7月1日全球授时服务器进行闰秒调整
2012-11-09郑先伟
文/郑先伟
7月1日全球授时服务器进行闰秒调整
文/郑先伟
闰秒调整影响实时在线的Linux服务器
6月教育网整体运行平稳,未发生重大安全事件。值得关注的事件是北京时间7月1日上午7点59分59秒全球授时服务器进行闰秒调整。由于Linux系统2.6.18-164.el5之前的内核版本在处理闰秒消息时存在一个错误,如果系统运行了NTPD(时间更新服务)进程并进行闰秒更新,将导致系统崩溃后重启。意外的重启可能会给那些对实时在线要求比较高的Linux服务器带来影响。管理员应该提前做好防范工作,可以选择升级内核或是临时关闭服务器的NTPD服务来降低重启的风险。
高招期间学校发生多起网页篡改事件
随着高考结束和高招工作的开始,高校的网站又迎来访问高峰,同时也迎来了攻击的高峰。6月,我们接到了多起学校网页被入侵篡改或是被放置挂马网页的投诉。因此再次提醒广大的系统管理员,一定要加大对学校网站的安全防护和监控力度,尤其是院系的二级网站。
Flame病毒肆虐中东
近期一款名为Flame的病毒再次引起全球安全界的关注。这款威力巨大的病毒可以通过移动存储介质或是网络进行传播,并能接受来自世界各地多个服务器的指令。病毒感染系统后会自动记录及收集病毒程序感兴趣的东西(包括用户的输入、电子邮件、文档、消息、聊天记录等)并分析系统的网络流量使用规律,在合适的时机将这些信息发送到远程控制服务器上。Flame病毒编写得极为复杂, 它利用Windows系统上的证书漏洞伪造了证书签名,使得自身像一个合法的Windows 程序,它能够有效躲避目前市面上近百种防病毒软件的查杀。病毒一旦在系统上完成信息收集任务,还可能清除自身,不在系统上留下任何痕迹。值得庆幸的是,这款病毒似乎是有专门的针对性,目前只在中东地区传播,国内还未发现自动传播的案例。
新增严重漏洞评述
微软在6月份例行发布了7个安全公告(MS12-036到MS12-042),其中3个为严重等级,4个为重要等级。这些公告共修复了Windows系统、IE浏览器、Visual Basic for Applications、Dynamics AX和.NET框架等产品中的28个漏洞。除了安全公告外,微软公司还在6月份临时发布了两个紧急安全通告,其中一个通告(h t t p://technet.microsoft.com/zh-CN/security/advisory/2718704)用于撤消Windows系统中自带的两个存在安全问题的数字证书,这两个证书正在被利用来进行网络欺诈或中间人攻击。另一个通告(h t t p://technet.microsoft.com/zh-CN/security/advisory/2719615)是为了告知用户Windows系统中的XML Core Services服务组件中存在一个远程代码执行漏洞(0day漏洞),该漏洞正被用来进行网页挂马攻击。截止发稿日,微软还未针对该漏洞发布修补程序,在没有补丁程序之前用户可以通过临时禁用Windows XML组件功能或是依靠防病毒软件(目前大多数的防病毒软件已经能够识别该漏洞的攻击代码)来抵御相应的攻击。
除微软产品的漏洞外,一些第三方系统或软件的漏洞也需要用户关注:
1. Adobe公司发布了Flash Player软件在各种操作系统下的最新版本,用于修补之前版本中的多个安全漏洞,这些系统包括:Windows、mac ox、Linux以及Android移动系统等。详细信息请参见官方公告:
http://www.adobe.com/support/security/bulletins/apsb12-14.html
2. ISC发布安全公告宣称BIND软件在处理DNS资源记录时存在错误,如果攻击者将零长度的rdata记录绑定到服务器,可能造成递归服务器崩溃或泄漏某些内存到客户端,导致敏感信息泄漏或拒绝服务攻击。这个漏洞主要影响递归查询服务器,对那些没有提供递归服务查询的主域名服务器影响不算太严重。目前ISC已经发布了相应的补丁程序,DNS管理员应该尽快升级自己的递归查询服务器的BIND版本,详情请参照:
http://www.isc.org/software/bind/advisories/cve-2012-1667
3. Oracle公司发布安全公告,宣称MySQL数据库使用的用户认证方式存在缺陷。由于程序中用于检测用户输入密码正确与否的函数中使用了两种不同的数据类型来返回检测结果,在这两种数据进行转换时可能出现数据截断的状况,而截断的数据在某些情况下可能使其中一个返回值为真。攻击者如果在知道用户名的情况下连续使用错误的密码来测试认证方式,当测试数量达到一定次数后,可能触发数据截断导致认证返回值为真,这就使得攻击者无须知道正确的密码也能登录数据库系统。由Oracle公司发布的二进制版本MySQL程序中不存在该漏洞,漏洞更多的是存在于类*nix系统中自带的MySQL程序中。建议使用系统自带MySQL数据库的用户及时升级数据库,详情请参见:
http://bugs.mysql.com/bug.php?id=64884
4. F5 Network公司的均衡负载设备F5 BIG-IP(11.x 10.x 9.x版本)文件系统中存在一组公开的SSH公私钥对,可用于用户登录验证,且验证通过后得到的是root用户权限。利用这组公开密钥对的攻击者可以远程获取设备的管理控制权,并进一步发起针对相关网络信息系统的攻击。这个漏洞早在今年2月份就被发现并通知了厂商,厂商随后通知了重要的客户进行更新防范,并对设备软件版本进行升级。建议有此设备的管理员应及时升级相应设备的版本并随后检查设备的安全性(避免已经被人攻击利用)。详细的信息请参见:
http://support.f5.com/kb/en-us/solutions/public/13000/600/sol13600.html
Oday漏洞的安全提示
对于近期0day漏洞的攻击风险,提醒用户防范以下几点:
1. 及时将防病毒软件的病毒库升级到最新版本,并确保防毒软件的自动防护功能被开启。
2. 不要直接点击运行电子邮件的附件,即便这个邮件看起来像是熟人发来的。如果必须要打开附件,请将附件存储到本地后确认格式再运行。
3. 不要随意打开来历不明的电子文档。这些文档可能来自邮件、网页下载或是即时聊天工具。那些包含诱惑性内容的文档往往威胁更大。
4. 不要访问一些邮件或是即时通讯软件中发送过来的网页链接。