目录 1 本周漏洞通告漏洞一 :D-Link DIR-130 和 DIR-330 管理员证书漏洞漏洞二 :eyou 电子邮件系统存在跨站脚本漏洞漏洞三 :Google Android Qualcomm 闭源组件存在未明漏洞

Size: px

Start display at page:

Download "目录 1 本周漏洞通告漏洞一 :D-Link DIR-130 和 DIR-330 管理员证书漏洞漏洞二 :eyou 电子邮件系统存在跨站脚本漏洞漏洞三 :Google Android Qualcomm 闭源组件存在未明漏洞"

柳鱼牢
5 years ago
Views:

1 北京安域领创科技有限公司安全服务通告报告周期 :2017 年 12 月第五周 (2017 年 12 月 25 日年 12 月 31 日 )

2 目录 1 本周漏洞通告漏洞一 :D-Link DIR-130 和 DIR-330 管理员证书漏洞漏洞二 :eyou 电子邮件系统存在跨站脚本漏洞漏洞三 :Google Android Qualcomm 闭源组件存在未明漏洞漏洞四 :Red Hat OpenStack Platform 权限提升漏洞漏洞五 : 多款 Cisco 产品代码执行漏洞漏洞六 : 多款 HP 产品远程代码执行漏洞本周病毒木马通告本周流行病毒木马统计 Trojan.Win32.BHO.gdz( 木马病毒 ) 病毒木马防范措施安全事件通告本周国内外安全事件通告 Debian 9 修复 18 个重要的 Linux 4.9 LTS 内核安全漏洞 GoAhead 存高危漏洞, 数十万 IoT 设备恐遭殃以德加密货币交易所 DNS 遭黑客劫持, 损失超 26.6 万美元愚蠢的记住密码方式终于还是出了问题年前披露的 14 款 WordPress 恶意插件如今仍被数百个网站使用... 16

3 1 本周漏洞通告 1.1 漏洞一 :D-Link DIR-130 和 DIR-330 管理员证书漏洞发布时间更新时间 CNVD-ID 漏洞危害级别 CNVD 高危影响产品漏洞类型 D-Link DIR D-Link DIR 管理员证书漏洞 D-Link DIR-130 和 DIR-330 都是友讯 (D-Link) 公司的无线路由器产品漏洞描述使用 1.23 a 版本固件的 D-Link DIR-130 和使用 1.12 版本固件的 DIR-330 存在漏洞, 该漏洞源于程序未能充分的保护管理员证书远程攻击者可利用该漏洞获取管理员证书漏洞解决方案厂商尚未提供漏洞修复方案, 请关注厂商主页及时更新 : 漏洞二 :eyou 电子邮件系统存在跨站脚本漏洞发布时间

4 更新时间 CNVD-ID 漏洞危害级别影响产品 CNVD 中危北京亿中邮信息技术有限公司 eyou 电子邮件系统漏洞类型跨站脚本漏洞 eyou 电子邮件系统是拥有独立自主知识产权, 由亿邮自主研发的邮件系统软件, 作为中国邮件系统软件及整体解决方案提供商, 亿邮邮件系统为政府企业教育等行业漏洞描述客户提供了专业的技术平台和完整的网络通讯解决方案 eyou 电子邮件系统用户登陆页面存在跨站脚本漏洞, 攻击者利用该漏洞插入 XSS 跨站代码, 获取管理员 cookie 等敏感信息漏洞解决方案厂商尚未提供漏洞修复方案, 请关注厂商主页及时更新 : 漏洞三 :Google Android Qualcomm 闭源组件存在未明漏洞发布时间更新时间 CNVD-ID 漏洞类型漏洞危害级别 CNVD 组件漏洞高危 2

5 影响产品 Google Android APP FakeID Android 是美国谷歌 (Google) 公司和开放手持设备联盟 ( 简称 OHA) 共同开发的一套以 Linux 为基础的开源操漏洞描述作系统 Google Android Qualcomm 闭源组件存在未明漏洞远程攻击者可利用该漏洞可能执行代码目前厂商已发布升级补丁以修复漏洞, 补丁获取链接 : 漏洞解决方案漏洞四 :Red Hat OpenStack Platform 权限提升漏洞发布时间更新时间 CNVD-ID 漏洞危害级别漏洞类型 CNVD 高危权限提升漏洞影响产品 Red Hat OpenStack Platform 12 Red Hat OpenStack Platform 可为私有云或公共云基础漏洞描述架构提供核心基础架构即服务 Red Hat OpenStack Platform 存在权限提升漏洞, 允许远程攻击者利用漏洞提交特殊的请求, 提升权限 3

