当前位置: 安全纵横 > 安全公告

一周安全动态(2014年07月10日-2014年07月17日)

来源:安恒信息 日期:2014-07

2014年07月第三周(07.10-07.17)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 恐慌与无措:俄罗斯黑客曾入侵纳市13台服务器

2010 年 10 月,美国联邦调查局监控美国互联网流量的一部系统收到报警,信号来自纳斯达克。看起来恶意软件已经浸入了纳斯达克的中央服务器。迹象显示入侵者并非是某个地方的小孩子,而是某国的情报机构。更糟糕的在后面:当美国计算机专家仔细查看了入侵的软件之后,他们意识到这是一个攻击程序,目的就是要造成破坏。

金融交易所、银行、水处理厂以及电力系统,在数字攻击面前不堪一击

虽然黑客行动已经成为每天都有的烦心事,但是大部分都是在公众不知情的情况下发生的。中国、法国、以色列——还有许多其他不知名的对手——都会以这样或那样 的方式黑客入侵。他们窃取导弹计划、化学方程式、电力管道结构图还有经济数据。这是一种间谍行为;攻击程序是一种军事打击。有报道的行动部署很少,最著名 的要数 Stuxnet 蠕虫,被广泛认为是美国和以色列的合作项目。2010 年,Stuxnet 曾经导致伊朗位于纳坦兹镇铀浓缩设施的临时瘫痪。Stuxnet 关闭了该设施的安全机制,导致位于精炼厂核心的分离机失去了控制。两年后,伊朗摧毁了沙特阿美石油公司(Saudi Aramco)三分之二的计算机网络,使用的是一种相对简单但是传播极快的“擦拭者”(wiper)病毒。美方某资深官员表示,在美国关键电脑系统内植入 的数字武器,他只见过一例——在纳斯达克的系统里。

十月份的这次警报让国家安全局(NSA)也牵扯了进来,2011 年初,NSA 调查结论认为存在巨大的危险。华盛顿郊外一栋 11 层高的办公楼里,紧急行动小队通过安全线路进行了视频会议。这栋楼正是美国国家数字按群和通讯整合中心(NCCIC, National Cybersecurity and Communications Integration Center)的总部,该机构的任务是聚焦并协调美国政府针对数字攻击的应对措施。他们评估了 FBI 的数据以及来自 NSA 的补充资料,迅速决定需要扩大行动规模。

于是,一场长达五个月的调查开始了,严苛程度让美国的数字反应能力都经受了挑战,直接将美国总统牵 入其中。情报和执法机构承受着解码复杂黑客入侵的压力,即便是向立法机构提供一份稍显清晰的报告都有些力不从心。在几个月的努力之后,政府不同部门对于谁 是幕后主使这一问题仍旧存在基本分歧。“我们观察到某个国家获取了进入至少一家美国股票交易所的权限,这么说吧,目前仍不清楚他们的最终目的到底是什么,”众 议院情报委员会(House Intelligence Committee)主席、密歇根州民主党议员麦克?罗杰斯(Mike Rogers)这样说道,他在采访时仅同意发表一般观点,因为细节部分仍旧处于保密状态。“这种情况糟糕的地方在于,直到最后一刻来临否则我无法确认真的 弄清楚了。而你又永远不希望这一刻的来临。”

彭博商业周刊花费几个月的时间,就纳斯达克入侵及其后续事件采访了超过二十位相关人士。其中有 九个人直接参与了调查和国家安全审核;所有人都没有获得接受采访的授权。“纳斯达克入侵事件的调查仍旧在进行中,”FBI 纽约助理行动首长(Assistant Director in Charge)乔治?维尼泽罗斯(George Venizelos)表示,“和所有的数字犯罪案情一样,情况是复杂的,证据和事实会随着时间发生变化。”

虽然黑客入侵被成功中断了,但却揭示出金融交易所——还有银行、化学精炼厂、水处理厂以及电力系统——在数字攻击面前的不堪一击。亲身体验了这次事件的某官员认为,这次攻击将会改变一切,迫使美国认真对待,准备好迎接计算机冲突的新时代。不过这一点他说错了。

