当前位置: 安全纵横 > 安全公告

一周安全动态(2014年02月20日-2014年02月27日)

来源:安恒信息 日期:2014-02

2014年02月第四周(02.20-02.27)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 奥巴马政府试图让NSA保存更长的通话记录

奥巴马政府已经向特别监视法庭提交了一份申请,以期批准让NSA保存数以百万计的通话记录——在全民试图阻止数据监听项目的时候,这却是一起让很多人意想不到的提案。据《华尔街日报》上周报道,司法部正在考虑类似举动,以最终阻止这个有争议的数据库的扩大(通过定期删除通话记录的方式)。

在现行制度下,超过5年的通话记录就是需要被删除的。

周三的时候,美国司法部在一份公开文档中表示,其需要保留通话记录,以便作为美民权同盟(ACLU)和电子前沿基金会(EFF)的诉讼证据。

ACLU律师Jameel Jaffer表示,政府此举旨在分散大家的注意力:“我们对政府删除这些记录毫无异议,既然要做,就删除彻底”。

至于EFF方面,其表示NSA可以“为适当地监听而保留数据”。

1.2 “五只眼”情报联盟新项目曝光 操纵网络言论抹黑目标

据《东方时空》报道,“今日俄罗斯”电视台网站2月25日消息,“棱镜”监控丑闻爆料者斯诺登提供的一份最新文件显示,由英国、美国、澳大利亚、加拿大和新西兰五国的间谍机构组成的“五只眼”情报联盟,其间谍行动中包括一个名为“网络魔术师”的任务。

据悉,这五个国家组成的情报联盟通过在互联网上发布虚假信息,利用社会学原理来操纵网络言论,从而达成他们想要的结果。具体来说,间谍可能假冒某位网友,在他的博客上发布虚假的日志,或者是发布关于一家公司的负面消息,从而破坏某个商业交易。最终的目的,是“利用网络手段,对网络世界或真实世界造成影响”。

根据“棱镜”项目爆料人斯诺登透露,“五只眼”情报联盟由美国国家安全局、英国政府通信总部、加拿大政府通信安全局、澳大利亚国防通讯局和新西兰政府通信安全局组成,主要负责拦截、分析全球通信信号和内容。

英国《卫报》报道,“五只眼”的历史可以追溯到二战时期,美英为了破译日德的海军密码而展开情报合作。1943年,两国签订战时分享情报的秘密协议。随后,加拿大、澳大利亚和新西兰也先后加入。根据斯诺登此前的爆料,“五只眼”的情报监视系统“梯队”可以通过所谓的嗅探装置拦截电子邮件和电子文档的传输,并且监控网民对网络的浏览情况。这个系统设有一套“词典”,如果有信息与其“词典”中的关键词或敏感地址吻合,“梯队”项目就会对其进行进一步分析。而来自几个国家的基地站点也会交换截获的信息,并通过超级计算机将与敏感词有关的信息统一做标记,供下一步分析。

1.3 韩国开发破坏朝鲜核设施的网络战武器

韩联社报道,韩国宣布正在开发破坏朝鲜核设施的进攻性网络战武器。韩联社推测,所谓的进攻性网络战武器可能类似美国以色列开发的Stuxnet蠕虫。但外交家杂志对此提出了质疑,Stuxnet 蠕虫以非常缓慢的速度破坏伊朗铀浓缩离心机,效果并不显著,类似Stuxnet的病毒只能短暂的中断朝鲜建造核武器的能力,对于解决现有的问题毫无帮助。

外交家推测,韩国的进攻性网络战武器应该能短暂的关闭朝鲜发射核弹的能力。

1.4 CEH认证(道德黑客)官方网站遭黑客入侵

CEH(Certificated Ethical Hacker)被业界称之为道德骇客(正派黑客)认证。它是一个中立的技术认证,延自美国联邦调查局(FBI)训练人才课程。黑客攻防是信息安全领域中,最引人注意的部分,CEH就是学习如何面对并防范骇客的攻击行为,不但要了解病毒、木马或蠕虫入侵行为,更要培养黑客的攻防技巧。