6 漏洞解决方案厂商尚未提供漏洞修复方案, 请关注厂商主页及时更新 : 漏洞五 : 多款 Cisco 产品代码执行漏洞发布时间更新时间 CNVD-ID 漏洞类型漏洞危害级别 CNVD 代码执行漏洞中危 Cisco Nexus 7000 series switches Cisco Nexus 5000 Series Switches Cisco Nexus 6000 Series Switches 影响产品 Cisco Nexus 7700 Series Switches Cisco Nexus 5600 Platform Switches Cisco Nexus 5500 Platform Switches Cisco Nexus 2000 Series Fabric Extenders Cisco Nexus 5000 Series Switches 7.0(0)HSK(0.357) Cisco Nexus 2000 Series Fabric Extenders 等都是美国思科 (Cisco) 公司的产品 Cisco Nexus 2000 Series 漏洞描述 Fabric Extenders 是一款 Nexus 2000 系列阵列扩展器 Nexus 5000 Series Switches 是一款 5000 系列交换机多款 Cisco 产品中的 Open Agent Container (OAC) 功能 4

7 存在代码执行漏洞, 该漏洞源于 OAC 功能中的内部安全措施不足本地攻击者可通过制造特定的数据包利用该漏洞在底层主机系统上执行代码厂商已发布了漏洞修复程序, 请及时关注更新 : 漏洞解决方案 osecurityadvisory/cisco-sa nxos9 1.6 漏洞六 : 多款 HP 产品远程代码执行漏洞发布时间更新时间 CNVD-ID 漏洞危害级别漏洞类型 CNVD 高危远程代码执行漏洞 HP Color LaserJet Managed E65050 L3U55A HP Color LaserJet Managed E65060 L3U56A HP Color LaserJet Managed E65060 L3U57A HP Color LaserJet Enterprise M651 CZ255A 影响产品 HP Color LaserJet Enterprise M651 CZ256A HP Color LaserJet Enterprise M651 CZ257A HP Color LaserJet Enterprise M651 CZ258A HP Color LaserJet Enterprise M652 J7Z98A HP Color LaserJet Enterprise M652 J7Z99A 5

8 HP Color LaserJet Enterprise M653 J8A04A HP Color LaserJet Enterprise M653 J8A05A HP Color LaserJet Enterprise M653 J8A06A HP Color LaserJet Enterprise MFP M577 B5L46A HP Color LaserJet Enterprise MFP M577 B5L47A HP Color LaserJet Enterprise MFP M577 B5L48A HP Color LaserJet Enterprise M552 B5L23A HP Color LaserJet Enterprise M552 B5L23V HP Color LaserJet Enterprise M553 B5L24A HP Color LaserJet Enterprise M553 B5L HP Color LaserJet M680 CZ250A HP Color LaserJet M680 CA251A HP LaserJet Enterprise 500 color MFP M575 CD644A HP LaserJet Enterprise 500 color MFP M575 CD645A HP LaserJet Enterprise 500 MFP M525 CF116A HP LaserJet Enterprise 500 MFP M525 CF117A HP LaserJet Enterprise 700 color MFP M775 HP Color LaserJet Enterprise M651 CZ255A 等都是美漏洞描述国惠普 (HP) 公司的打印机设备多款 HP 产品中存在远程代码执行漏洞远程攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码漏洞解决方案目前厂商已发布升级补丁以修复漏洞, 补丁获取链接 : 6

