logo

中文|English|客服热线:4008107766

售后服务
4008107766
安全通告

网御星云安全通告

时间:2013-08-01

 网御星云安全通告

1  本周通告时间

本次通告时间为2011年7月份第4周。

20117

 

 

 

 

 

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

 

 

 

 

 

 

  2 本周网络威胁级别 2级。

 有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。

 网御星云网络威胁级别说明

1 普通状态 

正常网络状态,没有显著的网络攻击事件,只存在零星的攻击。网络大多数情况下都处在这一状态。此时保持普通安全策略即可。

2预警状态

有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。

3严重状态

某些严重漏洞或威胁正被攻击者利用来进行大规模攻击,网络攻击事件显著增加。通常表现为快速爆发的蠕虫或者病毒攻击。此时需要立刻采取防御措施,例如安装补丁或重新部署安全系统进行防护等等。

4紧急状态

网络安全态势非常严峻,对全球互联网造成严重影响。此时需要与其他网络协作采取防御措施

3       病毒和网络攻击预警
 
3.1   “摩登王”变种gji(Trojan/Monder.gji)
 
病毒长度:58368字节
 
病毒类型:木马
 
危险级别:★★
 
影响平台:Win 9X/ME/NT/2000/XP/2003
 
特征描述:
 Trojan/Monder.gji“摩登王”变种gji是“摩登王”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“摩登王”变种gji运行后,会自我复制到被感染系统的“%SystemRoot%\system32\”文件夹下,重新命名为“dmoox.exe”。“摩登王”变种gji属于反向连接木马程序,其会在后台连接骇客指定的站点“64.28.*.35”,获取客户端IP地址,侦听骇客指令,从而达到被骇客远程控制的目的。该木马具有远程监视、控制等功能,可以监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)。还可以窃取、修改或删除计算机中存储的机密信息,从而对用户的个人隐私甚至是商业机密构成严重的威胁。感染“摩登王”变种gji的系统还会成为网络僵尸傀儡主机,利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等,给互联网的信息安全造成了更多的威胁。“摩登王”变种gji访问网络时,会将恶意代码注入到“explorer.exe”进程中隐秘运行。如果被感染的计算机已安装并启用了防火墙,则该木马会利用白名单机制来绕过防火墙的监控,从而达到隐蔽通信的目的。另外,“摩登王”变种gji会在被感染系统中注册名为“Windows Management Service”的系统服务,以此实现自动运行。
 
3.2   “米伽”变种gst (Trojan/Midgare.gst)
 
病毒长度:288309字节
 
病毒类型:木马
 
危险级别:★★
 
影响平台:Win 9X/ME/NT/2000/XP/2003
 
特征描述:
 
Trojan/Midgare.gst“米伽”变种gst是“米伽”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“米伽”变种gst运行后,会自我复制到被感染系统的“%SystemRoot%\”和“%SystemRoot%\system32\”文件夹下,重新命名为“chrome.exe”。文件属性设置为“系统、隐藏、只读、存档”。“米伽”变种gst会在系统盘“%SystemRoot%\system32\”下创建“autorun.inf”(自动播放配置文件)和木马主程序文件“chrome.exe”,以此实现双击盘符后自动运行的目的,给被感染计算机用户造成了更多的威胁。后台连接骇客指定的站点“h1.rip*ay.com”,读取配置文件“setting.ini”,然后根据其中的设置下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,给用户造成了不同程度的威胁。搜索系统中存储的电子邮件地址,之后会向其发送带毒邮件,从而达到自我传播的目的。另外,“米伽”变种gst会通过添加名为“AT1.job”的计划任务的方式实现自动运行。
4  安全漏洞通告
4.1   Linux Kernel "drivers/media/radio/si4713-i2c.c"远程缓冲区溢出漏洞

Linux Kernel "drivers/media/radio/si4713-i2c.c"远程缓冲区溢出漏洞

漏洞发现时间:

2011-07-20

漏洞号:

BUGTRAQ  ID: 48804

CVE ID: CVE-2011-2700

受影响的系统:

受影响系统:

Linux kernel 2.6.x

漏洞详细信息:

Linux KernelLinux操作系统的内核。

 

Linux Kerneldrivers/media/radio/si4713-i2c.c的实现上存在远程缓冲区溢出漏洞,远程攻击者可利用此漏洞提升权限,造成拒绝服务。

 

<*参考:Mauro Carvalho Chehab

 

  链接:http://permalink.gmane.org/gmane.comp.security.oss.general/5527

        http://xorl.wordpress.com/2011/07/24/cve-2011-2700-linux-kernel-si4713-i2c-buffer-overflow/

*>

建议:

厂商补丁:

Linux

-----

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.kernel.org/

4.2   Kingsoft Antivirus "KisKrnl.sys"驱动程序本地权限提升漏洞

Kingsoft Antivirus "KisKrnl.sys"驱动程序本地权限提升漏洞

漏洞发现时间:

2011-07-22

漏洞号:

BUGTRAQ  ID: 48867

受影响的系统:

受影响系统:

Kingsoft Corp Kingsoft Antivirus 2011.7.8.913

漏洞详细信息:

金山毒霸是中国广泛使用反病毒程序。

 

