当前位置: 安全纵横 > 安全公告

一周安全动态(2014年09月04日-2014年09月11日)

来源:安恒信息 日期:2014-09

2014年09月第二周(09.04-09.11)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 Apache警告:Tomcat存在远程代码执行漏洞

开源WEB容器–Apache+Tomcat老版本很容易受到远程代码执行的攻击。Mark Thomas,一位长期致力于Apache+Tomcat的工作者称:

“在某种情况下,用户可以上传恶意JSP文件到Tomcat服务器上运行,然后执行命令。JSP的后门可以用来在服务器上任意执行命令。”

Thomas今日发出警告称,Tomcat版本7.0.0和7.3.9在发布补丁之前是脆弱的。利用漏洞(CVE-2014-4444)可执行远程代码执行攻击。上周VMware安全工程部,通信与响应小组(vSECR)的Pierre Ernst挖掘出了这个漏洞。

但官方同时也表示,这个漏洞谈起来容易,但实施攻击有难度。攻击者必须达成的一定条件——其中包括:Oracle Java 1.7.0 update 25,或者Tomcat中的更早的脆弱版本。值得一提的是,该系统的文件路径必须保证可写,而JMX环境的自定义侦听器必须配置且绑定到本地localhost以外的地址。正因为这些限制,Tomcat的安全团队把该漏洞从严重降级为重要,严重程度往往与远程执行漏洞相关。

Apache团队鼓励用户升级到Tomcat7.0.40,或者将他们的Oracle Java升级到1.7.0来减轻危害,要不然就只能等到以后再修补它了。

[来自FreeBuf.COM]

1.2 俄罗斯论坛曝Gmail五百万密码泄露

一份名为“google_5000000.7z”的压缩文件被泄露在一家俄罗斯比特币论坛上,文件包含了五百万的gmail用户的账号和密码。

据博客称,60%的账号和密码都是可用的,因此3百万gmail账号任然存在着风险。

将近一半的账号和密码是正确的,有些账号因为"可疑的登陆"已经被Google停用,这说明,在此之前,这些gmail账号已经不安全。

其中有一部分是去年adobe密码而泄露的

为了你的gmail账户安全,最好的方法就是开启两步验证,并且在你的智能机中下载Google Authentication。

关于泄露的账号和密码

google_5000000.7z下载

http://cloud.draghetti.it/owncloud/public.php?service=files&t=fa111e282aeec6d6665ae42c344518ab (仅含账号)

如何查询我的账号和密码是否泄露

gamil查询是否泄露:https://isleaked.com/en

1.3 “心脏出血”漏洞公布之前可能已经被政府机构利用

“心脏出血”漏洞已经是史上影响互联网最严重的缺陷之一。但是,新的研究表明,“心脏出血”漏洞在四月爆出之前,没有证据显示“心脏出血”漏洞已经被黑客大规模使用。“心脏出血”漏洞爆出之后,互联网网站争先恐后地应用补丁。然而,一些美国大学研究学者担心,该漏洞在爆出之前,可能已经被政府机构利用进行互联网监控之用。

通过分析劳伦斯伯克利国家实验室收集到2013年11月到2014年4月的“陷阱”网络流量,研究人员发现,“心脏出血”漏洞爆出之前,没有黑客大规模利用此漏洞进行攻击的迹象。首个攻击发生在“心脏出血”漏洞爆出之后22小时之内, 之后,研究人员观察到5948次“心脏出血”漏洞攻击,这些攻击针对692不同的主机。

“心脏出血”漏洞披露后三周,研究人员发现,互联网营运营商修补漏洞的速度仍然不够理想,只有47%的受访运营商表示他们已经完全修复了漏洞。

该研究的结论是,“心脏出血”漏洞爆出以及处理手法,可以作为以后互联网漏洞危机应对的范例。

1.4 日本政府拟研讨直接聘用黑客应对网络攻击

《日本经济新闻》9月9日报道称,为应对网络攻击,日本政府将开始研讨直接聘用精通网络及电脑技术的“黑客”。基本方向为,在2015年度以日本内阁官房信息安全中心(NISC)下设的有聘任期限的职员或研 究员岗位为主,吸纳“黑客”人才。内阁官房信息安全中心负责综合应对网络攻击,此举旨在通过扩充专业人才,进一 步强化对急速增加的网络攻击的应对能力。


资料图:日本自卫队成立网络战部队

报道称,用高超的计算机技术为公共事务服务的黑客被称为“白色黑客”。美国的行政机关汇聚了很多信息安全专家,其中就有被称为“白色黑客”的技术人员。据 称,美国全体信息安全专家的人数超过了3000人。日本内阁官房信息安全中心规模较小,仅有70人,其中一半的职员还同时兼任其他省厅的职位。

日本政府认为,如果内阁官房信息安全中心可以直接聘用应届大学毕业生或企业的退休人员担任技术人员的话,将可以采取比目前更为严密、务实的防御对策。美国有 一种制度,为精于网络破译技术的大学生提供奖学金,作为交换这些大学生毕业后需在在政府部门工作一段时间。法国政府也为应届毕业的“白色黑客”特设了岗位编制。

《日经新闻》称,2013年度日本的政府相关机构遭到的网络攻击达到了508万次,是上一年度的5倍。据悉,进入2014年以来攻击 增加的势头不减。按照往例,2020年东京奥运会召开期间网络攻击有集中的倾向。日本政府为了备战2020年的东京奥运会,正在加紧扩充和培养信息安全人 才。

