当前位置: 安全纵横 > 安全公告

一周安全动态(2013年7月25日-2013年8月01日)

来源:安恒信息 日期:2013-08

2013年8月第一周(7.25-8.01)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 揭秘黑帽大会:黑客们的“海天盛筵”

戴黑帽子的人常被视为恶棍或坏人。在西方电影中,反派角色都会带着黑色的帽子。而在计算机领域中,这个词被用在黑客身上,黑客们的盛会则被称为“黑帽大会”。

(图片来源: 资料图) 黑客们的盛会则被称为“黑帽大会”。

黑帽大会自1997年创立以来,引领安全思想和技术走向。参会人员包括企业和政府的研究人员,甚至还有一些民间团队。黑帽大会被认为是世界上最好的能够了解未来安全趋势的信息峰会,它的权威性自不必说。

今年7月27日到8月1日,黑帽大会在美国的拉斯维加斯举办。那么,今年的黑帽大会又谈了哪些内容呢?

曝光漏洞安全

多年来,黑客们都致力于揭穿酒店、政府网络系统以及银行的安全漏洞问题。比如,酒店的房间的电子锁是存在被破解打开的漏洞,政府网络系统存在被黑客攻击的弱点,银行的ATM机也能被远程“黑”掉。

不过,一些公司可未必喜欢听到这些消息。在以往,曾有许多公司奋力阻止黑客专家将他们的产品漏洞曝光。

例如,在2005年,美国思科公司(互联网解决方案供应商)就曾对一位研究者进行阻挠,不让他曝光其产品存在能让黑客袭击整个网络的安全漏洞。思科公司不惜从2000份与会者手册中逐份抽出这位研究者的书面研究成果,然而却始终没能阻止这场曝光。

其他简报预警与会者为互联网战争做准备,并演示了只用一条Drone(网络游戏中的一种虚拟生物)就能对邻居进行监视等。

高科技比拼

除了常规讨论和训练外,恶作剧也是黑帽大会的一大亮点。黑客们曾互“黑”过彼此在拉斯维加斯的旅馆账单系统和Wifi网络。

有时候,他们还会展示一份“绵羊墙”,上面会有被“黑”的人的名字和密码,用来提供人们不进行网络安全防护是可耻的。

2009年的黑帽大会上,会场纷发了一只USB拇指驱动器,里面含有Conficker病毒,一种能够窃取信用卡信息的恶意软件。

不光黑客们,记者也常容易遭“黑”。据说,在2008年的会上,三个记者“黑”了其他记者的报道。黑帽大会发言人称,黑帽大会为记者提供了登陆数据,被“黑”的那些记者可能想报道展示“绵羊墙”上的信息,不过被其他记者拒绝了。

派对狂欢

派对是黑帽大会上少不了的内容。身在拉斯维加斯,不想狂欢都难。

《纽约时报》曾这样报道:“在过去的一年里,形形色色的公司被黑客袭击,包括互联网安全技术公司赛门铁克,也有社交网站LinkedIn。不过人们不会知道,

这些幕后黑手们就隐藏在黑帽派对的觥筹交错间。一次,在凯撒酒店里,他们搂着穿着性感的舞者大摆造型拍照。还有一次,他们在一家夜店里大饮特饮。”

另外,据与会者提供信息,黑帽大会还有七项不成文的规定:

1.远离无线网络,关闭蓝牙:记住,黑客随时随地都在进行着。

2.加密信息:不希望第三方也知道的话,所有必须发生的消息一定要加密。

3.管好你的设备:把手机拿在手上吧,任何单独摆放的设备都是一道“病毒”邀请函。

4.别收礼:任何人递来的U盘都可能是窃取你个人信息的必杀器。

5.时刻保持警惕:万事万物都能被“黑”,包括ATM机、房间钥匙、RFID卡等等。

6.尝试着融入大家:别一个人孤零零的坐那儿,不然更容易遭“黑”。

7.别上“绵羊墙”:多丢脸啊,所有信息都公布于众。小心点,你可别上“黑名单”。

1.2 Black Hat 2013的热门演讲

Black Hat USA 2013已经是第16届了。在本届大会上,将有近100个新工具和35个零日漏洞公布,以及110个介绍/对话/工作室活动,还有131个公司现场展示其安全方案。

