logo

中文|English|客服热线:4008107766

售后服务
4008107766
安全通告

网御星云安全通告

时间:2012-07-25
网御星云安全通告
1本周通告时间

本次通告时间为2011年7月份第3周。 

20117

 

 

 

 

 

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

 

 

 

 

 

 

 

 2 本周网络威胁级别 2级。
 有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。
 网御星云网络威胁级别说明
 
1 普通状态 
 
正常网络状态,没有显著的网络攻击事件,只存在零星的攻击。网络大多数情况下都处在这一状态。此时保持普通安全策略即可。
 
2预警状态
 
有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。
 
3严重状态
 
某些严重漏洞或威胁正被攻击者利用来进行大规模攻击,网络攻击事件显著增加。通常表现为快速爆发的蠕虫或者病毒攻击。此时需要立刻采取防御措施,例如安装补丁或重新部署安全系统进行防护等等。
 
4紧急状态
 
网络安全态势非常严峻,对全球互联网造成严重影响。此时需要与其他网络协作采取防御措施
3  病毒和网络攻击预警

3.1   “通犯”变种cas(Backdoor/Generic.cas)
 
病毒长度:115235字节
 
病毒类型:后门
 
危险级别:★★
 
影响平台:Win 9X/ME/NT/2000/XP/2003
 
特征描述:
 
Backdoor/Generic.cas“通犯”变种cas是“通犯”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,是一个由其它恶意程序释放的DLL功能组件。“通犯”变种cas运行后,会后台遍历当前系统正在运行的所有进程,如果发现某些指定的安全软件存在,“通犯”变种cas便会采取相应的恶意操作。“通犯”变种cas是一个专门盗取网络游戏会员账号(大话西游3、大话西游2、魔兽世界、天下2、QQ华夏、地下城与勇士、面对面视频、大明龙权、梦幻西游)的后门程序,其会在被感染系统的后台秘密监视系统所运行程序的名称,一旦发现指定程序启动,便会从骇客指定的网址下载相应的盗号木马到被感染计算机中,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。其会秘密连接骇客指定的服务器,侦听骇客指令,在被感染的计算机上执行相应的恶意操作。骇客可通过“通犯”变种cas完全远程控制被感染的计算机系统,不仅使系统用户的个人隐私面临着严重的威胁,甚至还会威胁到企业的商业机密。“通犯”变种cas属于某恶意程序集合中的部分功能组件,如果感染此病毒,则说明系统中还感染了其它的恶意程序。
 
3.2   “锐毒”变种cp (Trojan/Redosdru.cp)
 
病毒长度:147559字节
 
病毒类型:木马
 
危险级别:★★
 
影响平台:Win 9X/ME/NT/2000/XP/2003
 
特征描述:
 
Trojan/Redosdru.cp“锐毒”变种cp是“锐毒”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“锐毒”变种cp运行后,会执行命令“taskkill /f /t /im ZhuDongFangYu.exe”来结束360安全软件的主动防御进程。然后会获得“SeBackupPrivilege”和“SeRestorePrivilege”权限,对注册表相关键值进行备份。在“Documents and Settings\Local Server”文件夹下释放恶意DLL组件“pps.dll”。“锐毒”变种cp属于反向连接木马程序,其会在被感染系统的后台连接骇客指定的站点“fym*love.3322.org”,获取客户端IP地址,侦听骇客指令,从而达到被骇客远程控制的目的。该木马具有远程监视、控制等功能,可以监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)。还可以窃取、修改或删除计算机中存储的机密信息,从而对用户的个人隐私甚至是商业机密构成严重的威胁。感染“锐毒”变种cp的系统还会成为网络僵尸傀儡主机,利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等,给互联网的信息安全造成了更多的威胁。“锐毒”变种cp在运行完成后会将自身删除,从而达到消除痕迹的目的。另外,“锐毒”变种cp会在被感染系统中注册名为“wind0ws”的系统服务,以此实现自动运行。
4  安全漏洞通告

4.1   Cisco ASR 9000系列路由器IPv4拒绝服务漏洞

Cisco ASR 9000系列路由器IPv4拒绝服务漏洞

漏洞发现时间:

2011-07-20

漏洞号:

BUGTRAQ  ID: 48811

CVE ID: CVE-2011-2549

受影响的系统:

受影响系统:

Cisco ASR 9006

Cisco ASR 9006

漏洞详细信息:

Cisco ASR 9000系列是使用Cisco IOS XR Software模块操作系统来提供运营商级别可靠性的集成服务路由器解决方案。

 

Cisco ASR 9000IPV4的实现上存在拒绝服务漏洞,远程攻击者可利用此漏洞造成受影响设备重载或挂起,拒绝服务合法用户。

 

在处理IPv4报文时,运行Cisco IOS XR Software v4.1.0Cisco ASR 9000系列设备可造成线卡中的网络处理器锁定,处理恶意报文的线卡会自动重新加载。

 

<*参考:Cisco 

  链接:http://www.cisco.com/warp/public/707/cisco-sa-20110720-asr9k.shtml*>

建议:

厂商补丁:

Cisco

-----

Cisco已经为此发布了一个安全公告(cisco-sa-20110720-asr9k)以及相应补丁:

cisco-sa-20110720-asr9kCisco ASR 9000 Series Routers Line Card IP Version 4 Denial of Service Vulnerability