1.5 黑客攻击愈演愈烈,各银行须尽早应对

无论发起者是黑客行动主义者还是犯罪分子,总之现在针对银行的网络攻击是越来越多。专家表示,2013年数据遭窃事件增长了近两倍,至4628起。

一份报告估计,每年网络犯罪行为(给各行各业)带来的总体成本在3750亿美元至5750亿美元之间。鉴于其中逾50%的攻击都是出于经济(而非政治)动机,每日经手数万亿美元的大银行成为了主要目标。2012年某次攻击的部分知名受害者包括富国银行、摩根大通和美国银行。

意识形态也是本次金融危机后网络攻击的驱动因素之一。报告显示,以金融集团为目标的所有网络应用攻击中,有三分之二是由聚焦于互联网的行动主义者实施的。窃取客户支付数据的银行卡盗读器(Card skimmer)是另一个“大杀器”,以银行为目标的攻击有五分之一是由它实现的。


2 本周关注病毒

2.1 Dropper.Win32.Drslty.a(感染型病毒)

警惕程度 ★★

该病毒运行后自我复制,在注册表中增加键值,以实现开机自启动,同时修改主页并在收藏里面也加上这个网址,最后遍历磁盘,感染所有后缀名为exe、dll、htm的文件,以执行更多恶意行为。

2.2 Dropper.Win32.Farfli.a(感染型病毒)

警惕程度 ★★

该病毒运行后将病毒释放的文件注册为服务,并伴随开机启动,同时破坏系统文件并连接RootKit驱动设备对象,最终通过TCP端口,连接到黑客指定地址,下载更多病毒文件并上传全部信息给黑客,中毒电脑同时遭受ddos攻击及监控等危害。

2.3 Trojan.Win32.Generic.172CBC9F(木马病毒)

警惕程度 ★★

该病毒通过捆绑正常软件进行传播,用户在不正规的下载渠道下载文件容易遭遇该类病毒的袭击。病毒运行后,释放 c:\docume~1\admini~1\locals~1\temp\851578.ini文件,并调用系统regini.exe进行注册,修改浏览器主页为2345网址导航,后台连接黑客指定地址,下载推广软件安装至用户电脑。电脑一旦中毒,将面临网络资源和系统资源被大量占用,系统运行过慢等问题。


3 安全漏洞公告

3.1 Apache Tomcat任意文件上传漏洞

Apache Tomcat任意文件上传漏洞

发布时间:

2014-09-11

漏洞编号:

BUGTRAQ ID: 69728
CVE ID: CVE-2013-4444

漏洞描述:

Apache Tomcat是一个流行的开源JSP应用服务器程序。
Tomcat 7.0.0-7.0.39版本在某些情况下,允许攻击者上传恶意JSP到Tomcat服务器,并触发执行这些JSP代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://jakarta.apache.org/tomcat/index.html
http://tomcat.apache.org/security-7.html
参考:
http://www.securityfocus.com/archive/1/533399

3.2 Squid 'snmpHandleUdp()'函数单字节堆缓冲区溢出漏洞

Squid 'snmpHandleUdp()'函数单字节堆缓冲区溢出漏洞

发布时间:

2014-09-10

漏洞编号:

BUGTRAQ ID: 69686

漏洞描述:

Squid是一个高效的Web缓存及代理程序。
Squid在'snmpHandleUdp()'函数的实现上存在堆缓冲区溢出漏洞,攻击者可利用此漏洞在受影响应用上下文中执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.squid-cache.org/Advisories/

3.3 Squid 'src/icmp/Icmp4.cc'远程拒绝服务漏洞

Squid 'src/icmp/Icmp4.cc'远程拒绝服务漏洞

发布时间:

2014-09-10

漏洞编号:

BUGTRAQ ID: 69688

漏洞描述:

Squid是一个高效的Web缓存及代理程序。
Squid 3.4.6版本在'src/icmp/Icmp4.cc'的实现上存在安全漏洞,攻击者可利用此漏洞造成受影响应用崩溃。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.squid-cache.org/Advisories/

3.4 Microsoft Windows Task Scheduler本地权限提升漏洞

Microsoft Windows Task Scheduler本地权限提升漏洞

发布时间:

2014-09-10

漏洞编号:

BUGTRAQ ID: 69593
CVE(CAN) ID: CVE-2014-4074

漏洞描述:

Microsoft Windows Task Scheduler是Windows一个组件,可以自动执行任务调度。Microsoft Windows Task Scheduler检查任务完整性(integrity)时,在实现上存在本地权限提升漏洞,本地攻击者可利用此漏洞以本地系统帐户权限执行任意代码。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-054)以及相应补丁:
MS14-054:Vulnerability in Windows Task Scheduler Could Allow Elevation of Privilege (2988948)
链接:http://technet.microsoft.com/security/bulletin/MS14-054

3.5 多个IBM产品跨站请求伪造漏洞

多个IBM产品跨站请求伪造漏洞

发布时间:

2014-09-01

漏洞编号:

BUGTRAQ ID: 69658
CVE ID: CVE-2014-3037

漏洞描述:

IBM Rational Engineering Lifecycle Manager, Rational Software Architect Design Manager, Rational Rhapsody Design Manager在 IBM Configuration Management Application (VVC)组件的实现上存在跨站请求伪造漏洞,这可使远程攻击者执行未授权操作。此漏洞源于对HTTP请求的验证不正确。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://www-304.ibm.com/connections/blogs/PSIRT/entry/
ibm_security_bulletin_vulnerability_in_rational_engineering_lifecycle_
manager_rational_software_architect_design_manager_and_rhapsody_
design_manager_cve_2014_3037?lang=ca
https://www-304.ibm.com/support/docview.wss?uid=swg21682120