当前位置: 安全纵横 > 安全公告

一周安全动态(2014年03月13日-2014年03月20日)

来源:安恒信息 日期:2014-03

2014年03月第三周(03.13-03.20)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 超过1万台Linux服务器感染了恶意程序

杀毒软件公司Eset的研究人员披露了一个正在进行中的恶意程序攻击,被取名为Operation Windigo(PDF) 的恶意攻击感染了超过1万台Linux和Unix服务器,这些服务器被用于发送大量垃圾信息,重定向用户到恶意网页。Windigo的活跃至少始于 2011年,入侵的系统包括了属于Linux基金会的kernel.org和cPanel Web的服务器。

在三年时间内, Windigo感染了超过2.5万台服务器,每天发送3500万垃圾信息,对Windows的访问者发动偷渡下载攻击,向用户展示色情服务横幅广告。其中 值得一提的是对kernel.org的攻击,至今Linux基金会还没有提供关于此次攻击的完整报告。

Eset的报告称,kernel.org服务器感染 的可能是OpenSSH后门恶意程序Linux/Ebury,Ebury能在被感染的服务器上提供root访问权限,能用于窃取SSH凭证。除了 Linux/Ebury外,Windigo的其它恶意组件包括Linux/Cdorked,用于重定向访问者到恶意网页的 HTTP后门;Perl/Calfbot,一个Perl脚本,可让被感染的机器发送垃圾信息。Windigo不是靠漏洞控制服务器,而是使用偷来的登录凭 证。研究人员建议服务器登录应该启用二步验证。

1.2 传NSA能够录下全球最近30天的所有通话记录

据美国《华盛顿邮报》获得的一份机密文件显示,美国国家安全署(NSA)能够完整地记录和播放1个月前在美国之外发生的任何一条通话记录。据前NSA承包商公司雇员爱德华斯诺登(Edward Snowden)提供给邮报的文件显示,那个名为MYSTIC的监控系统从2009年就开始启用了。

那个项目到2011年开始全线运作,截取、记录并储存下最近30天发生的所有通话,通话记录总数高达数十亿条。

邮报称,应美国官方要求,它不会公开目标国家或假想使用该项目的其他国家的身份。

这只是斯诺登泄露给媒体的一批机密文件的一小部分内容,那些机密文件揭露了NSA备受争议的监控项目的详细内容。之前泄露的内容显示了NSA如何收集与通话有关的元数据,据说这项计划将监控的范围扩大到了通话的内容上。

早先有报道称NSA能够记录下几乎所有发生在美国国内和国外的通话。《连线》杂志在2012年披露,NSA建立了很多个监听站,允许特工通过犹他州的一个大型数据中心在数十亿通话记录中搜集和筛选信息。

NSA拒绝讨论MYSTIC记录项目的存在与否,但它坚称自己所有的行为都是严格遵守美国法律的。

NSA发言人方妮瓦因斯(Vanee Vines)表示:“NSA并没有在任何国家或世界上的任何角落进行过信号情报搜集工作,除非涉及到美国国家安全和外国政策利益或是为了保护美国国民以及盟友和合作伙伴的国民免受伤害而必须那么做。”

公民自由主义者表示,最新披露的真相加重了他们对NSA监控能力的担忧。

美国公民自由联盟(American Civil Liberties Union)的高级律师贾米勒贾弗(Jameel Jaffer)发表声明称:“这个被揭露出来的真相真是令人恐惧,这说明了我们现在围绕着公众监控展开的讨论蕴含着多么高的风险啊。NSA早就想把一切都 记录在案,现在它能够做到那一点了。”

1.3 细说QUANTUM:NSA最强大的互联网攻击工具

加州大学伯克利分校(UC Berkeley)及国际计算机科学中心(the International Computer Science Institute)的研究院尼古拉斯·韦弗(Nicholas Weaver)日前在《连线》(Wired)杂志发表文章,仔细阐述了美国国家安全局(NSA)最强大的互联网攻击工具QUANTUM(量子)。

