(7.04-7.11)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 斯诺登公布新文档:美英澳加新五只眼监控全球

据英国《卫报》报道,美国中央情报局前雇员斯诺登最近公布了一批新的文档,显示美国的盟友澳大利亚和新西兰也参与了美国监控全球的项目。巴西《环球报》9日披露,美国对大部分拉美国家实行监控,主要针对能源信息。

“五只眼”无孔不入

据悉,美国、英国、澳大利亚、加拿大和新西兰组成了一个情报分享联盟“五只眼”。加入该组织的情报机构暗自较劲,看谁能通过互联网更深入地获取私人和商业通 信。资料显示,各情报机构特工最高兴的事就是监视一切,尽可能多地渗透进隐私系统。“五只眼”的成员似乎争相成为这一跨国情报世界中最强大的一员。此外, 虽然在监控本国公民的通信时要遵守严格的法律规范,但在涉及外国公民时绝对不会谨慎行事。

根据斯诺登泄露的资料,从欧洲发出的任何资料,电子邮件、档案或短信,在被美国处理之前都很有可能被一个英国监控系统拷贝和分析,监控的对象包括谷歌(微博)和微软等美国企业的电子邮件网络和Skype通讯,还有以美国为目的地或信号经过美国的普通电话通话。

报道说,被拷贝的信息都会保存3天,以供英国情报机构的电脑进行分析,提取通话双方的信息,然后选取某些具体的通信内容无限期保存。余下的信息转入另一个信息存储系统。

报道指出,这项监控计划的规模和普遍存在性引起欧洲各国和机构的质疑,因为斯诺登泄露的信息表明,任何通过外国抵达美国或美国互联网运营商的东西都不再是个人的私隐了。

澳大利亚总理陆克文的发言人目前拒绝就此事发表评论。

监控拉美能源信息

根据斯诺登披露的内容,巴西知名报纸《环球报》9日报道,一些拉美国家为美国国家安全局监视的主要目标,尤其是哥伦比亚、委内瑞拉、巴西和墨西哥。这一项目通过监视拉美国家的电子邮件和电话通讯资料,主要集中针对能源问题,而非仅仅有关军事、政治和反恐的信息。

报道说,美国收集墨西哥能源和委内瑞拉石油的信息,但没有进一步消息表明美国针对的是哪些信息以及哪些公司。
哥伦比亚和墨西哥、巴西是最近5年受监视截取信息最多的三个国家。美国对阿根廷和厄瓜多尔以及其他国家有类似的行动。报道没有公开具体有多少信息被截取。

报道还说,斯诺登披露的文件表明,美国中央情报局和国家安全局2002年联合通过外国卫星从65个国家获取信息,其中包括拉美5国。国家安全局在哥伦比亚首 都波哥大、委内瑞拉首都加拉加斯、墨西哥首都墨西哥城、巴拿马首都巴拿马城以及巴西首都巴西利亚拥有通过卫星截取资料的收集中心。但没有公开信息表明 2002年后卫星间谍活动是否还继续,这些收集中心是否还存在。

报道指出,国家安全局广泛收集电话和网络“元数据”记录消息时间、地址和其他信息而非消息内容。从数亿美国电话客户和美国境外的电话及网络收集资料,包括谷歌在内的9家美国网络供应商使用者。

链接

委外长说未得到斯诺登答复

委内瑞拉外长豪亚9日表示,委内瑞拉政府至今未收到美国中央情报局前雇员斯诺登是否接受在委避难的答复,并强调斯诺登不在委内瑞拉境内。

豪亚当天对媒体说,委政府希望斯诺登尽快确认是否接受在委内瑞拉避难。如果斯诺登接受在委避难,首先必须到达委内瑞拉领土,委内瑞拉为此将与俄罗斯就安全措施进行沟通。

豪亚说,斯诺登一旦抵达委内瑞拉,委将根据国际法向其提供人道主义避难,且不会迫于美国的压力引渡斯诺登。

俄罗斯国家杜马国际事务委员会主席阿列克谢·普什科夫9日在推特上表示,斯诺登已同意接受委内瑞拉方面的政治避难建议。不过这条信息在发布几分钟后被删除,一直协助斯诺登的“维基揭秘”也否认其已接受委方提供的政治避难。