1. Black Hat 第一天的Keynote ( July 31) 基斯 亚历山大将军(注:NSA头子,斯诺登事件核心人物), Commander, U.S. Cyber Command (USCYBERCOM) and Director, National Security Agency(国家安全局). 他将以内部人士的角度介绍进攻性的网络战策略。

2. Mactans: 现场演示通过恶意充电器将恶意代码注入iOS设备- Billy Lau.

3. Rooting SIM Cards – Karsten Nohl. Karsten 将现场曝光他发现的漏洞。ITU曾经发布全球预警。

4. 在40英里之外侵入工业设备 – Lucas Apa. 在40英里之外远程入侵核/能源、油气设施,包括关闭这些设施。

5. 能源诈骗和精心策划的大面积停电–关于Wireless Metering Protocols (WM-Bus)的问题 – Cyrill Brunschwiler. 能源诈骗和策划大面积停电听起来难,做起来没那么困难。来自加州的Brunschwiler 将曝光无线智能电表的漏洞,结果不仅是收费单据的欺骗,同时还会导致电网的大面积瘫痪。

6. 突破家庭安防系统,绕开大厦监控 – Drew Porter, Stephen Smith. 硬件上的漏洞将导致严重后果–特别对于智能家居来说。

7. 入侵住家 v2.0:-攻击网络控制的硬件系统 -Jennifer Savage, Daniel Crowley, David Bryan. 这个团队将展示如何攻击和入侵网络控制的家庭设备,使得家庭成员面临危险境地。听众将见识到“不可能实现”的入侵,从供暖设备到安防系统等等。

8. 安全研究人员需要知道的反入侵法律 – Marcia Hofmann.

9. 失败的 OPSEC间谍 – Matthew Cole. 你所不知道的内情:失败的中情局情报搜集行动和情报人员令人惊叹的专业知识缺乏。

10. 国家层面上的网络响应 – Jason Healey. 面对网络攻击时的全体层面上的决策和行动。

11. 与FBI内部威胁的战斗- 真实世界的经验教训 – Patrick Reidy (CSO of the FBI).

12. 像好莱坞大片一样入侵网络监控摄像头- Craig Heffner. 居家,商业公司,酒店,赌场,银行,监狱,军队,工业设施的监控摄像头都可以被入侵和控制。

1.3 Black Hat USA 2013演讲者ATM黑客Barnaby Jack意外身亡

美国时间本周四,因ATM安全研究蜚声安全界的黑客Barnaby Jack在旧金山意外去世,终年35岁。
而他本应在下周即将开幕的Black Hat USA 2013上,为我们带来一场关于心脏起搏器(Pacemaker)和植入型心脏复律除颤器(ICD)安全研究的议题。

对于他的意外去世,在社交媒体上大家纷纷表达了哀思。

他本来准备告诉我们,在2006年,美国食品和药物管理局批准了基于WIFI的植入设备的大规模使用,而2006年仅在美国境内,就有35万心脏起搏器和17.3万除颤器使用者。而这其中所隐含的安全漏洞,无疑是非常“致命”的。

Barnaby是新西兰人,他在Black Hat USA 2010的关于ATM安全的议题,掀起了业界甚至公众对于ATM安全的关注,这个议题当时本应在2009年发布,但是由于某ATM厂商的干预而推迟了一年。

也许有人不知道的是,在他在McAfee工作期间,发现了一系列厂商胰岛素泵的安全问题,能够绕过安全告警和修改剂量,对于汽车安全,他也有深入的研究。

截止今天,官方仍未发布Barnaby的死因结果,由于其研究方向极具想象空间,对于其死因的猜测仍未结束,今天让我们再次悼念这位为安全研究献身的研究员。

R.I.P, Barnaby Jack.