9 0 7

10 北京安域领创科技有限公司 2 本周病毒木马通告 2.1 本周流行病毒木马统计 2.1.1Trojan.Win32.BHO.gdz 木马病毒病毒危险级别该病毒运行后查找主流杀毒软件进程并尝试将其结束同时病毒还将修改用户的注册表以便实现开机自启动除此之外该病毒还在后台连接黑客指定网址并为恶意网址刷流量占用大量网络资源用户一旦中毒有可能出现网络拥堵等现象 2.2 病毒木马防范措施针对出现的计算机病毒我们可以采用以下的措施进行防护安装正版防病毒软件并及时进行升级不使用盗版或者来历不明的软件特别不能使用盗版的杀毒软件对未知程序要使用查毒软件进行检查未经检查的可执行文件不能拷入硬盘更不能使用将硬盘引导区和主引导扇区备份下来并经常对重要数据进行备份当计算机屏幕出现一些无意义的显示画面或异常的提示信息屏幕出现异常滚动而与行同步无关系统出现异常死机和重启动现象系统不承认硬盘或硬盘不能引导系统计算机自动产生鸣叫系统引导或程序装入时速度明显减慢或异常要求用户输入口令文件或数据无故地丢失或文件长度自动发生了变化磁盘出现坏簇或可用空间变小或不识别磁盘设备编辑文本文件时频繁地自动存盘等现象时使用反病毒软件进行检测发现病毒立即清除将病毒危害减小到最小限度备份硬盘引导区和主引导扇区的数据经常对重要的数据进行备份 8

11 定期给系统打补丁, 将系统补丁升级至最新对插入电脑的光盘,u 盘进行杀毒后再运行禁止访问不良网页, 或打开非法链接的邮件关闭系统不使用的端口服务, 如 3389, 等 9

3 安全事件通告 3.1 本周国内外安全事件通告 3.1.1 Debian 9 修复 18 个重要的 Linux 4.

12 3 安全事件通告 3.1 本周国内外安全事件通告 Debian 9 修复 18 个重要的 Linux 4.9 LTS 内核安全漏洞 Debian 项目近日发布了针对 Debian GNU/Linux 9 Stretch 系列操作系统新的 Linux 内核安全更新, 修复了最近发现的几个漏洞根据最新的 DSA Debian 安全通报, 在 Debian GNU/Linux 9 Stretch 操作系统的 Linux 4.9 LTS 内核中, 共有 18 个安全漏洞, 其中包括信息泄露, 提权升级和拒绝服务等问题通报显示, 在 Linux 内核的 DCCP 实现 dvb-usb-lmedm04 驱动程序 hdpvr 媒体驱动程序扩展 BPF 验证程序 netfilter 子系统 netlink 子系统 xt_osf 模块 USB 核心以及 IPv4 原始套接字实现都存在问题另外,Linux 内核的 HMAC 实现 KEYS 子系统 Intel 处理器的 KVM 实现蓝牙子系统和扩展 BPF 验证器也受到某种影响 Debian 项目建议禁用未经授权的用户使用扩展 BPF 验证器 ( sysctl kernel.unprivileged_bpf_disabled = 1 ) 10

Debian 在默认情况下禁用非特权用户命名空间, 但是如果启用 ( 通过 kernel.unprivileged_userns_clone sysctl ), 那么 CVE-2017-17448 可以被任何本地用户利用, 因此建议升级 linux 软件包建议用户立即更新系统为了解决所有这些问题,Debian 敦促用户尽快将运行 Linux 内核 4.

13 Debian 在默认情况下禁用非特权用户命名空间, 但是如果启用 ( 通过 kernel.unprivileged_userns_clone sysctl ), 那么 CVE 可以被任何本地用户利用, 因此建议升级 linux 软件包建议用户立即更新系统为了解决所有这些问题,Debian 敦促用户尽快将运行 Linux 内核 4.9 LTS 的 Debian GNU / Linux 9 Stretch 安装更新到 deb9u1 版本, 并且在安装新内核更新后重新启动计算机 Debian GNU/Linux 9 Stretch 是 Debian GNU/Linux 操作系统的最新稳定版本本月早些时候,Debian GNU/Linux 9.3 发布了最新版本的 Debian GNU/Linux 8.10 Jessie 如果用户想安装该版本, 可以从相关渠道下载 ISO 映像 GoAhead 存高危漏洞, 数十万 IoT 设备恐遭殃 12 月 28 日讯据澳大利亚信息技术安全公司 Elttam 的安全研究人员发现, 开源 GoAhead Web 服务存在高危漏洞 (CVE ), 可被利用执行远程执行恶意代码 Embedthis GoAhead 之前的版本均受到影响 11

GoAhead 是美国 Embedthis 软件公司的一款嵌入式 Web 服务器 Embedthis 官网的信息显示, 这款产品目前部署在多款业内知名厂商的产品中, 包括 Comcast 甲骨文 D-Link 中兴惠普西门子佳能等 50 万 -70 万台设备受影响 Embedthis 公司收到 Elttam 的漏洞报告之后发布了补丁虽然有补丁可用, 但所有