1.2 欧洲议会启动棱镜门调查 首次听证9月5日展开

欧洲议会民权委员会(Civil Liberties Committee)7月10日就“棱镜门”举行听证会,正式决定成立工作组,对美国数据监控项目进行深度调查。就此调查展开的首次听证将在9月5日展开。听证对象将包括欧美政府部门、欧盟成员国议会,以及与欧美间数据共享有牵涉的私人公司等。调查将在今年年底前给出结果。

议会民权委员会还会在10月派出代表团前往华盛顿,就此调查的相关议题,与美国政府和国会展开会谈。议会外交委员会(Foreign Affairs Committee)也会进行类似访问。此前欧洲议会主席和政治团体领导人正式确认了就此展开调查;议员同时呼吁对揭秘者进行更多的保护。

民权委员会本周一已要求欧盟委员会、欧洲理事会和成员国,考虑所有可能的谈判选项,包括暂停欧美之间现有的航空旅客和银行数据交换协议。

欧洲议会是目前仍对“棱镜门”保持高调批评态度的欧盟机构之一。在欧盟《里斯本协议》2009年底生效后,欧洲议会在政策制定和预算事项上拥有了更多权力,其中包括在贸易政策上对欧委会的监督角色。

在美国情报部门的窃听监控行为曝光之初,欧委会和成员国反应激烈。而在美国总统奥巴马表示“严肃对待欧洲的关切”之后,双方都试图降低调门,以避免正在美国华盛顿进行的美欧自贸(TTIP)第一轮谈判开局不利。

欧洲议会国际贸易委员会(International Trade Committee)也在7月10日当天的听证中表达了关切。来自德国的议员郎恩(Bernd Lange)要求轮值主席国立陶宛回答:TTIP谈判是否能确保欧洲数据得到保护?

民权委员会在7月8日本周一,以483票赞成、98票反对和65票弃权的投票结果,通过了展开调查的决议案。议员对美国“棱镜”(PRISM)和其他监控项目严肃表达了强烈不满。

欧洲议会发言人杰姆·达奇(Jaume Duch)对本报确认了议会主席舒尔茨(Schulz)对此的正式态度。舒尔茨对美国的监控项目感到“震惊”:如果事情属实,将严重影响美欧关系。

“棱镜门”也的确对欧美正在展开的自由贸易协议第一轮谈判构成负面影响。欧美在银行、交通等方面本已有数据交换协议。
议会外交委员会资深议员、联合国前副秘书长皮诺·阿拉基也说,欧洲议会认为,在美国没有做出保证和拆除美国监听公民私人谈话所需的所有设备之前,与美国签署任何新协议都是无法接受的。

欧洲议会表示:“贸易谈判不应该低估数据保护。”决议说,欧盟数据保护标准不应该被视作欧美自贸协议的一个结果而遭到低估。不过决议补充说,如果自贸谈判受到监听指控的影响,那将是“不幸的”。

因此,欧洲议会敦促欧委会和美国政府应立刻恢复数据保护协议的谈判,最终结果应保证欧洲公民与美国公民一样,在美国司法系统中享有同等权利。

议会也对欧盟成员国涉嫌参与此项目表达了严重关切。英国、瑞典、荷兰和德国,都被披露与美国的监听监控行动存在关联。议会因此敦促这些国家自查,这些监控是否符合欧盟法律。

议员也对展开调查给出了建议,以及加强欧盟机构在信息技术方面的安全措施。

揭秘者保护也在欧洲议会的听证范围内。议会强调建立程序的需要,允许揭秘者披露严重侵犯基本人权的行为,以及给揭秘者提供所需保护的重要性,包括在国际层面上提供保护。

目前,“棱镜门”揭秘者斯诺登正在评估委内瑞拉等拉美国家的避难。

1.3 斯洛登声称NSA和以色列合作开发了Stuxnet蠕虫

Edward Snowden在接受德国《明镜周刊》的采访中透露(英文翻译),美国国家安全局(NSA)和以色列联手开发了破坏伊朗铀浓缩设备的Stuxnet蠕虫。《纽约时报》曾在2011年引用一本新书的内容声称,美国和以色列开发和部署了Stuxnet蠕虫,目的是通过向工业控制系统发送特定指令改变转速破坏伊 朗铀浓缩离心机。