日前,国外黑客入侵EC Council官网,这次攻击造成了6万多名安全工作人员的护照及照片ID曝光,其中包括了来自美国军方、FBI、联合国及NSA的成员。令人诧异的是,人们居然在这份曝光的信息中看到了由爱德华-斯诺登提交的个人护照及申请邮件。如下图:


由此不难推测,CEH认证所需要的文件包括了护照或照片ID等。

而据CSO公司的Stve Ragan透露,EC-Coucil早在上一年的时候就已经被发现存有多个安全漏洞。

1.5 反恐专家:美国家安全局对云计算安全10大影响

据国外媒体报道,反恐专家理查德·克拉克(Richard Clarke)周一在RSA会议的云安全联盟峰会上发表演讲时指出,美国国家安全局善于收集情报,有潜力创建一个永远不关闭的警察监视国家。克拉克以前是美国安全、基础设施保护和反恐的国家协调员,并且早在里根总统时期就担任美国总统顾问。

由于全球许多国家都有这种监听技术,控制这些技术的任务比这些技术本身更重要。他指出,美国家安全局对云计算安全有下面10大影响:

1. 政策决策者以及他们收集情报的愿望与实际收集情报者之间是没有联系的。如果他们要收集情报,他们将采取他们能够想到的一切手段收集情报。高级决策者必须非常具体地说明他们要收集什么情报和需要什么,以及他们不允许我们收集什么。奥巴马的反应是因为我们能够收集这种情报并不意味着我们应该收集这种情报。

2. 美国国家安全局在攻击方面做得很好,但是,在自己网络的安全方面却非常糟糕。这里的教训是,当你说你要采用周边防御模式时,那是很好的记录。但是,你要实施这种防御模式,还有增加很好的内部安全。

3. 由于美国国家安全局监听丑闻曝光,美国公司正在欧洲、中东和南北等地区失去市场份额。这是公共政策错误产生的结果。

4. 美国市场份额下降的一个原因是非公司用美国国家安全局监听丑闻作为营销工具。亚洲一些企业说他们不购买美国的产品,因为美国国家安全局可能在那些产品中安装窃听设备。

5. 全球各地的政府,特别是欧洲国家政府,正在利用美国国家安全局监听丑闻曝光推广数据本地化的概念。

6. 任何担心数据库和云服务被黑客攻破的真正解决方案与服务器的地理位置无关,正在的解决方案是对云中内容加密。

7. 要有效地保护数据安全,用户需要在数据传输、使用和存储等过程中加密数据。这意味着加密标准必须是可信赖的。

8. 美国政府应该在发现和知道零日攻击安全漏洞的时候立即通知每一个人。这应该是一个一般政策。但是,美国政府一直没有这样做。

9. 如果我们实施情报民主,我们需要一个强大的和独立的隐私和公民自由监管委员会。这个委员会有权看到一切。

10.这些问题并不是美国担心的问题。克拉克说,美国并不是实施监听的唯一国家。我们只是到目前为止做的最好的国家。我们需要一些国际标准。美国政府说不攻击国家金融系统。这是一个很好的起点。

 

2 本周关注病毒

2.1 Trojan.PSW.Win32.QQPass.fip(木马病毒)

警惕程度 ★★

该病毒运行后会在后台监视用户的输入,伺机窃取用户的QQ号码及密码,并发送给黑客。

2.2 Worm.Mail.Brontok.pc(蠕虫病毒)

警惕程度 ★★

该病毒利用电子邮件的附件进行传播。病毒运行后将修host文件,阻止用户访问杀毒软件网站,后台下载黑客指定文件,将其他病毒植入电脑。除此之外,读取用户的联系人列表,进而利用用户的邮箱向联系人发送病毒邮件。电脑一旦中毒将面临隐私信息泄露、网银账密被窃等风险。