1.4 美黑客将在Defcon会议公布汽车入侵方式

两名美国安全研究人员将于本周在Def Con黑客大会上公布丰田普锐斯和福特翼虎的计算机网络入侵方式,希望吸引更多研究人员参与到相关项目中。

汽车黑客并非新领域,但相关信息一直对外保密。不过,这种情况有可能会改变,因为查理·米勒(Charlie Miller)和克里斯·瓦拉塞克(Chris Valasek)两位知名黑客表示,他们将发布详细的技术蓝图,方便外界通过100页的白皮书了解如何入侵丰田普锐斯和福特翼虎的关键系统。他们的这项研究总共历史数月,并且得到了美国政府的拨款。

米勒和瓦拉塞克都属于“白帽”黑客,他们的主要目的是在犯罪分子利用相关漏洞前,提前将其披露出来。他们还将在本周的拉斯维加斯Def Con黑客大会上发布用于入侵这两款车型的软件。

他们表示,已经开发了一些方式来迫使丰田普锐斯在时速达到80英里(约合128公里)、猛打方向盘或加速引擎时突然刹车。他们还表示,可以在翼虎保持超低车速时让刹车失效,这样一来,无论司机如何猛踩刹车踏板,汽车都可以继续前进。

身为咨询公司IOActive的安全情报总监,瓦拉塞克因为找出了Windows操作系统的众多漏洞而广为人知。他提到上述两个漏洞时说:“试想:假如你正在接近人群,会发生什么事情。”

但实际情况或许并不像表面听起来那么恐怖。

要利用这些漏洞,这两位研究人员都会坐在车内,用笔记本直接与汽车的电脑网络相连。所以,他们公布的信息无法用于远程入侵汽车网络,而这才是在现实世界中真正发起攻击的主要方式。他们希望自己公布的数据能够鼓励其他白帽黑客继续寻找汽车的更多安全漏洞,并修复这些漏洞。

“相比于福特和丰田的员工,我更相信100多名安全研究人员的眼力。”米勒说,他目前在Twitter担任安全工程师,以研究苹果公司App Store的入侵方式而著称。

丰田汽车发言人约翰·汉森(John Hanson)表示,该公司正在评估这项成果。他们表示,该公司已经在电子安全领域投入了大量资源,但漏洞依然存在。他在提到黑客攻击时说:“这完全可能,我们非常重视。”

福特汽车发言人克雷格·戴奇(Craig Daitch)也表示,该公司对其产品的电子安全问题非常重视。但他认为,由于这一漏洞需要通过线缆与汽车相连才实现,因此降低了潜在风险。

米勒和瓦拉塞克表示,他们并没有研究远程攻击方式,因为其他专家之前已经研究过这种模式。

一个学术团体曾于2011年表示,他们找到了一种方法利用蓝牙系统和无线网络来入侵汽车。但与米勒和瓦拉塞克的方式不同,该学术团体一直对外保密,并且拒绝透露入侵的汽车型号。他们的成果受到了美国政府的关注。美国国家高速公路交通安全管理局已经启动了汽车网络安全研究项目。该机构在声明中说:“虽然电子控制的使用量增加逐步提升了交通安全和效率,但也带来了更多挑战。”

但有专家认为,不法黑客可能已经具备发起这类攻击的能力。卡巴斯基研究员蒂凡尼·斯特劳奇·莱德(Tiffany Strauchs Rad)说:“是时候采取防御措施了。”

