logo

中文|English|客服热线:4008107766

售后服务
4008107766
安全通告

网御星云安全通告

时间:2011-09-02
 网御星云安全通告
1 本周通告时间
本次通告时间为20118月份第5周。 

20118

 

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

1

2

3

 

 

 

 

 

 

 

 

2 本周网络威胁级别 2级。
 有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。
 网御星云网络威胁级别说明
 
1 普通状态 
 
正常网络状态,没有显著的网络攻击事件,只存在零星的攻击。网络大多数情况下都处在这一状态。此时保持普通安全策略即可。
 
2预警状态
 
有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。
 
3严重状态
 
某些严重漏洞或威胁正被攻击者利用来进行大规模攻击,网络攻击事件显著增加。通常表现为快速爆发的蠕虫或者病毒攻击。此时需要立刻采取防御措施,例如安装补丁或重新部署安全系统进行防护等等。
 
4紧急状态
 
网络安全态势非常严峻,对全球互联网造成严重影响。此时需要与其他网络协作采取防御措施

3  病毒和网络攻击预警
3.1   “通犯”变种jbpw(Trojan/Generic.jbpw)

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

特征描述:
“通犯”变种jbpw是“通犯”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0编写,经过加壳保护处理,是一个由其它恶意程序释放的DLL功能组件。“通犯”变种jbpw运行后,会创建互斥体,防止自身重复运行。“通犯”变种jbpw是一个专门盗取网络游戏“地下城与勇士”会员账号的盗号木马程序,运行后会首先确认自身是否已经插入到游戏进程“QQLogin.exe”、“DNF.exe”、“ctfmon.exe”中。如果已经插入其中则会利用消息钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的站点“aomo.8hd8.com:54322/zw/lin.asp”,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。释放“通犯”变种jbpw的母病毒程序会在指定系统DLL中新建一个指向它的区段,这样当该系统DLL随游戏一起运行时,会自动加载“通犯”变种jbpw,从而以此种方式实现了隐秘的自启。“通犯”变种jbpw属于某恶意程序集合中的部分功能组件,如果感染此病毒,则说明系统中还感染了其它的恶意程序。
3.2   “系统杀手”变种bsw (Trojan/AntiAV.bsw)

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

特征描述:
“系统杀手”变种bsw是“系统杀手”家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0编写,经过加壳保护处理。“系统杀手”变种bsw运行后,会自我复制到被感染系统的“%programfiles%\Windows NT\”文件夹下,重新命名为“SERVICES.EXE”。其会在被感染系统的“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意DLL组件“ACE.dll”。遍历当前系统运行的所有进程,一旦发现某些安全软件的进程存在,便会尝试将其结束,致使被感染系统失去安全软件的防护。“系统杀手”变种bsw运行时,会将释放的恶意DLL组件“ACE.dll”插入到系统桌面程序“explorer.exe”等进程中隐秘运行。后台执行相应的恶意操作,以此隐藏自我,防止被轻易地查杀。其会在被感染系统的后台秘密监视用户的键盘和鼠标操作,伺机窃取用户输入的机密信息,并在后台将窃得的信息发送到骇客指定的站点或邮箱中(地址加密存放),给被感染系统用户造成了不同程度的损失。“系统杀手”变种bsw在运行完成后会创建批处理文件“$$c1.tmp.bat”并在后台调用执行,以此将自身删除。另外,“系统杀手”变种bsw会修改注册表启动项中的登陆初始化内容,以此实现自动运行。

4安全漏洞通告

4.1   KMPlayer ".kpl"文件"Title"字段远程缓冲区溢出漏洞

 

KMPlayer ".kpl"文件"Title"字段远程缓冲区溢出漏洞

漏洞发现时间:

2011-08-29

漏洞号:

BUGTRAQ  ID: 49342

CVE ID: CVE-2011-2594

受影响的系统:

受影响系统:

KMPlayer KMPlayer 3.0.0.1441

漏洞详细信息:

KMPlayer是来自韩国的影音全能播放器,是从linux平台移植而来的,几乎可以播放您系统上所有的影音文件。

 

KMPlayer在对.kpl文件的Title字段的处理上存在远程缓冲区溢出漏洞,远程攻击者可利用此漏洞执行任意代码或造成拒绝服务。

 

<*参考:ADLab*>

建议:

厂商补丁:

KMPlayer

--------

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://kmplayer.kde.org/

4.2Apache Tomcat AJP协议安全限制绕过漏洞

Apache Tomcat AJP协议安全限制绕过漏洞

漏洞发现时间:

发布日期:2011-08-29

漏洞号:

BUGTRAQ  ID: 49353

CVE ID: CVE-2011-3190

受影响的系统:

受影响系统:

Apache Group Tomcat 7.x

Apache Group Tomcat 6.x

漏洞详细信息:

Apache Tomcat是一款由Apache Foundation维护的免费开放源代码的Java ServletJSP服务程序。
    Tomcat
AJP协议的实现上存在安全限制绕过漏洞。此漏洞源于Apache Tomcat错误处理了某些请求,可被利用注入任意AJP消息并泄露敏感信息或绕过身份验证机制。成功利用需要不使用org.apache.jk.server.JkCoyoteHandler AJP连接器,接受POST请求,不处理请求主体。远程攻击者可利用此漏洞绕过某些安全限制。