以下是文章主要内容:

众所周知,NSA已将互联网变成了一件武器,让其能够随心所欲“攻击”任何人的漏洞,一个简单的网页抓取(web fetch),就足以让NSA用来对目标进行攻击。

但是,爱德华·斯诺登(Edward Snowden)日前在新闻网站The Intercept曝光的最新机密文件,更加详细的解释了NSA所具备的监控技术及其局限性。

首先,NSA选择代号为“QUANTUM“的恶意软件,作为其首选互联网开发机制。比起单纯的发送垃圾邮件,QUANTUM的效率更高,自从该项目在NSA上线以来,其任务和目标都出现了变化。

如果NSA只利用QUANTUM来攻击对那些试图阅读煽动性内容的潜在恐怖主义者,那么,几乎不会有人提出异议。但相反,NSA不仅利用该程序来扩大自己的监视范围,比如监控意大利最大电信公司Belgacom,同时还对该程序的监视功能进行拓展。

如今,QUANTUM涵盖了包括DNS(域名系统)和HTTP注入式攻击等在内的一系列网络攻击工具。此外,QUANTUM还拥有能够插入关联数据库管理系 统MySQL连接的插件等小工具,让NSA能够在人不知鬼不觉的情况下,干扰第三方数据库的内容。由这可以看出,互联网中未加密的MySQL很容易被 NSA盯上。

而且,NSA还能够借助QUANTUM,操控基于IRC和HTTP的犯罪僵尸网络,以及那些利用数据包注入来创建虚拟服务器的程序,甚至可以用来防御攻击。QUANTUM的覆盖范围非常广,其中最著名的就是名为QUANTUMDEFENSE的项目,NSA能够借对寻求"非保密因特网协议路由器网"(NIPRNET)地址的DNS请求进行监控,并能够将数据包注入虚假的DNS请求,将攻击者引向NSA所控制的网站。

QUANTUMDEFENSE 项目非常准确的诠释了“如果你只有一把榔头,那么所有的问题在你看来都像是钉子。”这句话。“互联网协议路由网络“(NIPRNET)是美国国防部网络的 一部分,是一种非保密但十分敏感的网络系统,而公众可以连接到该网络。借助QUANTUMDEFENSE,美国国防部控制着攻击者们正在查阅的DNS权限 记录,并且能够直接让这些网络攻击者无功而返。

此外,QUANTUM还有三点限制:类档次结构、履行受限以及防御性薄弱。

此前大家不解的是,100次“提示”是如何在一次测试中(窃听装置发现一些有趣内容,并将这些信息发送至其他电脑)仅实现5次成功“攻击”(受害人收取到的攻击数据包);另外,先前曝光文件展示的是一个明显破损的设计,而在这个设计中,“攻击”命令是由“远程计算机”来执行,那么为何在先前QUANTUM恶意软件潜伏时间增长,而且有效性降低。

是因为类档次结构。监控设备本身就依靠互联网,处于“低层系统(system low)”空间,而攻击行为背后的程序逻辑则处于NSA的机密“高层系统(system high)”空间。

低层系统能够很容易向高层系统传送数据,也就是从非机密网络向NSA机密网络传送数据。但是根据QUANTUM的设计结构,高层系统向低层系统进行传输几乎是不可能的。这个特殊的单向“管”通道控制着通信,保证信息不会从机密网络中逆流出去。

这就是QUANTUM采用分体式设计,并出现之后性能低下的潜在原因。NSA要求攻击程序逻辑位于“高层系统”,而其他内容则只会根据那个设计决定流出。“高层系统”需要高度防护,可能需要存放在一个不同的安全地点,而且还不能随意向互联网发送请求。