一组欧洲电脑科学家也计划于8月中旬在美国华盛顿举行的一次会议上,展示针对多个豪华汽车品牌的攻击方式,包括保时捷、奥迪、宾利和兰博基尼。

但大众公司已经从英国高等法院获得了禁令,禁止英国伯明翰大学和荷兰内梅亨大学的研究人员讨论这项成果。

相关研究人员表示,他们将会因为这项禁令退出享有盛誉的Usenix大会。而伯明翰大学和内梅亨大学也表示,他们会推迟论文发布,直到法律诉讼了结为止。

大众公司拒绝发表评论。

1.5 斯诺登再爆猛料:美国更大规模监控计划曝光

美国“监控门”事件揭秘者斯诺登7月31日突然打破沉默再度爆猛料,将美国更大规模监控计划“Xkeyscore”的细节曝光,立即引发极大关注。斯诺登通过英国《卫报》发布的文件资料显示,这项名为“Xkeyscore”的监控计划“几乎可以涵盖所有网上信息”,可以“最大范围收集互联网数据”,内容包括电子邮件、网站信息、搜索和聊天记录等等。




根据相关资料,美国情报机构分析人员甚至可以通过“Xkeyscore”计划对个人的互联网活动进行“实时监控”。2012年“Xkeyscore”在1个月内存储的各类监控数据记录高达410亿条。

虽然美国法律要求在监控美国人时必须有相应的批准书,但“Xkeyscore”在技术上也可以监控任何美国人,分析人员即使没有批准书亦可获得相关数据。

资料也显示“Xkeyscore”计划已经协助美国情报机构抓捕了数百名恐怖嫌犯,但外界对如此大规模的监控计划仍感到非常担忧。

斯诺登称,他受雇于美国国家安全局(NSA)时,曾有机会使用“Xkeyscore”计划。他曾形容,只要有相应的电子邮件地址,他可以对任何人进行监控,下至平民百姓,上至法官总统。

《卫报》指,由于“Xkeyscore”产生的监控数据太过庞大,内容只能保存在系统里3到5天,元数据可以储存1个月。NSA因此建立了新的数据库,分析员可以将其“感兴趣”的情报“另存”在那里,并可存放长达5年时间。

有分析人士说,《卫报》当天公开斯诺登提供的大部分与“Xkeyscore”相关的资料和技术信息。斯诺登曾表示,为了获得俄政治避难地位,同意“今后停止损害美国的利益”。

NSA在发给《卫报》的声明中说,有关情报对象只限于“美国境外目标”,其中也包括“Xkeyscore”计划在内,这样做的目的是为了“保护美国及其作战部队”。

由于“监控门”事件31日又掀起了风暴,美国情报机构当天将此前斯诺登披露的一小部分文件解密公开,显示美国官方曾授权大量搜集电话数据。

斯诺登6月23日由香港飞抵莫斯科,至今仍滞留在谢列梅捷沃机场中转区。美方持续向俄方施压,要求交出受到间谍罪指控的斯诺登,但遭俄方多次拒绝。

1.6 NSA和FBI向互联网公司索要主密钥

CNET引用匿名人士的话报道,NSA和FBI向大型互联网公司索要主密钥,但遭到了这些公司的抵制,认为这一要求超出了法律允许的范围。如果获得主密钥,NSA可以用它解密收集的相关加密通信流量,匿名人士称大型互联网公司以非法为由抵制了这一要求,但小型互联网公司也许没有财力和精力进行抗争。

微软发言人没有回答是否会收到此类要求,但表示它不会交出主密钥。Google的说法相同,称它从来没有将密钥交给政府。Facebook则表示它没有从美国政府或其它政府收到索要密钥的要求。

1.7 《福布斯》女记者亲历:智能家居难防黑客

《福布斯》女记者卡什米尔·希尔(Kashmir Hill)通过亲身经历证明,可联网的智能家居产品存在诸多安全漏洞。“我能看到你家里的所有设备,我认为我能控制他们。”一个周四清晨,我粗鲁地打电话叫醒托马斯·哈勒(Thomas Hatley),一个住在俄勒冈州的陌生人。

他和妻子还没起床。表达惊讶之余,他让我打开和关闭主卧里的电灯。坐在旧金山的卧室里,我轻轻点击一下就完成开关操作,与此同时极力抑制打开电视机的恶作剧冲动。

“刚才打开了,现在又关了,”他说,“我真是活见鬼!”