Snowden指出,NSA有一个部门叫外国事务理事会FAD,它一直与外国政府如以色列密切合作,与以色列共同开发了Stuxnet。采访并没有透露多少细节。Snowden说,英国情报总监GCHQ的监控项目Tempora在情报领域首次引入了全盘储存概念,保存所有数据,而不管数据究竟是什么,是否侵犯隐私,凡是发送或经过英国的数据包都会被GCHQ保存下来。

1.4 报道称法国也拥有类似“棱镜”的监控计划

法国总统弗朗索瓦·奥朗德(Francois Hollande)一直都旗帜鲜明地反对美国对欧洲机构进行窃听,但当“棱镜门”丑闻曝光以后,他沉默的态度引发了一些人的批评,毕竟“棱镜”计划将全球 各地的用户数据都囊括其中,也包括来自法国用户的数据。现在,如果法国《世界报》(Le Monde)的一篇报道属实,那么奥朗德的沉默态度就可以理解了。

这篇文章是在周四发 表的,文章宣称法国情报部门对外安全局(DGSE)也有自己的类似于“棱镜”的计划,其内容是在法国内部的通信活动中收集元数据。此外,流入法国和从法国 流出的数据也同样会被收集。报道称,这些数据被存储在对外安全局的地下室里,该局在这个地下室里配备了一台超级电脑用来消化收集的数据。

除了对外安全局,其他法国情报机构很明显也可以获得这些数据。这项计划可能是不合法的,原因是根据法国监控相关法律的规定,情报机构需要为每项个案取得授权才能进行这种计划。

在“棱镜门”事件发生以后,法国并非唯一被曝光从事秘密间谍活动的欧洲国家。“棱镜门”丑闻的告密者爱德华·斯诺登(Edward Snowden)就揭发了英国当局一个名为“Tempora”的计划,其内容是对全球范围内的骨干网进行监控。

在整个欧洲的层面上,“棱镜”计划很明显正面临着排斥情绪。欧盟司法专员维维安·雷丁(Viviane Reding)周三表示,她就这项计划向美国方面提出的第一批问题并未收到完整的答复,随后她已进一步提出更多问题。她指出:“即使是与国家安全有关,也 不意味着这种计划就能为所欲为。”

但是,根据欧盟公约的规定,国家安全问题必须由各成员国自己处理,因此现在可能发生的事情是,即使是在修改后的数据保护体制下,如果英国和法国决定要把这种监控活动合法化并继续从事这种活动,欧盟立法者就将变得缚手缚脚。

1.5 各国抓紧培训网络守护者

随着社交媒体的飞速发展、无线上网的日益普及和大数据时代的来临,互联网的触角逐渐伸向各行各业和生活的方方面面。美国国家安全局前技术承包人爱德华?斯诺登一个多月前揭露的“棱镜”秘密监视计划更是一石激起千层浪,令网络安全成为全球话题。为应对没有硝烟的虚拟攻击,各国纷纷加大了对培养网络安全人才的重视和投入。

网络安全卫士成为“香饽饽” “科技世界”网站上近期刊登的一份英国官方研究报告建议说,英国需要开展更多的网络安全技能培训。英国国家审计署称,缺乏接受过适当培训的专业人士阻碍了政府和企业为提高网络安全性所做的大量工作。

英国并非唯一一个认识到这一问题的国家。尽管印度享有信息技术强国的美誉,但有专家称该国存在约47万网络安全专家的缺口。面对来自包括“国内破坏者和国际对手”的网络攻击,这个国家计划在未来5 年内训练50 万名“ 网络战士”。美国总统奥巴马在今年的国情咨文演讲中同样提到了网络安全问题的紧迫性。意大利最近也发布了相关政令。可见,网络安全人才培养绝不再是政府机构或其他组织可以忽视的问题。

金融危机爆发后,欧美各国失业率一直居高不下,但网络安全人才却格外抢手。负责从2.2万个互联网招聘网站收集数据的劳动力市场分析公司——凸透镜咨询公司指出,在包括2012年在内的5年里,全球网络安全领域的招聘岗位数量增加了73%,是整个计算机领域招聘岗位平均增速的4.5倍。