链接:http://www.cisco.com/warp/public/707/cisco-sa-20110720-asr9k.shtml

4.2   Cisco SA 500系统设备Web管理界面SQL注入漏洞

Cisco SA 500系统设备Web管理界面SQL注入漏洞

漏洞发现时间:

2011-07-20

漏洞号:

BUGTRAQ  ID: 48812

CVE ID: CVE-2011-2546

受影响的系统:

受影响系统:

Cisco SA540 2.1.18

Cisco SA520W 2.1.18

不受影响系统:

Cisco SA540 2.1.19

Cisco SA520W 2.1.19

漏洞详细信息:

Cisco SA 500系列安全设备是集成的安全解决方案,针对不到100个员工的小型企业。

 

Cisco SA 500系列产品在Web管理界面的实现上存在SQL注入漏洞,远程攻击者可利用此漏洞控制受影响设备,访问或修改数据或利用其他下层数据库漏洞。

 

SA 500 Series Security Appliances的登录表单存在SQL注入漏洞,可使远程未验证攻击者获取用户名和密码。

 

<*参考:Michal Sajdak michal.sajdak@securitum.pl

    链接:http://www.cisco.com/warp/public/707/cisco-sa-20110720-sa500.shtml*>

建议:

厂商补丁:

Cisco

-----

Cisco已经为此发布了一个安全公告(cisco-sa-20110720-sa500)以及相应补丁:

cisco-sa-20110720-sa500Cisco SA 500 Series Security Appliances Web Management Interface Vulnerabilities

链接:http://www.cisco.com/warp/public/707/cisco-sa-20110720-sa500.shtml

4.3   Oracle Enterprise Manager Grid Control远程数据库控制漏洞

Oracle Enterprise Manager Grid Control远程数据库控制漏洞

漏洞发现时间:

2011-07-20

漏洞号:

BUGTRAQ  ID: 48794

CVE ID: CVE-2011-0845

受影响的系统:

受影响系统:

Oracle Enterprise Manager Grid Control 10g 10.1 6

漏洞详细信息:

Oracle Enterprise Manager Grid Control是可以监控和管理网格中的Oracle数据库软件的工具。

 

Oracle Enterprise Manager Grid Control在实现上存在远程数据库控制漏洞,远程攻击者可通过HTTP协议利用此漏洞控制目标数据库。

 

<*参考:Oracle 

  链接:http://www.cisco.com/warp/public/707/cisco-sa-20110720-sa500.shtml*>

建议:

厂商补丁:

Oracle

------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.oracle.com/technetwork/topics/security/

4.4   Google Picasa JPEG图像处理远程代码执行漏洞

Google Picasa JPEG图像处理远程代码执行漏洞

漏洞发现时间:

2011-07-19

漏洞号:

BUGTRAQ  ID: 48725

CVE ID: CVE-2011-2747

受影响的系统:

受影响系统:

Google Picasa 3.6 Build 105.61

不受影响系统:

Google Picasa 3.6 Build 105.67

Google Picasa 3.6 B

漏洞详细信息:

Google Picasa一款可帮助您在计算机上立即找到、修改和共享所有图片的图象浏览器。

 

Google Picasa在处理JPEG图像的实现上存在远程代码执行漏洞,远程攻击者可利用此漏洞以当前用户权限执行任意代码,造成拒绝服务。

 

<*参考:David Weston 

  链接:http://www.microsoft.com/technet/security/advisory/msvr11-008.mspx*>

建议:

厂商补丁:

Google

------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.google.com

4.5   百度影音远程代码执行漏洞

百度影音远程代码执行漏洞

漏洞发现时间:

2011-07-15

漏洞号:

 

受影响的系统:

受影响系统:

Baidu baidu player

漏洞详细信息:

百度影音是一款媒体播放软件。

百度影音在实现上存在远程代码执行漏洞,远程攻击者可利用此漏洞执行任意代码。

开发者在发布该软件的时候,没有将软件中使用的特殊库文件消除,该库文件名称为“log.dll”,推测应该是带有调试性质的日志记录接口,将该文件与任意格式的媒体文件放置在同一目录下,当用户使用百度影音播放媒体文件时,“log.dll”文件将会被同时加载,如果该文件为恶意攻击者开发,那么就会直接造成用户系统受到攻击。为此,恶意攻击者可以利用该漏洞,远程共享带有“log.dll”和媒体文件的文件夹,诱使用户访问,最终实现远程入侵用户系统。

<*参考:爱无言 

  链接:http://www.wooyun.org/bug.php?action=view&id=2507        http://hi.baidu.com/digexploit/blog/item/a94ad497bc28537754fb963e.html*>

建议:

厂商补丁:

Baidu

-----

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://player.baidu.com/

 5 关于网御星云
北京网御星云信息技术有限公司是在联想控股公司下成立的从事信息安全业务的子公司,是国内信息安全行业的领军企业,专业从事信息安全产品的研发、生产与销售,为用户信息系统提供等级化的整体安全解决方案及专业安全服务。
网御星云的宗旨:以优秀的技术、产品、方案和服务致力于建设安全的电子政务、电子商务和公众信息化社会。http://www.leadsec.com.cn

 

北京网御星云信息技术有限公司

2011-07-25
 
关于我们
公司简介
合作伙伴
核心技术
团队风采
推荐型号
服务与下载
支持与服务
在线升级
联系我们
二维码