9月,多個漏洞衆測平台因為法律原因被關閉,被通報出來的網站漏洞數量繼續大幅減少。
得益于比特币交易的不可追蹤性,比特币敲詐病毒層出不窮。近期還出現了專門針對服務器(Linux)系統進行攻擊的敲詐病毒,管理員應該提高警惕,及時在安全的地方備份數據是針對比特币敲詐病毒的最好防範辦法。
9月需要關注的漏洞有如下這些:
1.微軟9月份的例行安全公告數量較多,共14個,其中7個為嚴重等級,7個為重要等級。這些公告共修補了包括Windows系統、IE浏覽器、EDGE浏覽器、Office軟件、WEBAPP、Exchangeserver及Flashplayer中存在的50個安全漏洞。用戶應該盡快更新相應的補丁程序,公告的詳細信息請參見:https://technet.microsoft/zh-cn/library/security/ms16sep.aspx
2.Oracle公司的MySQL數據軟件被爆出存在一個遠程執行漏洞,mysqld_safe腳本中在加速/處理内存時會采用“malloc_lib”變量作為辨别标記選擇性加載(preload方式,該變量可被my.cnf控制。遠程和本地的攻擊者均可利用漏洞在MySQL客戶端篡改my.cnf,進而可獲取mysqld_safe所調用的Mysqld進程執行權限,以ROOT權限執行代碼,完全控制MySQL數據庫。要利用該漏洞需要有一個普通的MySQL用戶權限。目前廠商還未針對該漏洞進行修補,預計在10月份的第三季度的例行更新包中會有更新。在沒有補丁之前建議MySQL管理員執行以下操作:
1.确保MySQL的配置文件不被MySQL用戶所擁有;
2.關閉數據庫用戶File權限。
3.CISCO公司的IOS系統被爆出存在内存洩漏漏洞,IOS系統被廣泛應用于CISCO公司的路由器和防火牆中。利用這個漏洞攻擊者可以直接讀取CISCO設備内存中的明文信息,這些信息原本應該是以加密的形式傳輸的。目前CISCO公司已經針對了該漏洞發布了檢測工具,但是還未發布補丁程序,建議使用相關設備的用戶盡快聯系廠商的技術人員來确定自己的産品是否被波及。
4.Openssl官方在9月22發布了Openssl新版本更新(1.1.0a、1.0.2i、1.0.1u),新版本修補了之前版本中的多個安全漏洞,其中包括一個存在于SSL/TLS協議中的SWEET32碰撞攻擊,如果攻擊者能夠獲得足夠多的已知的相同明文加密後的密文數據,就可能破譯出其他的密文。為了應對這個漏洞,Openssl将在随後的版本中默認禁用相關的加密算法(DES和3DES)。值得提醒的是,安全人員随後在1.1.0a版本中又發現了因為修補漏洞造成的新的遠程代碼執行漏洞,為此Openssl官方又在随後發布了1.1.0b版本。
2016年8月~9月安全投訴事件統計
安全提示
Mysql數據庫軟件在高校的使用範圍非常廣泛,此次的漏洞需要有合法的用戶登錄到數據庫系統後才能進一步利用,因此對一般的系統影響不大,但是對于那些本身就需要提供Mysql數據庫賬号給用戶的系統服務(如虛拟網站服務)就要小心了。
(作者單位為中國教育和科研計算機網應急響應組)