相较于通过分级结构改变将攻击程序逻辑转移至“低层系统”,NSA寻求新的解决方法,推出了代号为“QUANTUMHAND(量子指针)”的恶意软件系统。 除了瞄准任何可攻击的网页链接,QUANTUMHAND以来自Facebook的持续“推送”连接为目标,当用户登录Facebook网站时,NSA会发 送恶意数据包,使目标用户认为其在访问真正的Facebook网页。NSA通过将恶意软件隐藏在看似普通的Facebook页面中,对目标计算机进行攻 击,并从计算机硬盘中获取数据。

通过这种方法,即便是速度缓慢且设计破损的加密结构也能够攻击Facebook用户的计算机。不过,Facebook在已几个月前启动了加密措施,NSA、英国政府通讯总部(GCHQ)等机构的攻击行为可能会被挫败。

QUANTUM的第二个限制出现在一项试验的描述中。NSA和GCHQ都在寻求添加“关键字pwn”,即,检查用户的Hotmail和Yahoo邮件中是否含有关键字,如果有,便自动对其进行攻击。

为了检测攻击是否有效,这些间谍机构进行了一项试验,结果显示,QUANTUMTHEORY(量子理论)监控设备只检查单一数据包,无法完整处理TCP数据流,从而导致该项目变成一个有限工具。

从本质上来说,QUANTUM就是一款没有补丁的安全及使用软件工具。

QUANTUM第三个局限性来自NSA另一个项目QUANTUMSMACKDOWN(量子攻击),即,利用数据包注入,来阻断针对美国国防部测试资产的攻击。不过,在尼古拉斯·韦弗看来,这个计划似乎有些痴心妄想。

为了让该项目运作起来,监视设备需要识别出通往美国国防部网络的“邪恶流量”,鉴于监视设备只检查单一数据包的设定,使得流量识别成为了一个更加复杂的难 题。即便“邪恶流量”被探测数来,QUANTUM能做的只有阻断请求并提前终止回复。但由于档次分层结构,等到QUANTUM决定终止连接的时候,网络应 该已经遭到了损害。

QUANTUMSMACKDOWN能够将一些下游数据排除在国防部网络之外,但是也仅限于下游数据流。任何遭遇类似低端 攻击而感染病毒的国防部网络,遭到感染不足为奇,而相关的网络承包商也应该被解雇。至于那些专业级别的恶意攻击,则将如入无人之境一般,轻而易举的躲过 QUANTUMSMACKDOWN。

市场上从事类似NSA数据收集的私营企业也不少,而关于这些企业也有不少看法。这些公司所收集的大部分 数据,多少都与用户追踪数据有关。比如,谷歌和Facebook等内容网络以及无数的广告网络,建立了一个全球的用户监视网,因此,NSA监控互联网数据 并且利用其进行攻击,这种做法似乎也是情理之中。而幕后,NSA还执行了用户连接,让其能够完全破解“匿名”广告信息。

其实,QUANTUM最大的局限性是位置:攻击方必须能够看到一个进行目标识别的请求。由于类似技术能够通过位于美国国务院星巴克的Wi-Fi网络运行,任何国家都能够借此获取关于QUANTUM恶意攻击软件的信息,外国政府也将因此可以实施NSA式的QUANTUM攻击。这是NSA QUANTUM项目的底线,NSA并不具备技术垄断优势,而其对类似技术的大肆使用似乎也是一种“鼓励”,默许罪犯或其他国家做出类似举动。

1.4 美媒:俄乌黑客激战 俄大量网站瘫痪

据美国《基督教科学箴言报》3月19日报道,自上周起,俄罗斯与乌克兰两国间的网络攻击已此起彼伏。而进入17日后,两国黑客之间的激战达到高峰,俄罗斯多家网站惨遭攻击,无法正常运行。

攻击自3月13日开始,当时一家乌克兰网站被俄罗斯的黑客攻击。次日,乌克兰黑客进行了反击,攻击了俄罗斯政府、中央银行及外交部的网站,而俄方称此次攻击和乌克兰危机无关。