金山毒霸的KisKrnl.sys驱动程序在实现上存在漏洞,本地攻击者可利用此漏洞以提升的权限执行任意代码,完全控制受影响计算机或造成拒绝服务。

 

<*参考:MJ0011 dlrow1991@ymail.com*>

建议:

厂商补丁:

Kingsoft Corp

-------------

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.kingsoft.com/

4.3   Citrix XenApp和XenDesktop XML Service interface远程代码执行漏洞

Citrix XenAppXenDesktop XML Service interface远程代码执行漏洞

漏洞发现时间:

2011-07-27

漏洞号:

 

受影响的系统:

受影响系统:

Citrix Presentation Server 4.x

Citrix Citrix XenDesktop 5.x

Citrix Citrix XenDesktop 4.x

Citrix Citrix XenDesktop 3.x

Citrix Citrix XenApp Fundamentals 6.x

Citrix Citrix XenApp Fundamentals 3.x

漏洞详细信息:

Citrix XenDesktopCitrix公司一款桌面虚拟化的产品。Citrix XenApp (Citrix Presentation Server)应用虚拟化技术实现了快速的应用交付。不需要在用户设备上单独安装或管理应用系统,这样就使应用的测试、部署、管理和支持变得更加简单,系统可以智能地根据用户、应用和位置自动匹配最佳的交付方式。

 

Citrix XenAppXenDesktopXML Service interface在实现上存在漏洞,远程未经认证的攻击者可以利用此漏洞在系统上执行任意代码。

 

<*参考:the n.runs AG Information Security Team 

  链接:http://support.citrix.com/article/CTX129430

*>

建议:

厂商补丁:

Citrix

------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://support.citrix.com/

4.4   Samba SWAT操作限制绕过漏洞(CVE-2011-2522)

Samba SWAT操作限制绕过漏洞(CVE-2011-2522)

漏洞发现时间:

2011-07-27

漏洞号:

CVE ID: CVE-2011-2522

受影响的系统:

受影响系统:

Samba Samba 3.x

漏洞详细信息:

Samba是一套实现SMBServer Messages Block)协议、跨平台进行文件共享和打印共享服务的程序。SWATSamba Web Administration Tool)是基于WebSamba服务管理工具。

 

SWAT在实现上存在跨站脚本执行安全漏洞,远程攻击者可利用此漏洞执行跨站脚本执行攻击。

 

Samba Web Administration Tool (SWAT)允许用户提供HTTP请求执行某些操作,而不验证请求。可被利用关闭或启动Samba程序,添加或删除共享、打印机或用户账号。

 

<*参考:Yoshihiro Ishikawa 

  链接:http://www.samba.org/samba/security/CVE-2011-2522        http://www.samba.org/samba/security/CVE-2011-2694        http://www.samba.org/samba/history/samba-3.5.10.html*>

建议:

厂商补丁:

Samba

-----

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.samba.org/

4.5   phpMyAdmin 3.3.10.3和3.4.3.2之前版本多个远程漏洞

phpMyAdmin 3.3.10.33.4.3.2之前版本多个远程漏洞

漏洞发现时间:

2011-07-25

漏洞号:

BUGTRAQ  ID: 48874

CVE ID: CVE-2011-2643

受影响的系统:

受影响系统:

phpMyAdmin phpMyAdmin 3.x

不受影响系统:

phpMyAdmin phpMyAdmin 3.4.3.2

phpMyAdmin phpMyAdmin 3.3.10.3

漏洞详细信息:

phpMyAdmin是用PHP编写的工具,用于通过WEB管理MySQL

 

phpMyAdmin在实现上存在多个漏洞,远程攻击者可通过这些漏洞控制受影响应用程序和下层计算机,执行任意脚本代码并窃取身份验证凭证。

 

发送到relational schema代码中的参数的某些输入在用于连接类名称之前没有正确过滤。Swekey身份验证中存在不明错误。

 

<*参考:Norman Hippert

        Frans Pehrson 

  链接:http://www.phpmyadmin.net/home_page/security/PMASA-2011-10.php        http://www.phpmyadmin.net/home_page/security/PMASA-2011-11.php        http://www.phpmyadmin.net/home_page/security/PMASA-2011-12.php        http://www.phpmyadmin.net/home_page/security/PMASA-2011-9.php*>

建议:

厂商补丁:

phpMyAdmin

----------

phpMyAdmin已经为此发布了一个安全公告(PMASA-2011-10)以及相应补丁:

PMASA-2011-10PMASA-2011-10

链接:http://www.phpmyadmin.net/home_page/security/PMASA-2011-10.php  


5    关于网御星云
北京网御星云信息技术有限公司是在联想控股公司下成立的从事信息安全业务的子公司,是国内信息安全行业的领军企业,专业从事信息安全产品的研发、生产与销售,为用户信息系统提供等级化的整体安全解决方案及专业安全服务。网御星云的宗旨:以优秀的技术、产品、方案和服务致力于建设安全的电子政务、电子商务和公众信息化社会。http://www.leadsec.com.cn

 

北京网御星云信息技术有限公司

2011-08-01
 
 
关于我们
公司简介
合作伙伴
核心技术
团队风采
推荐型号
服务与下载
支持与服务
在线升级
联系我们
二维码