<*参考:Apache 

  链接:http://tomcat.apache.org/#Fixed_in_Apache_Tomcat_7.0.21_%28not_yet_released%29*>

建议:

厂商补丁:

Apache Group

------------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://jakarta.apache.org/tomcat/index.html


4.3   Linux Kernel SCTP远程拒绝服务漏洞

Linux Kernel SCTP远程拒绝服务漏洞

漏洞发现时间:

2011-08-30

漏洞号:

BUGTRAQ  ID: 49373

CVE ID: CVE-2011-2482

受影响的系统:

受影响系统:

Linux kernel 2.6.x

漏洞详细信息:

Linux KernelLinux操作系统的内核。

 

Linux KernelSCTP协议的实现上存在远程拒绝服务漏洞,远程攻击者可利用此漏洞造成内核崩溃,拒绝服务合法用户。

 

目前LKSCTP接收sctp_receive_queuepd_lobby数据的缓冲区计算。但在数据不完整时不计算frag_list中的数据,也不计算sctp_ulpq结构中的reasmlobby队列中的数据。这些队列中有数据时,因为oldsksk_rmem_alloc在套接字破坏后不会变成0,所以会在inet_sock_destruct中显示断言失败消息。

<*参考:vendor 

  链接:http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commitdiff;h=ea2bc483ff5caada7c4aa0d5fbf87d3a6590273d       http://permalink.gmane.org/gmane.comp.security.oss.general/5795*>

建议

厂商补丁:

Linux

-----

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.kernel.org/

4.4   Cisco TelePresence Codecs SIP报文远程拒绝服务漏洞

Cisco TelePresence Codecs SIP报文远程拒绝服务漏洞

漏洞发现时间:

2011-08-31

漏洞号:

BUGTRAQ  ID: 49392

CVE ID: CVE-2011-2577

受影响的系统:

受影响系统:

Cisco Tandberg EX90

Cisco Tandberg EX60

Cisco Tandberg E20

Cisco Tandberg Codec C90

Cisco Tandberg Codec C60

Cisco Tandberg Codec C40

Cisco 9000 MXP

Cisco 6000 MXP

漏洞详细信息:

Cisco TelePresence是与在全球各地的同事、合作伙伴和客户及时展开协作的思科网真解决方案。

Cisco TelePresence在解码器处理SIP报文时存在远程拒绝服务漏洞,远程攻击者可利用此漏洞造成设备崩溃,拒绝服务合法用户。

远程攻击者可借助发送到端口50605061的特制SIP数据包导致拒绝服务(崩溃)。

<*参考:David Klein 

  链接:http://www.cisco.com/warp/public/707/cisco-sa-20110831-tandberg.shtml*>

议:

厂商补丁:

Cisco

-----

Cisco已经为此发布了一个安全公告(cisco-sa-20110831-tandberg)以及相应补丁:

cisco-sa-20110831-tandberg:Denial of Service Vulnerability in Cisco TelePresence Codecs

链接:http://www.cisco.com/warp/public/707/cisco-sa-20110831-tandberg.shtml

4.5   WordPress WP Bannerize Plugin "id" SQL注入漏洞

WordPress WP Bannerize Plugin "id" SQL注入漏洞

漏洞发现时间:

2011-09-01

漏洞号:

 

受影响的系统:

受影响系统:

WordPress WP Bannerize Plugin 2.x

漏洞详细信息:

WordPress是一种使用PHP语言和MySQL数据库开发的Blog(博客、网志)引擎,用户可以在支持PHP和MySQL数据库的服务器上建立自己的Blog。

 

WordPress在WP Bannerize插件的实现上存在SQL注入漏洞,远程攻击者可利用此漏洞执行SQL攻击。

 

设置"X_REQUESTED_WITH" HTTP标头后,传递到wp-content/plugins/wp-bannerize/ajax_clickcounter.php的输入没有正确过滤就用在SQL查询中。

 

<*参考:Miroslav Stampar 

  链接:http://unconciousmind.blogspot.com/2011/08/wordpress-wp-bannerize-plugin-286-sql.html*>

建议:

厂商补丁:

WordPress

---------

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://wordpress.org/

5  上周活跃恶意域名TOP5

上周网御星云通过云防御平台监测到的用于网络病毒木马传播的活跃恶意域名TOP5如下表所示。请各网站管理机构注意检查网站页面中是否被嵌入含有下述恶意域名的 URL,并及时修补漏洞,加强网站的安全防护水平。

恶意域名

IP

dd.qzgsl.com

218.93.205.238

www.hb600.com

125.76.249.5

w55433.s21.chinaccnet.cn

61.164.140.175

dcu.ns01.us

202.106.199.37

www.5253.com

121.207.227.15

6 关于网御星云
北京网御星云信息技术有限公司是在联想控股公司下成立的从事信息安全业务的子公司,是国内信息安全行业的领军企业,专业从事信息安全产品的研发、生产与销售,为用户信息系统提供等级化的整体安全解决方案及专业安全服务。
网御星云的宗旨:以优秀的技术、产品、方案和服务致力于建设安全的电子政务、电子商务和公众信息化社会。http://www.leadsec.com.cn

 

北京网御星云信息技术有限公司

2011-09-02
 
关于我们
公司简介
合作伙伴
核心技术
团队风采
推荐型号
服务与下载
支持与服务
在线升级
联系我们
二维码