《网络世界》杂志将与网络安全相关的职位视为信息技术产业最热门的工作。

据美国国家标准与技术研究所统计, 到2015年,美国将需要70万名网络安全领域的新增从业者。《华盛顿邮报》今年年初报道说,五角大楼计划在今后数年为国防部的网络司令部征召约4000名军人和文职人员,将其网络安全力量扩大近4倍。

美国国土安全部部长纳波利塔诺还先后前往加州大学伯克利分校、麻省理工学院和乔治华盛顿大学发表演讲,呼吁毕业生加入国土安全部捍卫美国网络安全。“我们需要那些既拥有创新思维,又懂得制定政策的人与我们共同面对这个严峻挑战。”美国政府对接受过专门训练的人才的渴求程度由此可见一斑。

民间黑客高手开班纳徒

橘红色的背景中,两位蒙面忍者身着黑衣,挥舞着刺刀一争高下——黑客信息公司的网站主页令人印象深刻。这家位于印度新德里的私营企业自2011年10月以来一直致力于提供与网络安全相关的咨询和培训。该公司推出的“网络安全忍者证书”课程为期一个月,涵盖法规标准、网络漏洞评估、计算机取证和渗透测试等领域并随业界要求定期更新课程内容。

在印度,致力于网络安全培训的私营公司并不少见。Lucideus Tech 公司虽成立仅1年,但过去3个月内却实现了300% 的收入增长。相比不俗的发展速度,年仅22岁的首席执行官兼联合创始人萨凯特? 莫迪的创业故事更具传奇色彩。计算机工程专业出身的莫迪上大学时曾为窃取考试答案入侵学校的计算机系统。他后来承认了错误,表示可以利用自己的才能和技术帮助学校维护网络安全。

和互联网之父提姆?伯纳斯?李等人同为“白帽黑客”(指利用黑客技术来做好事的黑客,通常是通过测试网络和系统性能判定其承受入侵程度的学术研究人员和专职安全顾问)的莫迪先是与拉贾斯坦首府斋浦尔的几所大学展开合作,继而创立了Lucideus Tech公司为全国多所高校、信息技术公司和大型企业提供网络安全培训和技术解决方案。值得一提的是,不同于大学里的书本教育,他们80%的培训内容都需要学员实际动手操作完成。“一个人只有在亲自尝试后才有资格说‘我会功夫’。”莫迪的比喻生动形象。

政府培训官员“实战演练”

在培训网络安全专业人士的热潮中,政府重要职能部门更需要查缺补漏,采取措施提高对黑客攻击的防范意识。

据《印度时报》报道,为保护自己免受网络间谍活动的威胁,印度外交部工作人员已参加了一系列研讨会。从普通职员到高级外交官都将逐步接受包括实战演练在内的培训。一名官员说:“我们了解到不要随意点击带有附件或链接的陌生邮件。而且最好每个月为官方邮箱更换一次密码。”外交部也在考虑为一些计算机安装上漏洞更少的Linux操作系统。

泰国正在与国际电子商务顾问委员会合作对40名官员进行培训,旨在将其培养成掌握计算机取证技术的“道德黑客”(指专门模拟黑客攻击,帮助客户了解自己网络的弱点,并为其提出改进建议的网络安全专家)。该国电子交易发展局将从国际电子商务顾问委员会接受1.2万美元的奖学金。首批受训官员将负责指导其他国家部门的官员学习相关知识。该机构计划截至今年年底共培训500名网络安全官员。

英国《独立报》获悉,英国陆军正在为准备应对未来的战争而实施彻底改革。其下属的预备役军人将有望通过学习成为网络安全、化学生物战争和情报搜集等方面的专家。陆军指挥官皮特?沃尔上周在伦敦皇家联合军种研究院发表主旨演讲时说,网络空间呈现出的威胁要求武装部队“进行与以往不同的思考,采取与以往不同的行动”,“因此我们需要考虑如何能够招募到并留住这一领域的专业人才”。