14 GoAhead 是美国 Embedthis 软件公司的一款嵌入式 Web 服务器 Embedthis 官网的信息显示, 这款产品目前部署在多款业内知名厂商的产品中, 包括 Comcast 甲骨文 D-Link 中兴惠普西门子佳能等 50 万 -70 万台设备受影响 Embedthis 公司收到 Elttam 的漏洞报告之后发布了补丁虽然有补丁可用, 但所有硬件供应商要在所有受影响设备的固件更新中集成补丁可能需要数月, 乃至数年, 而有些设备还会因为太过老旧不会收到更新从 Shodan 的搜索结果来看, 受影响的设备介于 50 万至 70 万之间 Elttam 已发布 PoC 代码供其它研究人员查看是否有受影响的设备这个存在于微小软件组件中的漏洞可能会引发更严重的问题 GoAhead 在 2017 年 3 月也被曝存在安全漏洞 Mirai Hajime BrickerBot Persirai 等恶意软件 2016 年也曾利用过 GoAhead 的安全漏洞针对物联网的恶意攻击者或许不会错失这样的机会, 抑或他们已经在采取行动 12

Ethereum 区块链上的代币 ) 之间进行交易的加密货币交易所它并不需要登录, 并且可以在全世界任何地区都能安全使用

15 3.1.3 以德加密货币交易所 DNS 遭黑客劫持, 损失超 26.6 万美元以德 (EtherDelta) 是用于以太坊 (Ethereum) 与 ERC20 兼容代币 ( 已经部署在 Ethereum 区块链上的代币 ) 之间进行交易的加密货币交易所它并不需要登录, 并且可以在全世界任何地区都能安全使用因其分布式去中心化以及加密签名交易的特性, 而深受加密货币交易者的欢迎在上周三, 这个深受的加密货币交易所遭遇了黑客攻击, 许多用户在不知情的情况下将其代币发送给了黑客, 而不是用于交换 13

16 据调查统计, 至少有 308 个以太币 ( 约价值 266,789 美元 ) 以及其他潜在价值超过数十万美元的代币被盗 EtherDelta 是一个去中心化交易所, 提供去中心化分布式交易, 它涵盖了几乎所有类型以太坊代币的交易与较大的交易所相比, 它的交易量并不大, 但是在 ICO( 初始投币产品 ) 中生成新的代币之后, 这对于交易者来说是重要的第一步显然, 支配 EtherDelta 行为的智能合约在攻击中并没有受到损害相反, 攻击者成功地劫持了 EtherDelta 的 DNS 服务器, 并为交易者提供了一个虚假版本虚假网站模仿了真实网站的域名, 这比常见的网络钓鱼攻击更为危险整个攻击只存在了几个小时, 真实的 EtherDelta 网站很快就得到了恢复但就是在这几个小时期间, 已经有很多交易者向黑客发送了以太币或其他代币的令牌这些代币从下午 1:40 开始流入, 直到大约晚上 8 点攻击者在周四凌晨 1:30 左右将大部分资金转移到了其他地址 EtherDelta 官方在 Twitter 上确认了这一攻击事件, 并建议所有用户暂时不要使用该网站愚蠢的记住密码方式终于还是出了问题 12 月 29 日讯美国知名家谱网站 Ancestry.com 旗下的在线社区网站 RootsWeb.com 数据泄露,30 万账户明文暴露在网上, 涉及用户名电子邮箱和密码尽管网络安全专家不断强调数据安全, 数据泄露事件仍在频繁上演 14

用户两个网站使用相同的用户名 / 密码 RootsWeb.com 网站是一个包含论坛和邮件列表 (Mailing List) 的在线社区, 旨在帮助用户探索家谱史数据泄露通知网站 HaveIbeenPwned 的运营者特洛伊 - 亨特发现这起数据泄露事件, 亨特经过分析判断, 数据泄露发生在 2015 年, 但 Ancestry.