NCCIC 电话会议的成员都是来自国防部、财政部、国土安全部、NSA 还有 FBI 的专家。最初的评估结果给紧急行动小队提供的只是一些关于黑客身份的粗略资料,但是几分钟之后他们就一致同意,入侵情况非常严重,必须通知白宫。

第二天,电话会议成员又在白宫集结,参加会议的还有来自司法部和中央情报局的官员。小组罗列了几个方案,要汇报给来自白宫、司法部、五角大楼以及其他部门的 高级国家安全人员。这些官员来判断哪些问题是调查人员不得不回答的:黑客们是否能操纵或者破坏交易平台?这次入侵是否只是大规模攻击美国金融基础设施计划 的一部分?

美国特勤局(The U.S. Secret Service)被推选来领导此次调查。特勤局代表指出,他们已经在几个月之前去过纳斯达克,并携带了几个俄罗斯数字犯罪嫌疑人的证据,为首的是圣彼得堡 人加里宁(Aleksandr Kalinin),犯罪嫌疑人曾经入侵了纳斯达克,这两起事件或许有关联。但是,特勤局未能在辩论中占上风,退出了调查行动。

当FBI 通知纳斯达克入侵事件的存在时,却发现纳斯达克自己已经检测到异常情况,但是并没有公布受攻击的消息。在就保密方面的问题讨教还价一番之后,纳斯达克公司 允许政府工作人员使用他们的计算机网络。调查小队分别抵达了纳斯达克位于纽约城自由广场(One Liberty Plaza)的总部和位于新泽西卡特雷特(Carteret)的数据中心,在那里他们发现了某国情报机构或军方的多处行动迹象。

黑客使用了 两个“零日漏洞”(zero-day),这是一种计算机代码中的未知漏洞——程序员称其为“零日”——允许黑客轻松地远程控制一台计算机。该漏洞已经成为 一种很有价值的通货,有时候在地下黑市能够卖到上万美元。使用一个零日漏洞意味着某个经验丰富的黑客在操纵;一个以上则是政府在支撑。Stuxnet 曾经安置了四个——这意味着代码编写者曾经做过高水平的侦测,并且熟悉不同的系统如何协调工作。

攻击纳斯达克的人也曾经做过类似的功课,拥 有同等级的资源支持。关键的一点是从纳斯达克电脑集群中取出的黑客恶意软件。NSA之前曾经见到过一个版本,是由俄罗斯联邦安全局(Federal Security Service of the Russian Federation)设计开发的,也就是该国的主要间谍机构。这款恶意软件不仅仅是窃听:虽然也能够用于窃取数据,同样可以在电脑网络里实施大规模的颠 覆操作。NSA 认为这款软件有能力清除整个交易所的数据。

一月初,NSA 向国家安全部门的高层报告:俄罗斯精英黑客已经入侵了纳斯达克股票交易所,并且植入了数字炸弹。最好的情况是黑客将其设置为破坏模式,被侦测到的时候在纳 斯达克的电脑网络中制造破坏,以便甩掉追踪者。最糟糕的情况是,制造破坏就是这些黑客的目的。这一发现结果汇报给了美国总统奥巴马。

在之后的调查中,一些美国官员质疑 NSA 是否对证据做了过度解读。恶意软件通常会被买卖交易——被出售、被窃取或者被分享。攻击代码和不那么具有毁灭效果的代码,两者之间在技术上的分别是非常小 的。当时 NSA 首长肯斯?亚历山大(Keith Alexander)与其他政府部门争执不休,分歧就在与 NSA 在保护个人电脑不受这种形式攻击的过程中究竟应该有多少权力。发生这样一次攻击事件,显然支持了 NSA 的主张。

随着调查继续在纳斯达克 总部及其数据中心深入开展,调查人员重现了这些全球顶级黑客的入侵路线。调查人员对于像纳斯达克这样复杂的业务系统如此脆弱感到非常惊讶。“我们以为,一 般来说,金融机构的操作水平是非常好的,”前奥巴马政府数字安全专家克里斯托佛?费南(Christopher Finan)说道,“并不是说他们做得完美,但就整体水平来说他们名列前茅。”