象牙塔身负培训重任

若想全面系统地培养出网络安全专业人员,获得政府支持、师资力量雄厚的象牙塔自然是最佳的选择。

英国已斥资6.5亿英镑执行“国家网络安全计划”。作为该计划的一部分,政府去年9月宣布拨款800万英镑帮助各大学培养下一代网络安全专家。成功申请到资助的大学将可负责运营博士生培训中心。据介绍,中心计划开设为期3年的学习班,每年培训至少8名学员。学员们将接受从网络安全技术到社会学等多个领域的培训。伦敦大学皇家哈洛威学院和牛津大学日前有幸获得部分政府拨款, 将从今年秋天开始成立网络安全研究中心,合作培训研究生对抗黑客向企业和政府发动的虚拟攻击。

按人均数量计算,以色列的科学家和工程师队伍规模为美国的两倍。该国在网络安全等科学领域投入的人力资本已相当可观,而对人才的渴求令其同样着手“从娃娃抓起”。以色列国防军3年前启动了一个特殊培训项目,被筛选出的高中生会从10年级起就开始接受网络安全培训。目前该项目招收了200名学生。今年计划将教学规模扩大为最初的两倍,并有望在两年内吸收1000名学生。申请这一项目的竞争激烈。学生们要参加2至3小时的书面测试并接受一对一的面试。若能成功入选,他们每周放学后都要集中学习6个小时,接受在校大学生的辅导,然后用2至4个小时完成额外的家庭作业。

培训不能“只看书本”

在美国,年轻人接受网络教育的机会同样不断增加。他们甚至在上大学前就可以接触到相关知识。这或许会激发其将网络安全作为追求事业的愿望。全美各地的多家大学也增设了网络安全硕士学位,或安排了内容丰富的网络安全学习项目。

如在马里兰大学的马里兰网络安全中心,学生可以通过参加夏季项目和周末研讨会学习网络安全知识。计算机科学系和计算机工程学系都为本科生提供了集中授课的机会。此外,网络安全高级实践项目组织学生们开展学术研究。网络安全俱乐部还开设了荣誉课程,为学生们提供了团队合作的机会。该校的研究生还可获得网络安全硕士学位和其他相关证书。

不过这些努力或许还不足够,专注于美国联邦政府技术应用的FCW.com网站的国土安全专栏作家安伯?科林撰文指出,尽管美国已经开始重视网络安全的培训,但很大程度上过于专注政策和理论层面,而这一领域的特殊性决定了培训不能“只看书本”。

为此美国国土安全部和教育部门合作,举行每年一届的全国大学网络安全竞赛,全国数十家大学的网络安全高手在这里迎接真正的“黑客挑战”,他们需要在多轮比赛中保护一套正在运行的电脑网络体系。网络世界中层出不穷威胁都会在竞赛中出现,为的是选出“下一代网络守护者”。此外,美国军方也将采用新的培训手段,在2015年8月之前将其网络卓越中心和信号卓越中心合并。

科林认为,这一过程能否取得成效, 关键在于训练教员是否有“真功夫”,因而美国仍急需掌握实战技术而非理论的专业人士。她引用一位业内人士的话说:“如果你是一名飞行员,你不会希望你的飞行领队只有从昨天的书本中获得的知识。”

1.6 2013年十大安全事件回顾

2013年才过去一半,我们就已经经历了一些重大的安全问题,其不仅威胁到公众的隐私,而且也对公众的工作和生活造成了极大的影响。然而,安全问题还在不断升级,纯粹娱乐性的黑客袭击时代已经过去,现在我们面临的则是个人信息遭到窃取的重大问题。

下文将与大家一起回顾一下2013年上半年的十大安全事件。随着安全问题的不断升级,今年下半年,一定还会有更严重的网络威胁发生,大众务必要做好相关安全防范措施。

10.苹果iOS 6.1.3修复版发现另一个锁屏旁路漏洞

苹果iOS曾出现一个锁屏旁路问题,即非授权用户可绕过用户锁屏访问iPhone和iPad上的用户数据。为修复该漏洞,苹果发布了6.1.3修复版本。然而,这个新版本却被发现包含了另一个重大漏洞。

