当前位置: 安全纵横 > 安全公告

一周安全动态(2014年11月13日-2014年11月20日)

来源:安恒信息 日期:2014-11

2014年11月第三周(11.13-11.20)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 解读习近平首届世界互联网大会贺词背后的大国战略

据新华社“新华视点”微信报道,首届世界互联网大会19日在浙江乌镇开幕,来自近100个国家和地区的1000余位全球互联网领军人物齐聚。正在出 访的国家主席习近平心系大会发来贺词。这封只有400余字的贺词究竟传达出怎样关键的信息?今天,视点君带您一起解秘这封贺词背后的大国战略。

——焦点一:互联网日益成为创新驱动发展的先导力量。

现在人类已进入互联网时代这样一个历史阶段,这是一个世界潮流,而且这个互联网时代对人类的生活、生产的发展都具有很大的推动作用。

其实早在2012年12月7日,考察腾讯公司时,习近平就已经作出了这一论断。

当前和今后一个时期,中国正处于全面建成小康社会和实现“两个一百年”的奋斗目标的关键时期。

在这一时期,互联网行业显然将要发挥更重要的作用。中国的目标是,遵循积极利用、科学发展、依法管理、确保安全的方针,加快建设下一代国家信息 网络基础设施,加强信息通信技术创新,推动互联网与经济社会深度融合,依法加强互联网治理,充分发挥互联网在促进经济社会持续健康发展中的重要作用。

未来的中国将更好利用互联网,改造提升传统产业,培育发展新产业、新业态,推动经济提质增效升级、迈向中高端水平。

未来的中国将更好利用互联网,促进技术交流与合作,提高科技创新能力,推动实现创新驱动发展。

——焦点二:互联网真正让世界变成了地球村,让国际社会越来越成为你中有我、我中有你的命运共同体。

国务院副总理马凯在本届世界互联网大会的开幕式上说,互联网是20世纪最重大的科技发明之一,将深刻地影响人类社会文明进程。目前,全世界网民数量达到30亿,普及率达到40%,全球范围内实现了网络互联、信息互通,世界真正变成了地球村。

地球村,这是个物理的概念,更是个心理的概念。

在刚刚结束的APEC北京会议上,互联互通和亚太命运共同体这两个关键词就已经被反复强调。

这是一个大国开放的世界观——互联网拉近了世界的距离,推动了人类社会的共同进步与发展。互联网的互联互通既是APEC北京会议上提出的“互联互通”的重要组成部分,更是促进全球互联互通的手段与途径。

——焦点三:互联网发展对国家主权、安全、发展利益等提出了新的挑战。

互联网是把双刃剑,用得好,它是阿里巴巴的宝库;用不好,它是潘多拉的魔盒。

今年7月,习近平主席在巴西国会演讲时曾有过这样一段精彩的比喻。

从斯诺登爆出的棱镜门事件可以看出,互联网发展在带来便利的同时,也给国家的主权和安全问题带来了日益严峻的挑战。

我国已然是互联网大国。但要如何由大到强,应对挑战、把握机遇,仍是我国互联网行业发展的重要课题。

首先要有自己的技术,有过硬的技术。技术是互联网产生、发展的第一推动力,但国际互联网发展至今,众多关键、核心的技术,基本都掌握在西方国家 特别是美国手中。比如,连接国际互联网的13台根服务器,美国就占了10台,而作为互联网用户最多的国家,我们1台也没有。这就意味着,关键的时候,别人 就可以关闭根服务器,中断对我们的网络服务,损害我们的利益,实现它们的目的。不掌握核心的过硬的技术,就容易受制于人。

要有丰富全面的信息服务,繁荣发达的网络文化。提供各类信息服务和丰富的文化产品是互联网持续发展的生命力所在。互联网提供的不仅有新闻、娱乐 等基本服务,还应有各类增值服务;不仅是产品信息,还要是整体规划;不仅要面向大众,还要细分需求;不仅要着眼当前,也要筹划未来。虽然,我们分享到的服 务品种越来越多,但距离期望还有很大距离;更需要指出的是,作为一种产业和软实力,网络文化的发展现状与发达国家相比,差距依然明显。

要有良好的信息基础设施,形成实力雄厚的信息经济。信息传播需要相应的硬件配套,就如淘宝商家千万,用户万千,若没有充足快捷的物流,也只能相 互兴叹。没有良好运转、基本普及的网络基础设施,“网络强国”就成了空中楼阁。信息经济并非独立存在的,而是与农业经济、工业经济、服务经济紧密联系并相 互促进的。因此,要发展壮大信息经济,就必须加快发展后三者的信息化,共同形成实力强劲、应用广泛、影响深远的信息经济。