16日,在克里米亚公投期间,乌克兰政府网站遭到了一波共计42次的连续攻击,且全部是分布式拒绝服务攻击(DDoS),与俄罗斯曾对格鲁 吉亚使用的攻击方式一致。之后的17日,俄罗斯网站迎来了最猛烈的攻击,132次攻击致使俄大量网站瘫痪,其中的一次攻击威力巨大,是俄黑客攻击格鲁吉亚 网站力度的148倍,也比13日俄黑客的攻击大4倍。

17日对俄网站攻击的数据量达到了每秒124千兆字节,共持续了18分钟。2008年俄罗斯对格鲁吉亚的网络攻击中,最大的一次也只有每秒843兆字节。而当天被报道的俄罗斯对乌克兰网络攻击仅有4次,峰值只有每秒9.8千兆字节。

据悉,这些攻击通过僵尸网络进行,世界各地被病毒感染的电脑都有可能参与了攻击。目前,欧盟、美国等国正在密切关注着此次俄乌两国的黑客互攻,目前还无法预计这轮“网络大战”的结束日期。

1.5 揭露路由器背后黑色产业链:厂商留有后门程序

上网遇到广告弹窗,网页被跳转赌博网站;QQ网银无缘无故被盗……很多人不知道,这些作恶的源头多起于家中那台小小的路由器。记者调查发现,TP- Link、D-Link、腾达、网件等主流路由器品牌的多款产品,均使用了存在缺陷的漏洞固件、弱密码设置,导致黑客们可以轻而易举获得管理员权限。而在 路由器劫持的背后,一条聚集了黑客、第三方平台、广告主的灰色产业链,已经悄然形成。

上网遇到广告弹窗,网页被跳转赌博网站;QQ网银无缘无故被盗……很多人不知道,这些作恶的源头多起于家中那台小小的路由器。记者调查发现,TP-Link、D-Link、腾达、网件等主流路由器品牌的多款产品,均使用了存在缺陷的漏洞固件、弱密码设置,导致黑客们可以轻而易举获得管理员权限。而在路由器劫持的背后,一条聚集了黑客、第三方平台、广告主的灰色产业链,已经悄然形成。

◆ 密码被盗,谁之过?

用户投诉:上网行为被“绑架”,打开百度却弹出黄色网站。

技术专家:路由器被劫持,一种原因是密码设置太过简单,另一种则是路由器留有后门。

“一打开百度、京东就自动变成黄色网站,重启了好几次路由器都没用。到了晚上更加猖狂,只要一开电脑就有浏览器弹窗广告,最后只有拔网线!”用户小勇对记者抱怨道,按网上的方法重新设置路由器、跟宽带运营商反映后也没有效果,甚至前几天连QQ账号都被盗了。“网上说是DNS劫持,但我路由器设置的是个数字+字母混合的长密码,怎么也会被轻易盗取?”

事实上,小勇遇到的这种情况,正是黑客利用路由器的漏洞,进入后台篡改了DNS地址,把用户要访问的正常页面劫持到自己服务器上,盗取网银、QQ等重要个人信息。

北京知道创宇信息技术有限公司研究部总监余弦告诉记者,目前路由器被劫持的原因主要有两种,“一种是用户路由器的管理界面密码太过简单,另一种就是厂家路由器的固件存在后门,黑客可以绕开管理界面的密码验证,直接入侵后台篡改DNS地址。”

由于这两个漏洞的存在,用户面对恶意劫持难以防范:黑客事先在某些网页上植入恶意代码,当用户访问这个页面,这段代码就已入侵路由器,在后台悄悄篡改了 DNS地址。去年,国家互联网应急中心曾发布公告,称出现针对TP-Link路由器的域名劫持,攻击方式也如出一辙:使用TP-Link路由器 admin/admin等默认账号/密码的用户,只要浏览黑客所掌控的网页,其域名解析服务器IP地址就会被黑客篡改,指向境外某个服务器。

即使用户使用了长字符管理密码,也会被黑客轻易攻破:“因为黑客可以绕过验证步骤,拿到最高管理权限。甚至有部分路由器厂家,默认设置开启远程访问、暴露了路由器的公共网络IP,也就是说可以远程控制路由器。” 余弦说道。

◆ 黑色产业,谁参与?