9.Mega用户:一次被黑,则终生被黑

众所周知,在信息安全行业,被黑是迟早的事。但如果你是Kim Dotcom的Mega平台用户,无论如何都要想尽一切办法保证自己的账户不被黑客入侵,因为在Mega平台上,你无法修改密码,也无法删除账户。

8.著名黑客、积极行动主义者Aaron Swartz自杀身亡

Reddit联合创始人Aaron Swartz一直致力于网络数据和信息共享工作。其曾为发展和普及免费和开放信息共享标准而不懈努力。

7.美国国家安全局丑闻的背后是新闻的真实性缺失

美国国家安全局身陷监控丑闻,媒体曾披露了美国政府监视公民的丑闻事件。然而,事情还远不止于此,尽管后来媒体试图撤销该新闻,但该爆炸性丑闻事件已经无法挽回。我们需要知道更多的细节和真相。

6. 美国众议院通过网络情报共享与保护法案:是否表示美国宪法第四修正案走向终结?

网络情报共享与保护法案将允许私人机构搜索普通美国民众的个人和敏感性用户数据,用以辨别确认“安全威胁信息”,此外这些获得的个人数据,无需法院的合法授权,即可与其他参与搜索数据的私人机构和美国政府共享。

美国的两大隐私组织机构描述该法案为“错误的”、“有严重缺陷”的法律条款,他们认为网络情报共享与保护法案是对普通美国民众网络隐私的一个重大威胁。

5.美国国土安全部提醒用户禁用Java应对零日攻击

随着对零日漏洞严重性的日益担忧,美国国土安全部警告用户,要求他们禁用Java软件保护自身安全。

4.匿名黑客组织公开4000多位美国银行家登录账户和证书等信息

匿名黑客组织开展了一项名为Operation Last Resort的黑客行动,并公开了4000多位美国银行家的登录账户和个人信息,要求政府改革美国计算机犯罪法。

3.在Windows和Mac操作系统上,如何禁用浏览器Java控件

针对最新版Java 7出现的一个严重安全漏洞,用户可以采用禁用的方法保证其不受安全入侵威胁。

甲骨文在周末发布了一个Java紧急修复版。然而,安全专家们表示该修复版本并不能彻底解决问题。

2.脸谱网“shadow profiles”出现漏洞 公众表示愤怒

脸谱网出现安全漏洞,600万用户账户的个人信息外泄,随后脸谱网表示其已修复该漏洞。但该事件揭露了其对“shadow profile”的数据搜集活动,用户对此表示极其愤怒。

1.匿名黑客组织开展“Operation Last Resort”黑客行动 美国联邦政府无力招架

匿名黑客组织在一项名为Operation Last Resort的黑客行动中,于1月25日周五黑掉了美国判刑委员会网站。

 

2 本周关注病毒

2.1 Trojan.Win32.Fednu.upc(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Backdoor.Win32.Yjdg.a(后门病毒)

警惕程度 ★★

该病毒通过多层次注入和代码变换,躲避杀毒软件的查杀,通过创建虚拟桌面,并多次切换桌面,阻碍反病毒调试。中毒电脑将后台连接黑客指定服务器,并上传本机信息到控制端。用户将面临隐私信息泄露、网银账密被盗等危险,同时电脑还极有可能沦为黑客袭击他人的工具。

2.3 Dropper.Win32.NineDay.a(‘九天’后门病毒)

警惕程度 ★★★★★

该病毒被捆绑在恶意Word文件中,病毒运行后修改注册表,以实现开机自启动。同时,病毒将释放五个病毒程序,分别盗取用户的网银帐密以及浏览器中存储的各类电子帐号信息。除此之外,病毒还将后台连接黑客制定地址,进一步等待黑客发出的指令。用户电脑一旦中毒,将面临网银、微博、电子邮件等帐号被盗,电脑沦为黑客肉鸡等威胁。

 

3 安全漏洞公告

3.1 Imperva SecureSphere Operations Manager任意命令执行漏洞

Imperva SecureSphere Operations Manager任意命令执行漏洞

发布时间:

2013-06-02

漏洞编号:

BUGTRAQ ID: 61067
CVE(CAN) ID: CVE-2013-4095

漏洞描述:

SecureSphere Operations Manager 是多域管理解决方案,可改善多个 MX 管理服务器管理 SecureSphere 部署的运营效率。
Imperva SecureSphere Operations Manager 9.0.0.5在plain/actionsets.html的实现上存在安全漏洞,可使经过身份验证的远程用户通过[command].value字段和[arguments].value字段执行任务,利用此漏洞执行任意命令。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.imperva.com/products/mgt_operations-manager.html

3.2 Imperva SecureSphere Operations Manager多个任意文件上传漏洞

Imperva SecureSphere Operations Manager多个任意文件上传漏洞

发布时间:

2013-06-02

漏洞编号:

BUGTRAQ ID: 61065
CVE(CAN) ID: CVE-2013-4094

漏洞描述:

SecureSphere Operations Manager 是多域管理解决方案,可改善多个 MX 管理服务器管理 SecureSphere 部署的运营效率。
Imperva SecureSphere Operations Manager 9.0.0.5在Key Management功能的实现上存在多个任意文件上传漏洞,经过身份验证的远程攻击者可利用这些漏洞,通过T/keyManagement请求内的private_key或public_key参数传参到plain/settings.html,上传任意文件到受影响计算机,导致任意代码执行。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.imperva.com/products/mgt_operations-manager.html

3.3 Apache CXF多个远程拒绝服务漏洞

Apache CXF多个远程拒绝服务漏洞

发布时间:

2013-07-09

漏洞编号:

BUGTRAQ ID: 61030
CVE(CAN) ID: CVE-2013-2160

漏洞描述:

Apache CXF是一个开源服务框架,用于使用JAX-WS、JAX-RS等前端编程API编译和开发服务。
Apache CXF 2.5.10, 2.6.7, 2.7.4存在多个远程拒绝服务漏洞,流XML解析器没有限制元素数、属性数、接收文档嵌套结构等,攻击者利用这些漏洞可造成应用崩溃,导致拒绝服务。

安全建议:

Apache Group已经为此发布了一个安全公告(CVE-2013-2160)以及相应补丁:
CVE-2013-2160:Denial of Service Attacks on Apache CXF
链接:
http://cxf.apache.org/security-advisories.data/CVE-2013-2160.txt.asc?version=1&modificationDate=1372

3.4 Microsoft .NET Framework远程代码执行漏洞

Microsoft .NET Framework远程代码执行漏洞

发布时间:

2013-07-01

漏洞编号:

BUGTRAQ ID: 60935
CVE(CAN) ID: CVE-2013-3134

漏洞描述:

.NET就是微软的用来实现XML,Web Services,SOA(面向服务的体系结构service-oriented architecture)和敏捷性的技术。.NET Framework是微软开发的软件框架,主要运行在Microsoft Windows上。
Microsoft .NET Framework 分配小型结构数组的方式中存在一个远程执行代码漏洞,成功利用后可允许攻击者在应用上下文中执行任意代码。

安全建议:

Microsoft已经为此发布了一个安全公告(MS13-052)以及相应补丁:
MS13-052:Vulnerabilities in .NET Framework and Silverlight Could Allow Remote Code Execution (2861561)
链接:
http://technet.microsoft.com/security/bulletin/MS13-052

3.5 phpMyAdmin import.php GLOBALS变量注入漏洞

phpMyAdmin import.php GLOBALS变量注入漏洞

发布时间:

2013-07-04

漏洞编号:

CVE(CAN) ID: CVE-2013-4729

漏洞描述:

phpmyadmin是MySQL数据库的在线管理工具,主要功能包括在线创建数据表、运行SQL语句、搜索查询数据以及导入导出数据等。
phpMyAdmin 4.0.4.1之前版本内的import.php没有正确限制文件格式定义数据输入权限,可使经过身份验证的远程用户修改GLOBALS超级全局数组,然后通过特制的请求更改配置。

安全建议:

phpMyAdmin已经为此发布了一个安全公告(PMASA-2013-7)以及相应补丁:
PMASA-2013-7:PMASA-2013-7
链接:
http://www.phpmyadmin.net/home_page/security/PMASA-2013-7.php
补丁下载:
https://github.com/phpmyadmin/phpmyadmin/commit/012464268420e53a9cd81cbb4a43988d70393c36