logo

中文|English|客服热线:4008107766

售后服务
4008107766
安全通告

网御星云安全通告

时间:2011-08-29
 网御星云安全通告

1  本周通告时间本次通告时间为20118月份第4周。

 

20118

 

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

 

 

 

 

 

 

 

 

 

 
  

2 本周网络威胁级别 2级。
 有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。
 网御星云网络威胁级别说明
 
1 普通状态 
 
正常网络状态,没有显著的网络攻击事件,只存在零星的攻击。网络大多数情况下都处在这一状态。此时保持普通安全策略即可。
 
2预警状态
 
有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。
 
3严重状态
 
某些严重漏洞或威胁正被攻击者利用来进行大规模攻击,网络攻击事件显著增加。通常表现为快速爆发的蠕虫或者病毒攻击。此时需要立刻采取防御措施,例如安装补丁或重新部署安全系统进行防护等等。
 
4紧急状态
 
网络安全态势非常严峻,对全球互联网造成严重影响。此时需要与其他网络协作采取防御措施

3   病毒和网络攻击预警
3.1   “克隆先生”变种jxt(Packed.Klone.jxt)

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

特征描述:
“克先生”变种jxt是“克先生”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0编写,经过加壳保护处理,是一个由其它恶意程序释放的DLL功能组件。“克先生”变种jxt运行后,会将自身插入到系统桌面程序“explorer.exe”进程中隐秘运行。后台执行相应的恶意操作,以此隐藏自我,防止被轻易地查杀。遍历当前系统运行的所有进程,一旦发现某些安全软件的进程存在,便会尝试将其结束,致使被感染系统失去安全软件的防护。“克先生”变种jxt是一个专门盗取网络游戏会员账号的木马程序,其会在被感染系统的后台秘密监视系统所运行程序的窗口标题,一旦发现指定程序启动,便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的站点(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。“克先生”变种jxt属于某恶意程序集合中的部分功能组件,如果感染此病毒,则说明系统中还感染了其它的恶意程序。

3.2   “砸波”变种ahlh (TrojanSpy.Zbot. ahlh)

病毒类型:间谍木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

特征描述:
TrojanSpy.Zbot.ahlh“砸波”变种ahlh是“砸波”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0编写。“砸波”变种ahlh运行后,会自我复制到被感染计算机系统的“%USERPROFILE%\Application Data\Luuxso\”文件夹下,并重命名为“vyom.exe”。在“%USERPROFILE%\Application Data\Keoqb\”文件夹下释放恶意程序“endys.qed”。在被感染系统的后台秘密窃取系统中的机密信息,并在后台将窃得的信息发送到骇客指定的站点或邮箱中(地址加密存放),给被感染系统用户造成了不同程度的损失。在被感染系统的后台秘密窃取当前系统的配置信息,然后从骇客指定的站点“92.241.161.34下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,给用户造成了不同程度的威胁。
 “砸波”变种ahlh在运行完成后会将自身删除,从而达到消除痕迹的目的。该间谍木马的传播途径一般为网页木马,如果用户的计算机系统存在相应的漏洞,则会增加感染该病毒的风险,甚至是多次重复感染。另外,“砸波”变种ahlh会在被感染系统注册表启动项中添加键值,以此实现自动运行。

4 安全漏洞通告

4.1   phpMyAdmin多个脚本插入漏洞

phpMyAdmin多个脚本插入漏洞

漏洞发现时间:

2011-08-25

漏洞号:

CVE ID: CVE-2011-3181

受影响的系统:

受影响系统:

phpMyAdmin phpMyAdmin 3.x

漏洞详细信息:

phpMyAdmin是一个用PHP编写的,可以通过 web 方式控制和操作 MySQL 数据库。

 

phpMyAdmin存在多个安全漏洞,允许恶意用户进行脚本注入攻击

 

部分传递给table, columnindex名的输入在跟踪功能中使用前缺少过滤,可被利用注入任意HTML和脚本代码,当恶意数据被查看时可以目标用户浏览器安全上下文执行恶意代码。

 

<*参考:Norman Hippert 

  链接:http://www.phpmyadmin.net/home_page/security/PMASA-2011-13.php*>

建议:

厂商补丁:

phpMyAdmin

----------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.phpmyadmin.net/home_page/security/

4.2   Cisco IOS Data-Link Switching远程拒绝服务漏洞(CVE-2011-1625)

Cisco IOS Data-Link Switching远程拒绝服务漏洞(CVE-2011-1625

漏洞发现时间:

发布日期:2011-08-23

漏洞号:

BUGTRAQ  ID: 49286

CVE ID: CVE-2011-1625

受影响的系统:

受影响系统:

Cisco IOS 15.1

Cisco IOS 15.0

Cisco IOS 12.4

Cisco IOS 12.3

Cisco IOS 12.2

不受影响系统:

Cisco IOS 12.2(50)SY

Cisco IOS 12.2(33)SCF

漏洞详细信息:

 

Cisco的网际操作系统(IOS)是一个网际互连优化的复杂操作系统。

 

Cisco IOS数据链路交换处理中存在一个未明错误,攻击者可在一个狭窄的时间框中发送一系列特制的报文来触发此漏洞,允许恶意用户对服务进行拒绝服务攻击。

 