要有高素质的网络安全和信息化人才队伍。队伍是基础,人才是关键。没有一流的科技人才队伍,“网络强国”就没指望。我们要在关键技术中取得重大突破,要在科技创新方面走在世界前列,就必须去发现一批、培养一批、引进一批总书记所希望的“规模宏大、结构合理、素质优良的创新型科技人才”,将这些人 才凝聚起来,形成坚强有力、实力雄厚的人才队伍,充分发挥他们的聪明才智,助力国家宏伟目标的实现。

要积极开展双边、多边的互联网国际交流合作。加强交流与合作,不仅是世界发展大势,也是互联网发展的大势。“躲进小楼成一统”、闭门造车,建设 不了“网络强国”。相互借鉴、互相促进、互通有无,不仅对我们少走弯路,引进技术,加速发展互联网产业有利,也对我们呼吁建设的国际互联网治理体系有利。

——焦点四:让互联网发展成果惠及13亿中国人民。

1994年4月20日,通过一条64K的国际专线,全功能接入国际互联网,中国互联网时代从此开启。20年过去了,这根“带”越来越宽——由光 纤到3G,又由3G到4G的“网线”。中国已成为世界公认的网络大国,网民数量超6亿,占全球网民总数20%以上;在全球互联网企业10强中,有4家中国 企业。今年“双十一”期间,仅阿里巴巴天猫的全球交易额达571亿人民币。

镜头转向2014年的9月19日,纽约证券交易所,阿里巴巴公司即将敲响开市钟。阿里巴巴选择了全球最独特的敲钟方式,敲钟人共有八位——两位 网店店主、快递员、用户代表、电商服务商、网络模特和云客服,还有一位是来自美国的农场主皮特·维尔布鲁格。这样的人员组成构成了中国互联网产业链的一个 缩影。

互联网吸纳大量的就业,创造出巨额财富,无论是买家、卖家都是网络服务的受益者。

互联网对中国老百姓生活的影响,远非电商等行业能囊括。在科研、通讯、交通、航空航天、工农业生产、商业贸易、国防等等几乎所有领域中,互联网 发挥着难以想象的作用。远程教育、远程医疗,逐渐消除着城乡差距,让更多人分享现代化成果。新媒体、自媒体的出现,让公众的思想更加开放,表达更加顺畅, 让社会监督更加充分。互联网技术的广泛应用,让社会综合治理更加科学合理,效率更高。

中国目前已有6亿网民,但仍有7亿人尚未触网。随着互联网的进一步发展,互联网的潜力持续得到开发释放,而这一切发展成果,最终将惠及13亿中国人民。

——焦点五:本着相互尊重、相互信任的原则,深化国际合作,尊重网络主权,维护网络安全,共同构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的国际互联网治理体系。

共同构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的国际互联网治理体系。是中国对国际互联网发展提出的两个宏伟的目标。

相互尊重、相互信任,是为了达成这一目标各国应遵循的基本原则。

虽然互联网具有高度全球化的特征,但每一个国家在信息领域的主权权益都不应受到侵犯,互联网技术再发展也不能侵犯他国的信息主权。在信息领域没 有双重标准,各国都有权维护自己的信息安全,不能一个国家安全而其他国家不安全,一部分国家安全而另一部分国家不安全,更不能牺牲别国安全谋求自身所谓绝 对安全。国际社会要本着相互尊重和相互信任的原则,通过积极有效的国际合作,共同构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的国际互联 网治理体系。

——焦点六:“集思广益、凝聚共识、贡献创见”

这是贺词的祝愿,更是对首届互联网大会的期冀。

让我们回顾世界互联网大会举办的初衷——搭建一个平台:一是为中国与世界互联互通搭建国际平台,二是为国际互联网共享共治搭建中国平台,让全世界互联网巨头在这个平台上交流思想、探索规律、凝聚共识。

三天的时间里,全球互联网领军人物在中国围绕着全球共同关注的互联网热点问题进行了充分的讨论。

最先进的技术探索,最大胆的创新理念,最深刻的制度探讨。围绕着大会的主题,三天里国际互联网界收获了一场思想的盛宴。

可以有分歧,但不能没有沟通。首届世界互联网大会已经达到了集思广益的目的,凝聚了全球互联网领军人物共建互联网的共识,为未来的互联网发展贡献出无数思想与智慧的火花。

贺词全文:

值此首届世界互联网大会开幕之际,我谨代表中国政府和人民,并以我个人的名义,向会议的召开致以热烈的祝贺!向出席会议的各国政府官员、国际机构负责人以及专家学者、企业家等各方嘉宾,表示热烈的欢迎!