但是调查人员在纳斯达克的发现让他们感到震惊,工作人员发现 几个不同的用户组自由操作的痕迹,其中一些已经在该交易所的网络里面存在几年时间了,这里面就包括中国的黑客间谍。每日机器活动的基本纪录都是在服务器上 生成的,这一点可以帮助调查人员追踪黑客行动,但是这些纪录几乎完全不存在了。调查人员同样发现自由广场管理公司负责的网站被植入了名为黑洞 (Blackhole)的代码包,这是一个俄罗斯人的发明,能够感染那些访问该页面支付账单或者做其他物业维护的承租人的电脑。

一位调查人员称纳斯达克的电脑集群仿佛是“泥泞的沼泽地”(the dirty swamp)一般,这让追查俄罗斯黑客软件的进度出奇缓慢。调查人员认为黑客至少在警报发出前三个月已经入侵了纳斯达克的电脑系统,但这只是个猜测。有迹 象显示一大块缓存数据被窃取了,但是证据过于欠缺,很难发现究竟丢失的是什么。“如果有人闯入你家,想弄清楚他们去了那里、拿了什么东西是很困难的,因为 和银行不同,你家里没有摄像头,你也没有运动探测器,”安全公司 Siege Technologies 的首席执行官杰森?西沃森(Jason Syversen)说道,“就数字安全来说,大部分公司更像居民房屋,而不是一家银行。”

调查人员把这次攻击定性的问题交给了纳斯达克自己去处理,该公司在二月五日发布了一份公司声明,之后又提交了一份监管报告。对于纳斯达克来说,没有更糟糕的时机了。当时正值其试图以 110 亿美元收购纽约股票交易所之际。

但纳斯达克在声明里并没有说明这次攻击有多么严重。该公司只是说在一次“例行检查”(a routine scan)中发现了恶意软件,入侵只限于名为“总监工作台”(Director's Desk)的电脑系统,有 230 家公司使用这个系统与董事会成员分享金融信息。“尚未有信息显示任何资料被窃取的迹象,”声明说道。

在撰写本文的采访中,纳斯达克发言人约 瑟夫?克里斯汀拿特(Joseph Christinat)表示:“在与美国政府紧密合作进行的调查取证中,没有任何证据表明 Director's Desk 系统有任何资料被泄漏。2010 年是我们公司在数字安全领域加大投入的重要一年,今天我们有更强的能力保护我们的系统、技术和市场交易者。”

与此同时,对幕后黑手的调查出现了戏剧性的转折。与炸弹和导弹不同的是,恶意软件可以重复使用。只要存在于网络内,就能够被其他黑客获得,反向工程并重新部 署在受害者的电脑集群里,掩盖踪迹,就好像一个杀手使用了其他人的手枪一样。调查人员开始审查他国政府或军方电脑的黑客入侵数据,有证据表明俄罗斯的恶意 软件正在被一名中国的黑客间谍所使用,该黑客同样也有类似的犯罪纪录。这名黑客可能被给予了该恶意软件的权限,也可能是从内部的另一台电脑得到了权限,并 利用其伪装自己的身份。来自纳斯达克内部的一些证据也支持这种论断。随着怀疑对象转向亚洲,报告再次被递交给奥巴马总统。

随着新线索的出 现,更多调查小队开始在美国全境展开行动。美国财政部给出了可能成为大规模攻击目标的一份清单,包括十家主要银行和美国股票交易所。不过并非所有的公司都 表示愿意合作。在接受调查的公司当中,调查人员在该公司安全负责人的配合下,开始处理电脑纪录、检查服务器。

调查人员发现了很少大规模攻击的证据,但却发现大部分美国主要金融机构存在系统性的安全隐患。清单上的许多公司对于纳斯达克所遭受的攻击都不具有抵抗力。这些公司之所以幸免只是因为黑客没有去尝试而已。