广告平台:可定向“绑架”全国任意省份的上网用户,1000个广告弹窗收费50元。

一边是黑客们大肆篡改、劫持用户路由器的DNS地址,另一边广告主、商业网站也在暗地里推波助澜,一条完整的产业链已经形成。

3月11日,记者以投放广告的名义联系到一家DNS广告平台,其自称不受网站、网址限制,任何网页均可展示广告,甚至竞争对手网页。广告由DNS直接发送,不会被屏蔽,受众总量超过8000万,日均活跃用户超过1500万,可定向捆绑全国任意省份的用户。

“劫 持广告一千个弹窗45~50元,也就是说有1000个用户打开百度、京东等网站,弹出来的是你提供的广告或网页。这种业务之前做过很多,像前段时间两家大 型网站为了推它们旗下某个产品,还向我们买过这种劫持广告弹窗,用来提高流量。”该平台董姓负责人表示,很多商业网站都是他们的大客户,只要是网站有 ICP备案,都能投放这种劫持广告,“一天几千次CPM(千人展示)完全没有问题。”

这种劫持广告甚至能根据用户浏览的页面内容,定向展示关联广告,“比如一位患者在百度上搜人流、医院这些关键词,在搜索的结果页面中,就能直接弹出指定医院的广告,链接该院首页。”该负责人称。

记者粗略估算了下,按照日均活跃用户1500万的展示次数,以及1000个广告弹窗50元的价格,高峰状态下平均每天收入在15000×50=75万元左右。有了这些广告利益的驱动,路由器劫持已经形成一条从黑客——投放平台——广告主的完整产业链。
“根据安全联盟的数据监测来看,高峰期有1万多家网站,被黑客植入了DNS劫持恶意代码,近500万用户受影响。同时背后有了广告、钓鱼网站的利益支撑,近年来路由器劫持变得日益猖獗。” 余弦表示。

◆ 后台缺陷,有意为之?

技术专家:厂商自己留有后门程序,以便日后检测、调试需要,但是管理权限易被黑客劫持。

今年2月份,国家互联网应急中心(CNCERT)最新发布的一份漏洞报告称,Cisco、Linksys、Netgear、Tenda、D-link等主流网络设备生产厂商的多款路由器产品,均存在远程命令执行、超级用户权限等预置后门漏洞,黑客可借此取得路由器的远程控制权,进而发起DNS劫持、窃取信息 等攻击。

“去年有不少家庭用户使用的TP-Link网关存在漏洞,DNS地址被人为篡改,打开正常网页时会访问或者弹出某几个固定页面。” 一位省级运营商技术负责人告诉记者,发现这一情况后,他们在骨干网上将这些被劫持的用户流量,引导到安全页面进行提示,并且在后台对于钓鱼网站做了拦截处理。

在他看来,用户没有及时更改路由器的初始密码固然有责任,但路由器厂商也有着无法推卸的责任:“厂商应该在产品出厂时给路由器分配一个随机密码,而不是简单的设成12345这样的弱口令。”

但更让人担忧的则是产品本身。极路由创始人王楚云告诉记者, 目前路由器厂家的主流产品,均留有一个超级管理权限,在安全防范措施较弱的情况下,这恰恰为黑客劫持路由器提供了最大便利。

“很多传统厂商在产品的开发过程中,一般都会为了日后检测、调试的需求,预留这个权限。但这跟安卓系统类似的是,一旦黑客利用漏洞拿到这个管理员权限,所有的防护措施都如同虚设。”

