9月,多个漏洞众测平台因为法律原因被关闭,被通报出来的网站漏洞数量继续大幅减少。
得益于比特币交易的不可追踪性,比特币敲诈病毒层出不穷。近期还出现了专门针对服务器(Linux)系统进行攻击的敲诈病毒,管理员应该提高警惕,及时在安全的地方备份数据是针对比特币敲诈病毒的最好防范办法。
9月需要关注的漏洞有如下这些:
1. 微软9月份的例行安全公告数量较多,共14个,其中7个为严重等级,7个为重要等级。这些公告共修补了包括Windows系统、IE浏览器、EDGE浏览器、Office软件、WEB APP、Exchange server及Flash player中存在的50个安全漏洞。用户应该尽快更新相应的补丁程序,公告的详细信息请参见:https://technet. microsoft.com/zh-cn/library/security/ms16sep.aspx
2. Oracle公司的MySQL数据软件被爆出存在一个远程执行漏洞,mysqld_safe脚本中在加速/处理内存时会采用“malloc_ lib”变量作为辨别标记选择性加载(preload方式,该变量可被my.cnf控制。远程和本地的攻击者均可利用漏洞在MySQL客户端篡改my.cnf,进而可获取mysqld_safe所调用的Mysqld进程执行权限,以ROOT权限执行代码,完全控制MySQL数据库。要利用该漏洞需要有一个普通的MySQL用户权限。目前厂商还未针对该漏洞进行修补,预计在10月份的第三季度的例行更新包中会有更新。在没有补丁之前建议MySQL管理员执行以下操作:
1.确保MySQL的配置文件不被MySQL用户所拥有;
2.关闭数据库用户File权限。
3. CISCO公司的IOS系统被爆出存在内存泄漏漏洞,IOS系统被广泛应用于CISCO公司的路由器和防火墙中。利用这个漏洞攻击者可以直接读取CISCO设备内存中的明文信息,这些信息原本应该是以加密的形式传输的。目前CISCO公司已经针对了该漏洞发布了检测工具,但是还未发布补丁程序,建议使用相关设备的用户尽快联系厂商的技术人员来确定自己的产品是否被波及。
4.Openssl官方在9月22发布了Openssl新版本更新(1.1.0a、1.0.2i、1.0.1u),新版本修补了之前版本中的多个安全漏洞,其中包括一个存在于SSL/ TLS协议中的SWEET32碰撞攻击,如果攻击者能够获得足够多的已知的相同明文加密后的密文数据,就可能破译出其他的密文。为了应对这个漏洞,Openssl将在随后的版本中默认禁用相关的加密算法(DES和3DES)。值得提醒的是,安全人员随后在1.1.0a版本中又发现了因为修补漏洞造成的新的远程代码执行漏洞,为此Openssl官方又在随后发布了1.1.0b版本。
2016年8月~9月安全投诉事件统计
安全提示
Mysql数据库软件在高校的使用范围非常广泛,此次的漏洞需要有合法的用户登录到数据库系统后才能进一步利用,因此对一般的系统影响不大,但是对于那些本身就需要提供Mysql数据库账号给用户的系统服务(如虚拟网站服务)就要小心了。
(作者单位为中国教育和科研计算机网应急响应组)