指向亚洲的调查方向没有进展。调查人员把关注点转回到俄罗斯嫌疑人身上,但是后者的动机有不少疑问。几个月来黑客能够轻松地自由操纵纳斯达克的网络。交易所本身的网络与公司其他网络是隔离的,调用数据有些难,但是没有证据显示黑客曾经有过尝试。

为了找到答案,白宫将任务交给了 CIA。与 NSA 不同,CIA 是一家“各种资源”(all source)的情报机构,尤其有丰富的人脉资源。CIA 开始将重点放在俄罗斯的情报机构和有组织犯罪人员的联系上面。俄罗斯情报机构内部的人可能私下在运作这样一个网络,或者将恶意软件出售、给予某黑客犯罪集 团。

如果黑客的目的是钱财,纳斯达克的 Director's Desk 系统是很好的选择。该系统有上千名公司董事会主席在使用,用来交换关于各自公司的机密信息。任何获得这些信息的人都能够立刻积累起一笔财富。不过 FBI 在分析了交易纪录之后没有发现任何上述情况发生的证据。

FBI的调查人员注意到黑客将注意力放在纳斯达克的十三台服务器上面,这十三台服务器含有该公司最核心的技术。该技术十分复杂,以至于纳斯达克将这部分业务分离出来,用软件授权的方式给全球其他的股票交易所使用。
俄 罗斯对纳斯达克感兴趣是有理由的。2011 年,俄罗斯总统梅德韦杰夫(Medvedev)在达沃斯的世界经济论坛上向众人展示了将莫斯科打造成全球金融中心的计划。之后的一个月,莫斯科的两个交易 所 Micex 和 RTS 宣布合并,成为世界一流的交易平台,全球新金融资本中心皇冠上的明珠。

2011年中,调查人员得出结论,俄罗斯并没有打算摧毁纳斯达克,他们想要克隆一个,既不是在本国的交易所置入其技术,也不是学习仿照其模式,而是要复制一个。俄国人派出精英黑客去实施这项计划。
当记者就纳斯达克入侵一事采访俄罗斯大使馆发言人科里斯科(Yevgeniy Khorishko)时,对方表示“纯属子虚乌有,甚至不值得发表评论。”

1.2 CNET用户数据被俄罗斯黑客团体窃取 拍卖价1比特币

名为“W0rm”的俄罗斯黑客组织宣布入侵著名科技网络CNET服务器并成功窃取注册用户数据库,包含注册用户名、邮件和加密密码等相关信息,共计有超过100万用户受此影响。W0rm表示本次攻击行为只是希望引起注意,决定以1比特币的价格对用户数据进行拍卖。

针对服务器被攻击事件CNET第一时间进行了相应的弥补,向用户发送了重置密码的致歉信,并查明了攻击主要是利用了Symfony PHP框架下的一个漏洞。尽管w0rm这样的行为并不文明,但是这些黑客团体自称他们的目标是“改善互联网的安全”。

1.3 斯诺登文件曝光英国情报部门大量间谍工具

据美国博客The Intercept报道,英国政府通讯总署(以下简称“GCHQ”)采用了大量工具来入侵流行的社交媒体网站和通讯服务,并且在互联网上传播虚假信息。The Intercept罗列了GCHQ采用的一长串工具,包括操纵在线调查结果,以及实时监控Skype通讯信息等。但这些技术的细节仍然未知。

这些消息都来自美国国家安全局(以下简称“NSA”)前雇员 爱德华·斯诺登(Edward Snowden)曝光的文件。而The Intercept记者格伦·格林沃尔德(Glenn Greenwald)也在上周披露,NSA和美国联邦调查局(FBI)监视多名美国穆斯林领袖。

正如格林沃尔德所说,这些工具使得GCHQ 可以“在互联网上种下虚假信息”。这些工具由GCHQ下属的联合研究威胁情报组(以下简称“JRTIG”)开发,可以影响网页的页面浏览量。另外一款名为 Silver Specter的工具还可以对保护用户上网隐私的TOR软件进行扫描。据媒体报道,NSA之前也曾经试图攻击TOR用户。