根据路透社的消息,家居自动化市场2012年的市值达到15亿美元。许诺能让家居更智能化的产品呈现爆炸式发展。其中最知名的要数Nest恒温器,它能够监 测房主的活动,学习他的日程安排和温度偏好,据此给房间加温或减温。很多这种产品都开发了智能手机应用程序和网络接口,方便用户远程操作设备。

过着如此高科技的生活也有不利之处。当我们把家里的东西都和网络挂钩时,那些联网设备面临的安全风险都会让我们碰到:它们可能会“被黑”。

搜索了一条简单的短语后,我就明白了一系列“智能家居”能干的傻事。这些家庭安装了来自Insteon的自动化系统,用户可远程控制他们的灯光、浴室、电风扇、电视、水管、仓库门、相机等等。主人可以借助智能手机或者网络实现远程控制。傻不傻啊?他们的系统可以在搜索引擎的结果抓取。由于Insteon默认 不需要验证用户名和密码,我点击这些链接,就能“黑掉”别人的房间。打开仓库门就能让一个家庭成为被侵犯的目标。

托马斯·哈勒的家只是我能入侵的8个家庭当中的一个。一些敏感信息遭到泄露,不仅包括他们使用的应用程序和设备,而且他们所处的时区、IP地址甚至孩子的名 字都被获取。显然,当父母的希望能远程控制家里的电视机。其中至少有3个家庭的网络信息足以指向他们现实生活中所在的位置。

很多系统的名字都是普通的,但其中一家包含了街道信息,我能够追踪其至康涅狄格州的一所住宅。当我打电话时,一个名叫“克雷格”的家伙接了电话。他表示自己 的副业是一名顾问,帮助有需要求的客户安装Insteon的设备。他本人使用该系统也有十年之久。当我自称可以控制他家的系统时,他立刻有了敌意。

“有密码的!”他暴躁地回应。“我希望潜在的客户能够看到系统,了解它的运行机制。你不可以控制它,只能看。”

我问他,我能打开他家的一个设备。他告诉我打开所在卧室的灯。我做完后,接着是一段意味深长的沉默。“有反应没?”我问道。他说什么也没发生就草草挂断电话。我怀疑他说谎。第二天,他的系统上了锁,只能通过用户名和密码进入。

Insteon的安全隐患是Trustwave公司安全专家大卫·布莱恩(David Bryan)丹尼尔·克洛利(Daniel Crowley)在智能家居设备中发现的个案之一。

去年12月份,布莱恩购买了Insteon的HUB设备,并在手机上安装了应用,开始监视它的工作状况。

“我看到的情况令人担忧,”他说,“智能设备发送控制命令不需要授权。”

“你可以打开别人家的热水器,让他的电费账单顶破天。”布莱恩说。他赶紧通过电子邮件联系Insteon的技术支持,并询问获得用户名和密码的方法。 Trustwave近期曾就系统的脆弱性与Insteon沟通。Insteon后来解决了HUB的问题,并于2013年初召回该设备。当然,他们并未告诉 消费者安全问题是召回产品的原因之一。

Insteon的首席信息官麦克·努尔斯 (Mike Nunes),他在网络上看到的系统都来自一些停产的产品。它们之所以出现在搜索引擎中,完全是用户的责任。他表示,老产品最初并非用于远程控制,设置这 种功能需要用户费一点周折。装置本身附带操作手册,告诉用户如何将装置联网,并强烈建议他们增加用户名和密码。

“这需要用户将一个链接粘贴至网络,而用户可能没有设置用户名和密码。”努尔斯说。我告诉努尔斯,如果产品默认需要设置用户名密码,就不会犯这样的错误。“我也支持和鼓励这么做。”他说。