当今时代,以信息技术为核心的新一轮科技革命正在孕育兴起,互联网日益成为创新驱动发展的先导力量,深刻改变着人们的生产生活,有力推动着社会 发展。互联网真正让世界变成了地球村,让国际社会越来越成为你中有我、我中有你的命运共同体。同时,互联网发展对国家主权、安全、发展利益提出了新的挑 战,迫切需要国际社会认真应对、谋求共治、实现共赢。
中国正在积极推进网络建设,让互联网发展成果惠及13亿中国人民。中国愿意同世界各国携手努力,本着相互尊重、相互信任的原则,深化国际合作,尊重网络主权,维护网络安全,共同构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的国际互联网治理体系。

本届世界互联网大会以“互联互通共享共治”为主题,回应了国际社会对网络空间面临重大问题的共同关注。希望与会嘉宾集思广益、凝聚共识、贡献创见,推动互联网更好造福人类。

预祝会议取得圆满成功!

1.2 首届世界互联网大会第二日 观点交锋激烈

首届世界互联网大会进入第二天,精彩还在继续,乌镇峰会依旧牢牢占据着各大媒体“头条”位置。这一天,一共举行了六场论坛,日程排得满当当。

翻看今天的话题,既有最热的跨境电子商务,也有严肃的互联网反恐,而民生味儿浓郁的政府公共服务创新,也吸引了不少关注。在经历了昨天的碰面、叙旧后,今天的嘉宾更积极地展开智慧碰撞,尽管论点存在分歧,但留给大家的却是更多的思考。

最戏剧

互联网大佬针锋相对观点不一

今天的马云,依旧是全场的焦点,尤其是穿着红毛衣出现在阿里巴巴专场—— “跨境电子商务和全球经济一体化”分论坛上。40分钟的演讲,一如既往的挥洒自如、慷慨激昂,且语速飞快。

这一回,马云又留下了不少金句:永远思考别人是怎么失败的;追着钱没有意义,人要是追钱,一点出息都没有;上世纪拼智商,这世纪拼情商;生意越难做,就意味着越有机会……

来不及接受掌声,马云赶场去了隔壁的“中外互联网领袖高峰论坛”,成就了马云、李彦宏、刘强东、雷军、张朝阳、苹果公司高级副总裁布鲁斯?塞维尔等中外九位互联网、科技界大佬出现在同一画面的经典场面。

脱下红衣战袍的马云似乎没想要低调,调侃刘强东称“阿里巴巴是要培养更多的京东”,还反驳李彦宏说每天都在想选择什么,称自己没有这么多机会来选择和放弃,并表示阿里只会盯着一个兔子。

在互联网隐私问题上,马云倒是和李彦宏站在了一边,认为不需要过多担心,而张朝阳却跳了出来,坚称企业有责任和义务保护用户的互联网行为数据。

分歧不止出现在国内大佬身上。雷军套用马云的名言“梦想还是要有的,万一实现了呢”,称三年前没有人相信小米会成功,今天小米创造了“小小的奇 迹”。而在未来5-10年内,小米将成为世界第一的手机公司。对此,布鲁斯?塞维尔给出的答案是:“it's easy to say(说说挺容易)”。

最高端

让互联网成为安心之网

在互联网时代,国际政治已经从地域、天空扩展到网络空间,国家主权也从领土、领空扩展到“信息边疆”。

目前,网络安全已经成为世界各国面临的共同问题。如何保障互联网的网络安全,打击网络反恐活动,加强国际间的合作?今天,来自国内外的互联网精 英进行了一场非常高端的对话,从不同角度展开讨论,观点集中、启发性强;不同的社会思想碰撞在一起,促进了各种做法和经验的互学互鉴。

作为中方代表,中央网信办网络安全协调局局长赵泽良希望今天这个论坛能成为探索世界网络安全技术的重要场所,也成为世界了解中国网络安全的重要平台,增进国际网络安全合作的重要机会。

