7月1日全球授時(shí)服務(wù)器進(jìn)行閏秒調(diào)整

文/鄭先偉

7月1日全球授時(shí)服務(wù)器進(jìn)行閏秒調(diào)整

文/鄭先偉

閏秒調(diào)整影響實(shí)時(shí)在線的Linux服務(wù)器

6月教育網(wǎng)整體運(yùn)行平穩(wěn)，未發(fā)生重大安全事件。值得關(guān)注的事件是北京時(shí)間7月1日上午7點(diǎn)59分59秒全球授時(shí)服務(wù)器進(jìn)行閏秒調(diào)整。由于Linux系統(tǒng)2.6.18-164.el5之前的內(nèi)核版本在處理閏秒消息時(shí)存在一個(gè)錯(cuò)誤，如果系統(tǒng)運(yùn)行了NTPD(時(shí)間更新服務(wù))進(jìn)程并進(jìn)行閏秒更新，將導(dǎo)致系統(tǒng)崩潰后重啟。意外的重啟可能會(huì)給那些對(duì)實(shí)時(shí)在線要求比較高的Linux服務(wù)器帶來(lái)影響。管理員應(yīng)該提前做好防范工作，可以選擇升級(jí)內(nèi)核或是臨時(shí)關(guān)閉服務(wù)器的NTPD服務(wù)來(lái)降低重啟的風(fēng)險(xiǎn)。

高招期間學(xué)校發(fā)生多起網(wǎng)頁(yè)篡改事件

隨著高考結(jié)束和高招工作的開始，高校的網(wǎng)站又迎來(lái)訪問(wèn)高峰，同時(shí)也迎來(lái)了攻擊的高峰。6月，我們接到了多起學(xué)校網(wǎng)頁(yè)被入侵篡改或是被放置掛馬網(wǎng)頁(yè)的投訴。因此再次提醒廣大的系統(tǒng)管理員，一定要加大對(duì)學(xué)校網(wǎng)站的安全防護(hù)和監(jiān)控力度，尤其是院系的二級(jí)網(wǎng)站。

Flame病毒肆虐中東

近期一款名為Flame的病毒再次引起全球安全界的關(guān)注。這款威力巨大的病毒可以通過(guò)移動(dòng)存儲(chǔ)介質(zhì)或是網(wǎng)絡(luò)進(jìn)行傳播，并能接受來(lái)自世界各地多個(gè)服務(wù)器的指令。病毒感染系統(tǒng)后會(huì)自動(dòng)記錄及收集病毒程序感興趣的東西(包括用戶的輸入、電子郵件、文檔、消息、聊天記錄等)并分析系統(tǒng)的網(wǎng)絡(luò)流量使用規(guī)律，在合適的時(shí)機(jī)將這些信息發(fā)送到遠(yuǎn)程控制服務(wù)器上。Flame病毒編寫得極為復(fù)雜， 它利用Windows系統(tǒng)上的證書漏洞偽造了證書簽名，使得自身像一個(gè)合法的Windows 程序，它能夠有效躲避目前市面上近百種防病毒軟件的查殺。病毒一旦在系統(tǒng)上完成信息收集任務(wù)，還可能清除自身，不在系統(tǒng)上留下任何痕跡。值得慶幸的是，這款病毒似乎是有專門的針對(duì)性，目前只在中東地區(qū)傳播，國(guó)內(nèi)還未發(fā)現(xiàn)自動(dòng)傳播的案例。

新增嚴(yán)重漏洞評(píng)述

微軟在6月份例行發(fā)布了7個(gè)安全公告(MS12-036到MS12-042)，其中3個(gè)為嚴(yán)重等級(jí)，4個(gè)為重要等級(jí)。這些公告共修復(fù)了Windows系統(tǒng)、IE瀏覽器、Visual Basic for Applications、Dynamics AX和.NET框架等產(chǎn)品中的28個(gè)漏洞。除了安全公告外，微軟公司還在6月份臨時(shí)發(fā)布了兩個(gè)緊急安全通告，其中一個(gè)通告（h t t p://technet.microsoft.com/zh-CN/security/advisory/2718704）用于撤消Windows系統(tǒng)中自帶的兩個(gè)存在安全問(wèn)題的數(shù)字證書，這兩個(gè)證書正在被利用來(lái)進(jìn)行網(wǎng)絡(luò)欺詐或中間人攻擊。另一個(gè)通告（h t t p://technet.microsoft.com/zh-CN/security/advisory/2719615）是為了告知用戶Windows系統(tǒng)中的XML Core Services服務(wù)組件中存在一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞（0day漏洞），該漏洞正被用來(lái)進(jìn)行網(wǎng)頁(yè)掛馬攻擊。截止發(fā)稿日，微軟還未針對(duì)該漏洞發(fā)布修補(bǔ)程序，在沒(méi)有補(bǔ)丁程序之前用戶可以通過(guò)臨時(shí)禁用Windows XML組件功能或是依靠防病毒軟件（目前大多數(shù)的防病毒軟件已經(jīng)能夠識(shí)別該漏洞的攻擊代碼）來(lái)抵御相應(yīng)的攻擊。