在托马斯·哈勒的例子中,他创建了一个网站,作为接入家庭设备的入口。他的网站设置了密码,但你可以绕开它,直接进入不受密码保护的Insteon端口。 “可以这么说,我承担一部分责任。因为家里的路由器是我亲自配置的,”哈勒说,“但是我没有意识到那个端口可以从外部网络进入。”

Insteon公司当前的产品自动分配用户名和密码,这在产品发布的前几个月是没有的事情。布莱恩恰恰买的就是没有被自动分配密码的产品。布莱恩还表示,产品新的认证手段很“糟糕”。很多黑客只需很少的工作量就能够破解它。

Insteon产品默认不需要密码的问题和Trendnet IP相机几年前的漏洞类似。不需要认证意味着任何人只要获得相机的IP地址,就能观看相机内的照片流。

即便没有面向公众的网站,只要产品具备这样的隐患,任何人搞清楚系统的地址后就能控制他人的家居。

“这些技术的出现令人兴奋,这些漏洞的存在令人心碎。”克洛利说。

他和同事发现的安全漏洞允许一个入侵者控制数个Insteon系统中的敏感设备,从Belkin WeMo开关到Satis 智能厕所。是的,他们发现厕所也能黑。你只要安装了智能厕所的应用程序,离厕所的距离足够近,那么你就可以与之通信。

“蓝牙连接,无需用户名或密码,”克洛利说,“任何人在手机上安装应用并接入网络,就能控制别人的厕所。当有人如厕时,你可以打开坐浴盆。”

他们将在未来两周举办的黑帽技术大会和Defcon黑客大会上公布发现。Trustwave指出公布这样的漏洞是想让公司知道产品发布前的安全测试有多重要。

还有一个问题,比如MIOS无线网关控制器,一旦它们接入网络,那么它们就默认任何使用该网络的都是授权用户。所以,如果你能接入别人的热点网络,你就能控制他们的家居。“这些公司认为家庭网络是防守的要塞,”克洛利说,“但大多数情况下,什么都不是。”

Insteon的漏洞之所以严重,是因为它允许任何人通过网络接入。

研究人员能看到暴露在网上的系统,但是不想进一步搜索。我真的为此感到不安,在关掉其他人的灯之前,我都确保获得这些用户的许可,不然有可能面临法律的指控。

“发现问题并报告给相关公司的人不用担心触犯法律,”一名擅长网络安全法规的律师马西亚霍夫曼(Marcia Hofmann)说。

“我们的演讲重点是这些设备没有良好的安全性,需要改善。”克洛利说,“很多缺陷研究几个小时就能发现。”

 

2 本周关注病毒

2.1 Trojan.Win32.Fednu.uph(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Trojan.Win32.KillAV.csw(木马病毒)

警惕程度 ★★

病毒运行后通过内核接口向内核读写数据,修改重要的监控函数,迫使杀毒软件监控瘫痪,并通过释放恶意程序,将恶意代码插入资源管理器的进程中。除此之外,病毒还将后台下载各种恶意软件,并连接远程服务器,等待黑客的后续指令。受到该病毒攻击的用户将面临硬盘数据丢失、隐私信息被盗等威胁。

2.3 Worm.Win32.TaopuLS.b(‘TaopuLS’蠕虫病毒)

警惕程度 ★★★

病毒运行后,在windows目录下建立shellnew文件夹,并自我复制为bronstab.exe。同时,病毒将修改注册表,并后台连接黑客指定网址,不断为该页面刷流量,占用用户的电脑资源及网络资源。同时,病毒还将隐藏电脑中所有PDF,XLS,PPT类型文件,并篡改用户的DOC文档。中毒电脑将感染所有接入电脑的U盘和网络中的其他电脑,并向黑客指定网址发送大量垃圾数据。届时用户将出现网路拥堵、电脑运行缓慢等问题,同时,电脑中存储的文件也将面临丢失的风险。