百度总裁张亚勤说,未来五六年,信息安全将有新的挑战。他认为,“魔高一尺道高一丈”,新的攻击方式将会更多元,也需要从全球层面重构安全防护的机制。

“合作”是今天分论坛现场被提到最多的词汇,也是与会嘉宾的共识。多一些协调合作,少一些规则障碍,互联网会变得便捷,还能保证足够的安全。

“互联网安全的治理应该是相互对等的,也就是说对一个国家适用的规则也应该对其他国家适用。所以,各国都应该放弃自己的强权或者是霸权。”美国战略和国际研究中心主任詹姆斯?安德鲁?路易斯认为,对于因特网的治理也是这样,需要规则。
中国公安部网络安全保卫局局长顾建国在会上主张加强合作,建立各国政府之间组织之间企业之间的合作机制,加强交流和沟通,互通情报信息,共同构筑打击网络恐怖主义的牢固防线,增进人民福祉,维护世界和平。

最民生

网络惠民从梦想变成现实

截止到今天,中国已经有6.3亿网民,12亿手机用户,5亿微博、微信用户。为了让网民更好地享受到互联网发展带来的红利,网络问政、网络民生服务平台等都是风生水起。

如何把互联网建成“民生大网”,让网络惠民从梦想变成现实?中国已经在智慧城市惠及民生方面取得了许多成功经验和有益探索,但仍然需迈开更大的步伐。

北京师范大学社会发展与公共政策学院原院长张秀兰说,“我们已经有了一些成功的案例,比如教育在线,是优质教育资源的跨时空配置,远程医疗把专 家的资源和本地的服务网络整合起来,智慧交通,这些是告诉我们互联网可以为未来打开整个以民生服务为导向的公共服务市场,是一个非常有效的一种战略性工具。”

联合国经济和社会事务部司长朱巨望先生就互联网改善公众生活这一话题展开论述,从互联网与信息获取、公共卫生、公众参与以及数字鸿沟等方面分析了互联网时代政府转型所面临的机遇。

他认为,只有将互联网应用落实到社会生活的方方面面之中去,才能让整个社会的公共服务水平迈上更高的台阶。

新加坡资讯通信发展局中国区司长庄庆维认为,政府面临的问题,任何出现的小问题可能都会升级成为一个大的公共关系的危机,所以要更加注意对民众的诉求进行反馈,而且通过数据搜集,向市民提供更好的服务。

1.3 黑客将测试英国银行的攻击抵御能力

在未来的几个月,黑客将尝试渗透英国各主要银行的网络防御并窃取数百万客户的信息,但他们这次是受邀而来。自从摩根大通银行8300万客户信息被攻击之后,银行便拉起红色警戒。

英国主要银行签名称让有资质的黑客随意入侵进行测试。

CREST负责遴选进行网络安全测试的企业,提供STAR (Simulated Targeted Attack and Response, 模拟针对性攻击及响应)服务,目前被批准的四家企业包括保得利(Portcullis)、英国电信(BT Group)、语境信息安全公司(CIS)及Nettitude。

目前有30多家金融机构申请要求继续拧STAR测试。

1.4 “Wirelurker”iOS病毒作者已被刑事拘留

据首都网警微博报道,北京市公安局将iOS系统恶意程序的三名制作者抓获,涉案网站被关停。11月初,有研究人员在iOS系统中发现了一个名为Wirelurker的漏洞,可以让iPhone在不越狱的情况下感染病毒,并且有可能已经影响了数十万用户。该漏洞主要通过麦芽地应用商店传播,这是一个来自中国的第三方OS X软件来源。

一旦一台电脑被感染,Wirelurker就会通过USB将其传播到iOS设备,通过替换二进制文件的方式重写既有程序。

不久前,针对此前的第三方Mac商店恶意软件及假面攻击事件,苹果官方给出一则声明,称OS X系统和iOS系统内置安全保护措施,并建议个人用户及企业用户从官方渠道下载应用。

1.5 破解手机支付宝 员工盗走老板20万元

武汉一公司员工伪造老板身份证,补办老板手机卡,通过手机支付宝窃走老板网上银行20万元。昨日,江岸警方通报,破获一起网络新型盗窃犯罪案件,犯罪嫌疑人张某已被刑拘。张某交代,9月,他盗走公司财务潘女士的提包,利用其身份证申请了受害人的手机卡,并通过破解手机支付宝,窃走受害人账上4万元。

尝到甜头后,本月初,张某又瞄准了公司总经理陈某,在伪造其身份证后,以同样手法将陈先生手机银行上的20万元转走。

据介绍,当手机校验码和身份证信息同时泄露,支付宝密码被窃取的风险较高。

警方提醒市民,与支付宝捆绑的银行账户不要存放大额资金,捆绑有支付宝的手机或手机SIM卡丢失后,应尽快挂失手机支付宝和SIM卡,并向银行挂失冻结支付宝已绑定的银行卡,用户还可以在电脑上登录支付宝账号,关闭无线支付业务总开关,关闭之后将无法通过手机、平板电脑支付。