2.3 Trojan.Win32.Generic.15DD7E6D(‘Generic’木马病毒)

警惕程度 ★★★★

该病毒运行后伪装成系统文件,将自身复制到黑客指定位置,关闭用户电脑。当中毒电脑再次开启后,病毒将查找QQ相关路径和文件,将自身远程注入到QQ进程中,盗取QQ账号和密码,并发送到黑客指定地址。用户一旦中毒将面临QQ被盗、隐私信息泄露等风险。

 

3 安全漏洞公告

3.1 Apache Tomcat XML外部实体信息泄露漏洞

Apache Tomcat XML外部实体信息泄露漏洞

发布时间:

2014-02-26

漏洞编号:

BUGTRAQ ID: 65768
CVE ID: CVE-2013-4590

漏洞描述:

Apache Tomcat是一个流行的开源JSP应用服务器程序。
Tomcat 8.0.0-RC1 - 8.0.0-RC5、7.0.0 - 7.0.47、6.0.0 - 6.0.37版本的XML(例如:web.xml, context.xml, *.tld, *.tagx, *.jspx)文件允许XXE,这可使攻击者获取Tomcat内部敏感信息。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://jakarta.apache.org/tomcat/index.html
[1] http://tomcat.apache.org/security-8.html
[2] http://tomcat.apache.org/security-7.html
[3] http://tomcat.apache.org/security-6.html

3.2 Apache Tomcat会话固定漏洞

Apache Tomcat会话固定漏洞

发布时间:

2014-02-26

漏洞编号:

BUGTRAQ ID: 65769
CVE ID: CVE-2014-0033

漏洞描述:

Apache Tomcat是一个流行的开源JSP应用服务器程序。
Tomcat 6.0.33 - 6.0.37版本在disableURLRewriting的实现上存在会话固定漏洞,攻击者可利用此漏洞劫持任意会话,获取未授权受影响应用的访问权限。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://jakarta.apache.org/tomcat/index.html

3.3 Apache Tomcat 安全限制绕过漏洞

Apache Tomcat 安全限制绕过漏洞

发布时间:

2014-02-26

漏洞编号:

BUGTRAQ ID: 65773
CVE ID: CVE-2013-4286

漏洞描述:

Apache Tomcat是一个流行的开源JSP应用服务器程序。
Tomcat 8.0.0-RC1 - 8.0.0-RC5、7.0.0 - 7.0.47、6.0.0 - 6.0.37版本存在漏洞CVE-2005-2090修复不完整问题,远程攻击者可利用此漏洞对Web缓存投毒、逃避IDS签名、启动跨站脚本、HTML注入、会话劫持攻击等。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://jakarta.apache.org/tomcat/index.html
[1] http://tomcat.apache.org/security-8.html
[2] http://tomcat.apache.org/security-7.html
[3] http://tomcat.apache.org/security-6.html

3.4 JBoss RichFaces 'PushHandlerFilter.java'远程拒绝服务漏洞

JBoss RichFaces 'PushHandlerFilter.java'远程拒绝服务漏洞

发布时间:

2014-02-25

漏洞编号:

BUGTRAQ ID: 65738
CVE ID: CVE-2014-1266

漏洞描述:

JBoss RichFaces是一个具有Ajax和JSF特性的Web框架。
RichFaces没有正确过滤某些请求,未经身份验证的远程攻击者通过发送大量的畸形请求到使用Atmosphere框架的RichFaces应用,利用此漏洞导致应用服务器拒绝服务(大量的内存消耗)。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.jboss.org/

3.5 PostgreSQL远程栈缓冲区溢出漏洞

PostgreSQL远程栈缓冲区溢出漏洞

发布时间:

2014-02-25

漏洞编号:

BUGTRAQ ID: 65731
CVE ID: CVE-2014-0065

漏洞描述:

PostgreSQL是一款高级对象-关系型数据库管理系统,支持扩展的SQL标准子集。PostgreSQL 9.3.3, 9.2.7, 9.1.12, 9.0.16, 8.4.20之前版本存在多个缓冲区溢出漏洞,经过身份验证的数据库用户可利用这些漏洞使PostgreSQL服务器崩溃或执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.postgresql.org