 

3 安全漏洞公告

3.1 ISC BIND 9 DNS RDATA处理远程拒绝服务漏洞

ISC BIND 9 DNS RDATA处理远程拒绝服务漏洞

发布时间:

2013-07-26

漏洞编号:

BUGTRAQ ID: 61479
CVE(CAN) ID: CVE-2013-4854

漏洞描述:

BIND是一个应用非常广泛的DNS协议的实现。
ISC BIND 9.8.0-9.8.5-P1、9.9.0-9.9.3-P1在解析DNS查询内的RDATA时出错,远程攻击者通过特制的查询利用此漏洞可触发REQUIRE断言,使服务器崩溃。

安全建议:

ISC已经为此发布了一个安全公告(AA-01016)以及相应补丁:
AA-01016:CVE-2013-4854: FAQ and Supplemental Information
链接:https://kb.isc.org/article/AA-01016/
补丁下载:http://www.dns-co.com/solutions/

3.2 HP Managed Printing Administration多个远程安全漏洞

HP Managed Printing Administration多个远程安全漏洞

发布时间:

2011-12-22

漏洞编号:

BUGTRAQ ID: 51174
CVE(CAN) ID:
CVE-2011-4166,CVE-2011-4167,CVE-2011-4168,CVE-2011-4169

漏洞描述:

HP Managed Printing Administration是专为HP UDP用户设计的打印管理程序。
HP Managed Printing Administration 2.6.4之前版本存在多个远程安全漏洞,包括远程代码执行漏洞、多个任意文件删除漏洞、多个任意文件创建漏洞、多个目录遍历漏洞、SQL注入漏洞,攻击者可利用这些漏洞执行任意操作。

安全建议:

HP已经为此发布了一个安全公告(HPSBPI02732)以及相应补丁:
HPSBPI02732:SSRT100435 rev.1 - HP Managed Printing Administration, Remote Execution of Arbitrary Code and Other Vulnerabilities
链接:
http://h20566.www2.hp.com/portal/site/hpsc/public/kb/secBullArchive/

3.3 VBulletin 'update_order'参数SQL注入漏洞

VBulletin 'update_order'参数SQL注入漏洞

发布时间:

2013-07-24

漏洞编号:

BUGTRAQ ID: 61449

漏洞描述:

VBulletin是一个强大灵活并可完全根据自己的需要定制的论坛程序套件。
VBulletin 4.0.x没有有效过滤'update_order'变量,即将其用在语句中,在实现上存在SQL注入漏洞,成功利用后允许攻击者执行未授权数据库操作。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.vbulletin.com/

3.4 Lift 信息泄露漏洞

Lift 信息泄露漏洞

发布时间:

2013-07-30

漏洞编号:

BUGTRAQ ID: 61509
CVE(CAN) ID: CVE-2013-3300

漏洞描述:

Lift是JSON的解析和格式化工具。
Lift 2.5内json/JsonParser.scala中的JsonParser将某些值解释成长度值,经过身份验证的远程用户通过包含“<”字符的无效输入数据,利用此漏洞可获取用户会话内的敏感信息。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://github.com/lift/lift/tree/master/framework/lift-base/lift-json/

3.5 IBM WebSphere Commerce Enterprise身份验证绕过漏洞

IBM WebSphere Commerce Enterprise身份验证绕过漏洞

发布时间:

2013-07-26

漏洞编号:

BUGTRAQ ID: 61483
CVE(CAN) ID: CVE-2013-2994

漏洞描述:

IBM WebSphere Commerce是业界领先的下一代电子商务解决方案。
IBM WebSphere Commerce Enterprise 7.0 Feature Pack 4\Feature Pack 5在REST服务中存在错误,通过有效的会话远程攻击者可以其他用户权限运行REST服务。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www-01.ibm.com/support/docview.wss?rs=3046&uid=swg21261296