17 用户两个网站使用相同的用户名 / 密码 RootsWeb.com 网站是一个包含论坛和邮件列表 (Mailing List) 的在线社区, 旨在帮助用户探索家谱史数据泄露通知网站 HaveIbeenPwned 的运营者特洛伊 - 亨特发现这起数据泄露事件, 亨特经过分析判断, 数据泄露发生在 2015 年, 但 Ancestry.com 当时未意识到这起数据泄露事件目前 Ancestry 公司证实了这起事件 Ancestry 已证实数据的真实性 Ancestry 公司发布安全公告指出, 泄露的文件是真实的, 但大多数为旧数据, 虽然文件包含 30 万电子邮箱 / 用户名和密码组合, 但经确定的只有约 5.5 万个账号同时用在 RootsWeb 和 Ancestry 网站, 其中绝大多数账号为免费试用或目前未使用的账号, 真正属于 Ancestry 活跃用户的密码和电子邮箱组合约 7000 个 Ancestry.com 向外媒透露, 这些数据保存在 RootsWeb 服务器上, 但与 Ancestry.com 网站和服务没有关联 Ancestry 已关闭 RootsWeb 网站, 并计划在部署更多安全措施后再启用, 希望以此确保用户的数据安全 Ancestry 已经通知受影响的用户此事, 并提醒及时修改密码 Ancestry 表示已锁定这 5.5 万个在 RootsWeb 和 Ancestry 使用相同凭证的用户, 并要求 15

18 这些用户设置新密码 RootsWeb 数据可供任何人下载 2017 年 12 月 4 日,RootsWeb 网站的数据被公布在黑客论坛上供任何人免费下载, 这些数据目前仍能通过该黑客论坛获取年前披露的 14 款 WordPress 恶意插件如今仍被数百个网站使用据外媒 12 月 26 日报道,WordPres 团队于 2014 年发现并删除的 14 个 WordPress 恶意插件如今仍然被数百个网站使用这些恶意插件可能允许攻击者远程执行代码, 导致网站信息泄露目前,WordPress 团队已经提供了应对措施 WordPress 恶意插件死灰复燃 WordPress 团队最近发现官方插件目录被人为更改, 导致原本已屏蔽的旧插件页面仍然可见, 并且所有插件都包含有恶意代码的页面这表明在官方删除恶意插件的三年后仍有数百个站点还在使用着它们 16

19 为了保护用户免受恶意插件的侵害, 一些专家曾建议 WordPress 团队从官方插件目录中删除恶意插件时提醒网站所有者, 但这一想法被 WordPress 团队以可能致使站点面临更大安全风险的由否定这个建议争议的地方在于, 它造成了一种道德和法律上的两难境地 : 删除插件能够保护网站免受黑客攻击, 但同时也可能对网站一些功能造成破坏目前, 为了抵御一些主要的安全威胁,WordPress 开发人员在发现被感染的插件后会将其回滚到最后一个干净的版本, 并将其作为一个新的更新强制安装在所有受影响插件的站点上这样既能删除恶意代码维护网站安全, 同时也能保证网站功能不受影 17

目录 1 本周漏洞通告漏洞一 : 浙江大华 DSS 3.0 平台存在 struts2-045 远程代码执行漏洞漏洞二 : 锐捷 RG-WALL-160S 防火墙存在 SNMP 字符串认证权限绕过漏洞漏洞三 :Microsoft Internet

目录 1 本周漏洞通告漏洞一 : 浙江大华 DSS 3.0 平台存在 struts2-045 远程代码执行漏洞漏洞二 : 锐捷 RG-WALL-160S 防火墙存在 SNMP 字符串认证权限绕过漏洞漏洞三 :Microsoft Internet 北京安域领创科技有限公司安全服务通告报告周期 :2017 年 7 月第一周 (2017 年 06 月 26 日 -2017 年 07 月 02 日 ) 目录 1 本周漏洞通告...1 1.1 漏洞一 : 浙江大华 DSS 3.0 平台存在 struts2-045 远程代码执行漏洞... 1 1.2 漏洞二 : 锐捷 RG-WALL-160S 防火墙存在 SNMP 字符串认证权限绕过漏洞. 2 1.3

目 录 1 本周漏洞通告 漏洞一 :D-Link DIR-130 和 DIR-330 管理员证书漏洞 漏洞二 :eyou 电子邮件系统存在跨站脚本漏洞 漏洞三 :Google Android Qualcomm 闭源组件存在未明漏洞

目录 1 本周漏洞通告漏洞一 :D-Link DIR-130 和 DIR-330 管理员证书漏洞漏洞二 :eyou 电子邮件系统存在跨站脚本漏洞漏洞三 :Google Android Qualcomm 闭源组件存在未明漏洞