JRTIG的工具不仅限于我们之前所了解的模式,它会瞄准具体的社交媒体。从现有资料来看,还无法判断相关企业与该项目的关系,包括微软旗下的Skype。微软在 Skype中使用了先进的加密技术,该公司之前也曾表示,他们只会根据法律要求,将指定账号的信息提交给执法部门。但该报道却声称,JRTIG有能力获取 用户的联系人列表,并提供监听目标的实时通话和即时通讯记录。

除此之外,该机构还可以借助一项工具在Facebook上寻找目标人物没有公开的照片。GCHQ还号称能在YouTube等热门多媒体网站上放大信息的影响力。但Facebook和谷歌均未对此置评,目前也不清楚这些企业是否了解相关情况。

格林沃尔德表示,这些项目的代号被罗列在一个与维基百科相似的页面中。该页面最近一次更新是在2012年7月,但并没有进行细致归类。

JTRIG还在项目列表顶部写道:“如果你在这里找不到,并不意味着我们没有开发它。”该机机构列举的项目如下:

——UNDERPASS:改变网络调查结果。

——SILVERLORD:通过协同的目标发现和内容删除,破坏包含极端内容的视频网站。

——CHANGELING:能够盗用任何电子邮箱,并用该邮箱发送电子邮件。

——IMPERIAL BARAGE:在一次通话中将两个目标电话连接起来。

GCHQ回应称:“我们从来不对情报问题发表评论。另外,GCHQ的所有工作都严格遵守法律和政策框架,确保我们的活动都经过授权,而且是必要且适当的。此外,我 们还会接受严格的监督,包括来自国务大臣、拦截和情报服务委员会以及国会情报和安全委员会的监督。我们的所有运作流程都严格遵循这一立场。”

GCHQ显然只是给出了模糊的回应,完全没有涉及它如何获得的监控申请,以及微软或Facebook等企业是否知晓相关工具的存在。

但格林沃尔德怀疑,该机构并未接受严格监督。英国前内阁大臣克里斯·休恩(Chris Huhne)曾经坚称,英国的内阁大臣几乎完全忽略了GCHQ的Tempora项目。该项目与美国NSA的“棱镜”项目类似,也可以搜集、存储和分析大量通讯信息。

英国议会目前正在考虑出台紧急监听法律,要求电信公司将用户数据保留一年时间。但隐私保护人士和斯诺登认为,这项立法出台得过快,并没有经过充分的公众讨论。

而最新披露的文件则令外界对英国情报部门的不信任情绪进一步加深,担心他们会侵犯民众隐私和言论自由。从格林沃尔德的报道中无法判断这些项目是否都已经投入 使用,以及使用的具体频率有多高。但该文件指出,迫于工作要求,这些工具有时的确无法使用。文件还对某些工具为何不符合要求进行了详细解释,甚至装模作样 地写道:“可能还存在一些法律限制。”

1.4 德国议会NSA调查委员会为安全考虑使用旧式打字机

德国议会正对NSA的监视活动展开调查,调查委员会主席Patrick Sensburg表示,出于安全着想他们正认真考虑使用手动打字机。他说,他们非常严肃的对待安全问题,目前已经有了一台非电动打字机。俄罗斯联邦安全机构去年曾宣布为了防止数据泄露而采购德国制造的电动打字机。

上周,德国间谍机构情报人员Markus R.因涉嫌向中情局出售情报被捕,中情局驻德国情报站站长因此遭到驱逐。除了打字机,Sensburg还表示要求对委员会成员的手机进行安全检查,因为之前一天德国议会两名成员的手机遭到了入侵。

1.5 深入校园:NSA正为网络作战计划招募合适的大学生人选

美国国家安全局(NSA)正试图为自己培养一支高素质的大学生队伍。该政府机构在周二的时候宣布,其已经选中了五所学校,并且会开设专门的网络作战计划学术中心。这五所精心挑选的学校包括纽约大学、陶森大学、美国陆军军官学校、辛辛那提大学、以及新奥尔良大学。