2 本周关注病毒

2.1 Backdoor.Win32.ldr.a(后门病毒)

警惕程度 ★★

该病毒将自身图标修改成图片图标,引诱用户点击。病毒运行后,释放一张图片迷惑用户,同时病毒还将释放update.dll文件,对病毒加载的动态库进行解密。一旦病毒完成解密,将立刻连接黑客指定服务器,接收并执行黑客发送的指令。届时用户电脑将沦为黑客的肉鸡,同时还将面临隐私信息泄露、网银账密被窃等威胁。

2.2 Trojan.Win32.Generic.158259C0(木马病毒)

警惕程度 ★★

病毒运行后,将修改注册表,实现开机自启动。同时病毒还将删除注册表中“安全模式”相关项,使系统无法进入安全模式。并强制关闭杀毒软件进程,搜索电脑硬盘中的jpg、exe、mp4、html、bmp、doc、ppt、xml、gif、txt等文档,予以删除。电脑一旦中毒,用户将面临大量工作文档、商业机密丢失的风险。

2.3 Adware.iBryte!4849(恶意推广病毒)

警惕程度 ★★★

该病毒运行后篡改Google Chrome、Internet Explorer、FireFox等浏览器的默认搜索,后台连接黑客指定网址刷取流量,并向电脑强制弹出恶意广告弹窗。病毒还会向浏览器强制安装工具栏,同时篡改浏览器主页。用户电脑一旦中毒,将面临浏览器遭篡改、网络资源被大量占用、频繁收到恶意广告弹窗等风险。


3 安全漏洞公告

3.1 Lsyncd 'default-rsyncssh.lua'远程命令注入漏洞

Lsyncd 'default-rsyncssh.lua'远程命令注入漏洞

发布时间:

2014-11-19

漏洞编号:

BUGTRAQ ID: 71179

漏洞描述:

Lsyncd是实时同步程序。
Lsyncd在'default-rsyncssh.lua'的实现上存在远程命令注入漏洞,攻击者可利用此漏洞在受影响应用上下文中执行任意命令。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:https://github.com/axkibe/lsyncd

3.2 Drupal VideoWhisper模块'special_textscroller.php'跨站脚本漏洞

Drupal VideoWhisper模块'special_textscroller.php'跨站脚本漏洞

发布时间:

2014-11-20

漏洞编号:

BUGTRAQ ID: 70956
CVE ID: CVE-2014-8338

漏洞描述:

Drupal VideoWhisper是基于Web的视频会议模块。
Drupal 7的videowhisper模块存在跨站脚本漏洞,攻击者可利用此漏洞在受影响站点用户上下文中执行任意脚本代码。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
https://www.drupal.org/u/videowhisper

3.3 PHP 'date_from_ISO8601()'函数缓冲区溢出漏洞

PHP 'date_from_ISO8601()'函数缓冲区溢出漏洞

发布时间:

2014-11-20

漏洞编号:

BUGTRAQ ID: 70928
CVE ID: CVE-2014-8626

漏洞描述:

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。PHP的xmlrpc扩展解析ISO 8601格式的数据时存在栈缓冲区溢出漏洞,构造的XML-RPC请求或响应会造成PHP应用崩溃。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.php.net/downloads.php
https://access.redhat.com/articles/11258

3.4 RSA Web Threat Detection SQL注入漏洞

RSA Web Threat Detection SQL注入漏洞

发布时间:

2014-11-19

漏洞编号:

BUGTRAQ ID: 70955
CVE ID: CVE-2014-4627

漏洞描述:

RSA Web Threat Detection是大数据及安全分析解决方案。
RSA Web Threat Detection 4.6.1.1之前版本在实现上存在SQL注入漏洞,经过身份验证的远程用户利用此漏洞可执行任意SQL命令。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://archives.neohapsis.com/archives/bugtraq/2014-11/0028.html

3.5 多个IBM DB2产品远程拒绝服务漏洞

多个IBM DB2产品远程拒绝服务漏洞

发布时间:

2014-11-18

漏洞编号:

BUGTRAQ ID: 70983
CVE ID: CVE-2014-6097

漏洞描述:

IBM DB2是一个大型的商业关系数据库系统。
IBM DB2 9.7-FP10、9.8-FP5(Linux, UNIX, Windows)在实现上存在远程拒绝服务漏洞,经过身份验证的攻击者可利用此漏洞使受影响应用崩溃。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.ibm.com/support/fixcentral/
http://www-01.ibm.com/support/docview.wss?uid=swg21684812