文/鄭先偉
7月1日全球授時服務(wù)器進(jìn)行閏秒調(diào)整
文/鄭先偉
6月教育網(wǎng)整體運行平穩(wěn),未發(fā)生重大安全事件。值得關(guān)注的事件是北京時間7月1日上午7點59分59秒全球授時服務(wù)器進(jìn)行閏秒調(diào)整。由于Linux系統(tǒng)2.6.18-164.el5之前的內(nèi)核版本在處理閏秒消息時存在一個錯誤,如果系統(tǒng)運行了NTPD(時間更新服務(wù))進(jìn)程并進(jìn)行閏秒更新,將導(dǎo)致系統(tǒng)崩潰后重啟。意外的重啟可能會給那些對實時在線要求比較高的Linux服務(wù)器帶來影響。管理員應(yīng)該提前做好防范工作,可以選擇升級內(nèi)核或是臨時關(guān)閉服務(wù)器的NTPD服務(wù)來降低重啟的風(fēng)險。
隨著高考結(jié)束和高招工作的開始,高校的網(wǎng)站又迎來訪問高峰,同時也迎來了攻擊的高峰。6月,我們接到了多起學(xué)校網(wǎng)頁被入侵篡改或是被放置掛馬網(wǎng)頁的投訴。因此再次提醒廣大的系統(tǒng)管理員,一定要加大對學(xué)校網(wǎng)站的安全防護(hù)和監(jiān)控力度,尤其是院系的二級網(wǎng)站。
近期一款名為Flame的病毒再次引起全球安全界的關(guān)注。這款威力巨大的病毒可以通過移動存儲介質(zhì)或是網(wǎng)絡(luò)進(jìn)行傳播,并能接受來自世界各地多個服務(wù)器的指令。病毒感染系統(tǒng)后會自動記錄及收集病毒程序感興趣的東西(包括用戶的輸入、電子郵件、文檔、消息、聊天記錄等)并分析系統(tǒng)的網(wǎng)絡(luò)流量使用規(guī)律,在合適的時機將這些信息發(fā)送到遠(yuǎn)程控制服務(wù)器上。Flame病毒編寫得極為復(fù)雜, 它利用Windows系統(tǒng)上的證書漏洞偽造了證書簽名,使得自身像一個合法的Windows 程序,它能夠有效躲避目前市面上近百種防病毒軟件的查殺。病毒一旦在系統(tǒng)上完成信息收集任務(wù),還可能清除自身,不在系統(tǒng)上留下任何痕跡。值得慶幸的是,這款病毒似乎是有專門的針對性,目前只在中東地區(qū)傳播,國內(nèi)還未發(fā)現(xiàn)自動傳播的案例。
微軟在6月份例行發(fā)布了7個安全公告(MS12-036到MS12-042),其中3個為嚴(yán)重等級,4個為重要等級。這些公告共修復(fù)了Windows系統(tǒng)、IE瀏覽器、Visual Basic for Applications、Dynamics AX和.NET框架等產(chǎn)品中的28個漏洞。除了安全公告外,微軟公司還在6月份臨時發(fā)布了兩個緊急安全通告,其中一個通告(h t t p://technet.microsoft.com/zh-CN/security/advisory/2718704)用于撤消Windows系統(tǒng)中自帶的兩個存在安全問題的數(shù)字證書,這兩個證書正在被利用來進(jìn)行網(wǎng)絡(luò)欺詐或中間人攻擊。另一個通告(h t t p://technet.microsoft.com/zh-CN/security/advisory/2719615)是為了告知用戶Windows系統(tǒng)中的XML Core Services服務(wù)組件中存在一個遠(yuǎn)程代碼執(zhí)行漏洞(0day漏洞),該漏洞正被用來進(jìn)行網(wǎng)頁掛馬攻擊。截止發(fā)稿日,微軟還未針對該漏洞發(fā)布修補程序,在沒有補丁程序之前用戶可以通過臨時禁用Windows XML組件功能或是依靠防病毒軟件(目前大多數(shù)的防病毒軟件已經(jīng)能夠識別該漏洞的攻擊代碼)來抵御相應(yīng)的攻擊。
除微軟產(chǎn)品的漏洞外,一些第三方系統(tǒng)或軟件的漏洞也需要用戶關(guān)注:
1. Adobe公司發(fā)布了Flash Player軟件在各種操作系統(tǒng)下的最新版本,用于修補之前版本中的多個安全漏洞,這些系統(tǒng)包括:Windows、mac ox、Linux以及Android移動系統(tǒng)等。詳細(xì)信息請參見官方公告:
http://www.adobe.com/support/security/bulletins/apsb12-14.html
2. ISC發(fā)布安全公告宣稱BIND軟件在處理DNS資源記錄時存在錯誤,如果攻擊者將零長度的rdata記錄綁定到服務(wù)器,可能造成遞歸服務(wù)器崩潰或泄漏某些內(nèi)存到客戶端,導(dǎo)致敏感信息泄漏或拒絕服務(wù)攻擊。這個漏洞主要影響遞歸查詢服務(wù)器,對那些沒有提供遞歸服務(wù)查詢的主域名服務(wù)器影響不算太嚴(yán)重。目前ISC已經(jīng)發(fā)布了相應(yīng)的補丁程序,DNS管理員應(yīng)該盡快升級自己的遞歸查詢服務(wù)器的BIND版本,詳情請參照:
http://www.isc.org/software/bind/advisories/cve-2012-1667
3. Oracle公司發(fā)布安全公告,宣稱MySQL數(shù)據(jù)庫使用的用戶認(rèn)證方式存在缺陷。由于程序中用于檢測用戶輸入密碼正確與否的函數(shù)中使用了兩種不同的數(shù)據(jù)類型來返回檢測結(jié)果,在這兩種數(shù)據(jù)進(jìn)行轉(zhuǎn)換時可能出現(xiàn)數(shù)據(jù)截斷的狀況,而截斷的數(shù)據(jù)在某些情況下可能使其中一個返回值為真。攻擊者如果在知道用戶名的情況下連續(xù)使用錯誤的密碼來測試認(rèn)證方式,當(dāng)測試數(shù)量達(dá)到一定次數(shù)后,可能觸發(fā)數(shù)據(jù)截斷導(dǎo)致認(rèn)證返回值為真,這就使得攻擊者無須知道正確的密碼也能登錄數(shù)據(jù)庫系統(tǒng)。由Oracle公司發(fā)布的二進(jìn)制版本MySQL程序中不存在該漏洞,漏洞更多的是存在于類*nix系統(tǒng)中自帶的MySQL程序中。建議使用系統(tǒng)自帶MySQL數(shù)據(jù)庫的用戶及時升級數(shù)據(jù)庫,詳情請參見:
http://bugs.mysql.com/bug.php?id=64884
4. F5 Network公司的均衡負(fù)載設(shè)備F5 BIG-IP(11.x 10.x 9.x版本)文件系統(tǒng)中存在一組公開的SSH公私鑰對,可用于用戶登錄驗證,且驗證通過后得到的是root用戶權(quán)限。利用這組公開密鑰對的攻擊者可以遠(yuǎn)程獲取設(shè)備的管理控制權(quán),并進(jìn)一步發(fā)起針對相關(guān)網(wǎng)絡(luò)信息系統(tǒng)的攻擊。這個漏洞早在今年2月份就被發(fā)現(xiàn)并通知了廠商,廠商隨后通知了重要的客戶進(jìn)行更新防范,并對設(shè)備軟件版本進(jìn)行升級。建議有此設(shè)備的管理員應(yīng)及時升級相應(yīng)設(shè)備的版本并隨后檢查設(shè)備的安全性(避免已經(jīng)被人攻擊利用)。詳細(xì)的信息請參見:
http://support.f5.com/kb/en-us/solutions/public/13000/600/sol13600.html
Oday漏洞的安全提示
對于近期0day漏洞的攻擊風(fēng)險,提醒用戶防范以下幾點:
1. 及時將防病毒軟件的病毒庫升級到最新版本,并確保防毒軟件的自動防護(hù)功能被開啟。
2. 不要直接點擊運行電子郵件的附件,即便這個郵件看起來像是熟人發(fā)來的。如果必須要打開附件,請將附件存儲到本地后確認(rèn)格式再運行。
3. 不要隨意打開來歷不明的電子文檔。這些文檔可能來自郵件、網(wǎng)頁下載或是即時聊天工具。那些包含誘惑性內(nèi)容的文檔往往威脅更大。
4. 不要訪問一些郵件或是即時通訊軟件中發(fā)送過來的網(wǎng)頁鏈接。