NSA网络作战计划共涉及13所学校。

这些学校的“学术卓越中心”(The Centers of Academic Excellence)将重点培养计算机科学、计算机工程、以及电气工程领域的学生。对此感兴趣的学生们则需要经过严格的申请和筛选过程。


2 本周关注病毒

2.1 Trojan.Win32.Mnless.dyr(木马病毒)

警惕程度 ★★

该病毒运行后自我复制并将文件设置为隐藏属性,同时添加注册表实现自启动,最终链接黑客指定地址并下载更多恶意程序。

2.2 Worm.Win32.FakeFolder.cl(蠕虫病毒)

警惕程度 ★★

该病毒运行后为躲避杀毒软件查杀,会试图结束当前运行的安全软件进程,通过创建注册表劫持项阻止杀毒软件再次启动,甚至还会删除安全软件图标并使其隐藏。病毒作者为避免病毒被手工删除,会破坏操作系统的安全模式,并让用户无法打开注册表编辑器。最终,病毒会在桌面上创建多个钓鱼网站的快捷方式,使用户进入黑客指定网站,为其带来巨大经济利益。

2.3 Trojan.Win32.Mnless.dyr#RSUNPACK.a(木马病毒)

警惕程度 ★★★★

该病毒运行后自我复制至系统文件夹,将自身设置为开启即自动,并每天定时运行。除此之外,病毒还将修改注册表,设黑客指定的恶意网址为可信任站点,后台连接该网址,下载其他恶意程序至电脑。电脑中毒,将面临系统运行缓慢、网络账号被盗,隐私信息泄露等风险。


3 安全漏洞公告

3.1 Apache HTTP Server 'mod_status'远程代码执行漏洞

Apache HTTP Server 'mod_status'远程代码执行漏洞

发布时间:

2014-07-17

漏洞编号:

BUGTRAQ ID: 68678
CVE ID: CVE-2014-0226

漏洞描述:

Apache HTTP Server是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩展,将Perl/Python等解释器编译到服务器中。
Apache HTTP Server 2.x及其他版本在mod_status的更新实现中存在安全漏洞,记分板处理中存在竞争条件可造成缓冲区溢出,这可使攻击者通过请求某些端点利用此漏洞获取信息或破坏内存。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://mail-archives.apache.org/mod_mbox/httpd-cvs/201407.mbox/%3C20140714195504.EF60D23889E2@eris.apache.org%3E

3.2 Citrix XenServer 拒绝服务和信息泄露漏洞

Citrix XenServer 拒绝服务和信息泄露漏洞

发布时间:

2014-07-17

漏洞编号:

BUGTRAQ ID: 68660
CVE ID: CVE-2014-4948

漏洞描述:

Citrix XenServer产品线是一种企业级平台,通过灵活的聚合计算和存储资源对数据中心的服务器虚拟化进行管理。
Citrix XenServer客户端在VHD修改中存在安全漏洞,可导致拒绝服务和信息泄露。

安全建议:

Citrix已经为此发布了一个安全公告(CTX140984)以及相应补丁:
CTX140984:Citrix XenServer Multiple Security Updates
链接:https://support.citrix.com/article/CTX140984
补丁下载:
https://support.citrix.com/article/CTX141036
https://support.citrix.com/article/CTX141038
https://support.citrix.com/article/CTX141040
https://support.citrix.com/article/CTX141039
https://support.citrix.com/article/CTX141043
https://support.citrix.com/article/CTX141041
https://support.citrix.com/article/CTX141042


3.3 PHP 'get_icu_value_internal()'函数内存破坏漏洞

PHP 'get_icu_value_internal()'函数内存破坏漏洞

发布时间:

2014-07-16

漏洞编号:

BUGTRAQ ID: 68550

漏洞描述:

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。
PHP在'get_icu_value_internal()'函数的实现上存在远程内存破坏漏洞,成功利用后可使攻击者在受影响应用上下文中执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.php.net/downloads.php

3.4 HP Data Protector 远程代码执行漏洞

HP Data Protector 远程代码执行漏洞

发布时间:

2014-07-15

漏洞编号:

BUGTRAQ ID: 68533
CVE ID: CVE-2014-2623

漏洞描述:

HP Data Protector软件是企业环境中单个服务器自动备份和恢复的软件,支持磁盘存储或磁带存储目标。
HP Data Protector 8.10版本在实现上存在远程命令执行漏洞,当特制的命令发送到受影响设备的TCP 5555端口可触发此漏洞,导致在受影响应用中执行任意命令。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:https://h20564.www2.hp.com/portal/site/hpsc/public/kb/
docDisplay?docId=emr_na-c04373818

3.5 Oracle WebLogic Server 远程安全漏洞

Oracle WebLogic Server 远程安全漏洞

发布时间:

2014-07-16

漏洞编号:

BUGTRAQ ID: 68629
CVE ID: CVE-2014-4210

漏洞描述:

Oracle Weblogic Server是应用程序服务器。
Oracle Weblogic Server组件的实现上存在远程安全漏洞,此漏洞可通过HTTP协议利用,未经身份验证的远程攻击者可利用此漏洞影响受影响组件的机密性。该漏洞的影响版本包括:10.0.2.0, 10.3.6.0

安全建议:

Oracle已经为此发布了一个安全公告(cpujul2014-1972956)以及相应补丁:
cpujul2014-1972956:Oracle Critical Patch Update Advisory - July 2014
链接:http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html

3.6 Oracle MySQL Server 远程安全漏洞

Oracle MySQL Server 远程安全漏洞

发布时间:

2014-07-16

漏洞编号:

BUGTRAQ ID: 68611
CVE ID: CVE-2014-4243

漏洞描述:

Oracle MySQL Server是一个轻量的关系型数据库系统。
Oracle MySQL Server在MySQL Server组件的实现上存在远程安全漏洞,此漏洞可通过MySQL Protocol协议利用,经身份验证的远程攻击者可利用此漏洞影响受影响组件的可用性。该漏洞的影响版本包括:5.5.35及之前版本,5.6.17及 之前版本

安全建议:

Oracle已经为此发布了一个安全公告(cpujul2014-1972956)以及相应补丁:
cpujul2014-1972956:Oracle Critical Patch Update Advisory - July 2014
链接:http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html

3.7 Oracle Solaris 远程安全漏洞

Oracle Solaris 远程安全漏洞

发布时间:

2014-07-16

漏洞编号:

BUGTRAQ ID: 68631
CVE ID: CVE-2014-4239

漏洞描述:

Solaris是Sun Microsystems研发的计算机操作系统。它被认为是UNIX操作系统的衍生版本之一。 目前Solaris属于混合开源软件。
Oracle Solaris组件的实现上存在安全漏洞,经身份验证的攻击者可利用此漏洞影响受影响组件的可用性、机密性。该漏洞的影响版本包括:2.3.1.0, 2.3.1.1, 2.3.1.2, 2.4.0.0, 2.4.1.0, 2.4.2.0

安全建议:

Oracle已经为此发布了一个安全公告(cpujul2014-1972956)以及相应补丁:
cpujul2014-1972956:Oracle Critical Patch Update Advisory - July 2014
链接:http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html

3.8 Oracle Database Server远程安全漏洞

Oracle Database Server远程安全漏洞

发布时间:

2014-07-16

漏洞编号:

BUGTRAQ ID: 68633
CVE ID: CVE-2014-4236

漏洞描述:

Oracle Database Server是一个对象一关系数据库管理系统。它提供开放的、全面的、和集成的信息管理方法。
Oracle Database Server在RDBMS Core组件的实现上存在远程安全漏洞,此漏洞可通过Oracle Net协议利用,经过身份验证的远程攻击者可利用此漏洞影响受影响组件的机密性、完整性、可用性。该漏洞的影响版本包括:11.2.0.4, 12.1.0.1。要成功利用此漏洞需要Create Session权限。

安全建议:

Oracle已经为此发布了一个安全公告(cpujul2014-1972956)以及相应补丁:
cpujul2014-1972956:Oracle Critical Patch Update Advisory - July 2014
链接:http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html