知名厂商D-link在其多款主流路由器产品中,就留下了这样一个严重的后门。“我们检测出的漏洞是,用一个roodkcableo28840ybtide 的关键密匙,就能通过远程登录,轻松拿到大多数D-link路由器的管理权限。”余弦告诉记者,Dlink的固件是由其美国子公司 AlphaNetworks提供的,该公司的研发技术总监叫做Joel,而这个字符串颠倒后恰好也是edit by 04482 joel backdoor(Joel编辑的后门)。

“这种厂家自己留的后门程序,居然是按照研发人员姓名来设置,太过明显了,完全有可能是厂家有意为之。”

而一份来自ZoomEye数据显示,全球范围使用这种有缺陷的D-Link用户在63000名左右,遍布中国、美国、加拿大、巴西等地。而在国内,有约十万台TP-Link路由器存在后门缺陷,受影响用户达到百万级别。

◆ 相关阅读

一套路由器授权费仅几分钱

“路由器劫持这个事年年都有,但各大厂家往往是等漏洞被曝出来,才去修复,平时也不会主动去请技术人员来检测产品固件是否有漏洞,业内的安全防范意识不够。” 一位路由器厂家的资深人士说道。

记者了解到,目前在各大厂家更加注重的是企业级高端设备的安全防范,对出货量巨大的家用网关市场,往往掉以轻心:“但黑客从去年开始偏偏就盯上了这个小众系统,这是各大厂商此前从未想到的。”

路由器固件作为一种嵌入式的操作系统,在家庭网关等民用设备上很少受到重视,各大路由器厂家都是在朝上游芯片厂商、第三方软件公司采购来成熟方案,在此基础 上进行二次开发:“像TP-Link、腾达等知名厂商,基本是从第三方公司买来的固件,在芯片厂商提供的系统上做了二次开发。博通、MTK等芯片厂商在提 供产品时,本身也会集成一个较为初级的底层操作系统,目的是为了把芯片的所有功能完整地演示一遍,让各家厂商拿回去自己做开发。但很多厂商为了省事,直接 买回来一套系统,稍作适配修改后就推向市场。”某路由器厂商人士透露。

据该人士透露,这种路由器操作系统的成本价格较低,按照授权收费来算,每台设备的系统成本在几角钱以内,出货量巨大的厂家甚至可以谈到按分计费,“这个反倒成了问题的根源。因为大家用的都是那几家公司的固件方案,一旦出了漏洞谁都跑不掉。”

 

2 本周关注病毒

2.1 Trojan.Win32.Generic.15DEF3EF(木马病毒)

警惕程度 ★★

会从黑客指定位置下载恶意程序到用户电脑中,并重命名。下载完成后执行恶意程序,同时对用户电脑进行恶意破坏。

2.2 Trojan.Win32.Generic.129CEE99(木马病毒)

警惕程度 ★★

用户电脑中毒后,病毒会大量自我复制,并设置自启动项,修改WIN.INI,SYSTEM.INI 文件。最后被连接到黑客指定地址,下载恶意程序,从而对用户电脑进行破坏。

2.3 Backdoor.Win32.Spammy.d(‘Spammy’后门病毒)

警惕程度 ★★★★

该病毒运行后会搜索中毒电脑Outlook讯簿中的联系人列表和互联网资源管理器缓存文件中的电子邮件地址,并将该类信息发送至黑客指定服务器。除此之外,该病毒还会读取黑客预先放置在远程服务器上的文件,并按照该文件内容,向用户的联系人发送垃圾邮件。用户电脑一旦中毒,将会面临隐私信息泄露的风险,同时用户的亲友还有可能因此收到诈骗邮件。

 

3 安全漏洞公告

3.1 Apache HTTP Server多个拒绝服务漏洞

Apache HTTP Server多个拒绝服务漏洞

发布时间:

2014-03-20

漏洞编号:

BUGTRAQ ID: 66303
CVE(CAN) ID: CVE-2013-6438,CVE-2014-0098

漏洞描述:

Apache HTTP Server是开源HTTP服务器。
Apache HTTP Server 2.4.7, 2.4.6, 2.4.4, 2.4.3, 2.4.2, 2.4.1在实现上存在安全漏洞,可被恶意利用造成拒绝服务。
1、记录截断cookie时,mod_log_config模块存在错误,可被利用造成工作线程崩溃。要成功利用此漏洞需要使用线程化MPM。
2、删除前导空格时,mod_dav模块存在边界错误,可被利用通过特制的DAV WRITE请求破坏内存。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://httpd.apache.org/
http://www.apache.org/dist/httpd/CHANGES_2.4.9
http://httpd.apache.org/security/vulnerabilities_24.html

3.2 PHP "gdImageCreateFromXpm()"空指针间接引用漏洞

PHP "gdImageCreateFromXpm()"空指针间接引用漏洞

发布时间:

2014-03-19

漏洞编号:

CVE(CAN) ID: CVE-2014-2497

漏洞描述:

PHP是一种HTML内嵌式的语言。
PHP 5.4.26、5.5.10版本在 "gdImageCreateFromXpm()" 函数 (ext/gd/libgd/gdxpm.c)的实现上存在空指针间接引用错误,攻击者通过特制的XPM文件,利用此漏洞可造成崩溃。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.php.net/downloads.php
https://bugs.php.net/bug.php?id=66901

3.3 lighttpd存在多个目录遍历漏洞

lighttpd存在多个目录遍历漏洞

发布时间:

2014-03-17

漏洞编号:

BUGTRAQ ID: 66157
CVE(CAN) ID: CVE-2014-2324

漏洞描述:

lighttpd是一款HTTP服务程序。
lighttpd mod_simple_vhost_docroot函数(mod_simple_vhost.c)和mod_evhost_parse_host函数 (mod_evhost.c)存在目录遍历漏洞,允许远程攻击者利用漏洞获取系统本地文件内容。

安全建议:

lighttpd 1.4.35已经修复该漏洞,建议用户下载更新:
http://www.lighttpd.net/

3.4 lighttpd mod_mysql_vhost.c SQL注入漏洞

lighttpd mod_mysql_vhost.c SQL注入漏洞

发布时间:

2014-03-17

漏洞编号:

BUGTRAQ ID: 66153
CVE(CAN) ID: CVE-2014-2323

漏洞描述:

lighttpd是一款HTTP服务程序。
lighttpd mod_mysql_vhost.c存在SQL注入漏洞,允许远程攻击者利用漏洞提交特制的SQL查询,操作或获取数据库数据。

安全建议:

lighttpd 1.4.35已经修复该漏洞,建议用户下载更新:
http://www.lighttpd.net/

3.5 Juniper Junos Pulse Secure Access SSL VPN跨站脚本漏洞

Juniper Junos Pulse Secure Access SSL VPN跨站脚本漏洞

发布时间:

2014-03-17

漏洞编号:

BUGTRAQ ID: 66173
CVE(CAN) ID:CVE-2014-2291

漏洞描述:

Juniper Networks的Secure Access是企业级的SSL VPN接入设备,设备上所运行的操作系统为Juniper IVE OS。
Juniper Junos Pulse Secure Access SSL VPN存在跨站脚本漏洞。由于相关Pulse Collaboration (Secure Meeting)用户页面的输入在返回用户之前缺少过滤,允许远程攻击者利用漏洞构建恶意URI,诱使用户解析,可获得敏感Cookie,劫持会话或在客 户端上进行恶意操作。

安全建议:

Juniper IVE OS Software 8.0r1, 7.4r8, 7.3r10, 7.1r18已经修复该漏洞,建议用户下载更新:
https://www.juniper.net/