<*参考:vendor 

  链接:http://www.cisco.com/en/US/docs/cable/cmts/release/notes/12_2sc/uBR7200/122_33_SCF/caveats.html        http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SY/release/notes/ol_20679.html*>

建议:

厂商补丁:

Cisco

-----

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.cisco.com/warp/public/707/advisory.html

4.3   Cisco IOS SSH2会话远程拒绝服务漏洞(CVE-2011-1624)

Cisco IOS SSH2会话远程拒绝服务漏洞(CVE-2011-1624

漏洞发现时间:

2011-08-23

漏洞号:

BUGTRAQ  ID: 49282

CVE ID: CVE-2011-1624

受影响的系统:

受影响系统:

Cisco IOS 12.2(58)SE

不受影响系统:

Cisco IOS 12.2(58)SE1

漏洞详细信息:

Cisco的网际操作系统(IOS)是一个网际互连优化的复杂操作系统。

 Cisco IOSSSH2会话的实现上存在远程拒绝服务漏洞,远程攻击者可利用此漏洞使受影响设备崩溃,拒绝服务合法用户。

 此漏洞其Cisco Bug IDCSCto62631。成功利用需要使用旗标登录消息全局配置命令配置自定义登录旗标。

 <*参考:vendor 

  链接:http://www.cisco.com/en/US/docs/switches/lan/cisco_ie3000/software/release/12.2_58_se/release/notes/OL24335.html        http://www.cisco.com/en/US/docs/switchehttp://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCto62631*>

建议:

厂商补丁:

Cisco

-----

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.cisco.com/warp/public/707/advisory.html

4.4   Linux Kernel "CIFSFindNext()"函数拒绝服务漏洞

Linux Kernel "CIFSFindNext()"函数拒绝服务漏洞

漏洞发现时间:

2011-08-24

漏洞号:

BUGTRAQ  ID: 49295

CVE ID: CVE-2011-3191

受影响的系统:

受影响系统:

Linux kernel 2.6.x

漏洞详细信息:

Linux KernelLinux操作系统的内核。

 

Linux KernelCIFSFindNext()函数的实现上存在拒绝服务漏洞,远程攻击者可利用此漏洞使应用程序崩溃,造成拒绝服务。

 

"CIFSFindNext()"函数(fs/cifs/cifssmb.c)存在一个符号相关错误,发送特制的CIFS消息可使客户端崩溃。要成功利用漏洞需要使用恶意服务器。

 

<*参考:Darren Lavender    链接:https://bugzilla.redhat.com/show_bug.cgi?id=732869

        https://patchwork.kernel.org/patch/1088082/*>

建议:

厂商补丁:

Linux

-----

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.kernel.org/

4.5   Apache HTTP Server畸形Range选项处理远程拒绝服务漏洞

Apache HTTP Server畸形Range选项处理远程拒绝服务漏洞

漏洞发现时间:

2011-08-24

漏洞号:

BUGTRAQ  ID: 49303

CVE ID: CVE-2011-3192

受影响的系统:

受影响系统:

Apache Group Foundation Apache 2.x

Apache Group Foundation Apache 1.3

漏洞详细信息:

Apache HTTP ServerApache软件基金会的一个开放源代码的网页服务器,可以在大多数电脑操作系统中运行,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。

 

Apache HTTP Server在处理Range选项生成回应时存在漏洞,远程攻击者可能利用此漏洞通过发送恶意请求导致服务器失去响应,导致拒绝服务。

 

此漏洞源于Apache HTTP Server在处理Range头选项中包含的大量重叠范围指定命令时存在的问题,攻击者可通过发送到服务器的特制HTTTP请求耗尽系统资源,导致Apache失去响应,甚至造成操作系统资源耗尽。

 

<*参考:Kingcope kingcope@gmx.net 

  链接:https://issues.apache.org/bugzilla/show_bug.cgi?id=51714*>

建议:

厂商补丁:

Apache Group

------------

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.apache.org

  
  5  上周活跃恶意域名TOP5
上周网御星云通过云防御平台监测到的用于网络病毒木马传播的活跃恶意域名TOP5如下表所示。请各网站管理机构注意检查网站页面中是否被嵌入含有下述恶意域名的 URL,并及时修补漏洞,加强网站的安全防护水平。

恶意域名

IP

dsj.2288.org

61.160.235.210

woaini23456.com

202.106.199.36

www.hb600.com

125.76.249.5

dcu.ns01.us

202.106.199.37

www.888oa.net

61.191.55.166

 6  关于网御星云
北京网御星云信息技术有限公司是在联想控股公司下成立的从事信息安全业务的子公司,是国内信息安全行业的领军企业,专业从事信息安全产品的研发、生产与销售,为用户信息系统提供等级化的整体安全解决方案及专业安全服务。网御星云的宗旨:以优秀的技术、产品、方案和服务致力于建设安全的电子政务、电子商务和公众信息化社会。http://www.leadsec.com.cn

 

北京网御星云信息技术有限公司

2011-08-29
 
关于我们
公司简介
合作伙伴
核心技术
团队风采
推荐型号
服务与下载
支持与服务
在线升级
联系我们
二维码