除微軟產(chǎn)品的漏洞外，一些第三方系統(tǒng)或軟件的漏洞也需要用戶關(guān)注：

1. Adobe公司發(fā)布了Flash Player軟件在各種操作系統(tǒng)下的最新版本，用于修補(bǔ)之前版本中的多個(gè)安全漏洞，這些系統(tǒng)包括：Windows、mac ox、Linux以及Android移動(dòng)系統(tǒng)等。詳細(xì)信息請(qǐng)參見(jiàn)官方公告：

http://www.adobe.com/support/security/bulletins/apsb12-14.html

2. ISC發(fā)布安全公告宣稱BIND軟件在處理DNS資源記錄時(shí)存在錯(cuò)誤，如果攻擊者將零長(zhǎng)度的rdata記錄綁定到服務(wù)器，可能造成遞歸服務(wù)器崩潰或泄漏某些內(nèi)存到客戶端，導(dǎo)致敏感信息泄漏或拒絕服務(wù)攻擊。這個(gè)漏洞主要影響遞歸查詢服務(wù)器，對(duì)那些沒(méi)有提供遞歸服務(wù)查詢的主域名服務(wù)器影響不算太嚴(yán)重。目前ISC已經(jīng)發(fā)布了相應(yīng)的補(bǔ)丁程序，DNS管理員應(yīng)該盡快升級(jí)自己的遞歸查詢服務(wù)器的BIND版本，詳情請(qǐng)參照：

http://www.isc.org/software/bind/advisories/cve-2012-1667

3. Oracle公司發(fā)布安全公告，宣稱MySQL數(shù)據(jù)庫(kù)使用的用戶認(rèn)證方式存在缺陷。由于程序中用于檢測(cè)用戶輸入密碼正確與否的函數(shù)中使用了兩種不同的數(shù)據(jù)類型來(lái)返回檢測(cè)結(jié)果，在這兩種數(shù)據(jù)進(jìn)行轉(zhuǎn)換時(shí)可能出現(xiàn)數(shù)據(jù)截?cái)嗟臓顩r，而截?cái)嗟臄?shù)據(jù)在某些情況下可能使其中一個(gè)返回值為真。攻擊者如果在知道用戶名的情況下連續(xù)使用錯(cuò)誤的密碼來(lái)測(cè)試認(rèn)證方式，當(dāng)測(cè)試數(shù)量達(dá)到一定次數(shù)后，可能觸發(fā)數(shù)據(jù)截?cái)鄬?dǎo)致認(rèn)證返回值為真，這就使得攻擊者無(wú)須知道正確的密碼也能登錄數(shù)據(jù)庫(kù)系統(tǒng)。由Oracle公司發(fā)布的二進(jìn)制版本MySQL程序中不存在該漏洞，漏洞更多的是存在于類*nix系統(tǒng)中自帶的MySQL程序中。建議使用系統(tǒng)自帶MySQL數(shù)據(jù)庫(kù)的用戶及時(shí)升級(jí)數(shù)據(jù)庫(kù)，詳情請(qǐng)參見(jiàn)：

http://bugs.mysql.com/bug.php?id=64884

4. F5 Network公司的均衡負(fù)載設(shè)備F5 BIG-IP（11.x 10.x 9.x版本）文件系統(tǒng)中存在一組公開的SSH公私鑰對(duì)，可用于用戶登錄驗(yàn)證，且驗(yàn)證通過(guò)后得到的是root用戶權(quán)限。利用這組公開密鑰對(duì)的攻擊者可以遠(yuǎn)程獲取設(shè)備的管理控制權(quán)，并進(jìn)一步發(fā)起針對(duì)相關(guān)網(wǎng)絡(luò)信息系統(tǒng)的攻擊。這個(gè)漏洞早在今年2月份就被發(fā)現(xiàn)并通知了廠商，廠商隨后通知了重要的客戶進(jìn)行更新防范，并對(duì)設(shè)備軟件版本進(jìn)行升級(jí)。建議有此設(shè)備的管理員應(yīng)及時(shí)升級(jí)相應(yīng)設(shè)備的版本并隨后檢查設(shè)備的安全性（避免已經(jīng)被人攻擊利用）。詳細(xì)的信息請(qǐng)參見(jiàn)：

http://support.f5.com/kb/en-us/solutions/public/13000/600/sol13600.html

Oday漏洞的安全提示

對(duì)于近期0day漏洞的攻擊風(fēng)險(xiǎn)，提醒用戶防范以下幾點(diǎn)：

1. 及時(shí)將防病毒軟件的病毒庫(kù)升級(jí)到最新版本，并確保防毒軟件的自動(dòng)防護(hù)功能被開啟。

2. 不要直接點(diǎn)擊運(yùn)行電子郵件的附件，即便這個(gè)郵件看起來(lái)像是熟人發(fā)來(lái)的。如果必須要打開附件，請(qǐng)將附件存儲(chǔ)到本地后確認(rèn)格式再運(yùn)行。

3. 不要隨意打開來(lái)歷不明的電子文檔。這些文檔可能來(lái)自郵件、網(wǎng)頁(yè)下載或是即時(shí)聊天工具。那些包含誘惑性內(nèi)容的文檔往往威脅更大。

4. 不要訪問(wèn)一些郵件或是即時(shí)通訊軟件中發(fā)送過(guò)來(lái)的網(wǎng)頁(yè)鏈接。