本文同时发布在:[url]http://netsecurity.51cto.com/art/200808/83930.htm[/url]
本周(080728至080803)信息安全威胁级别为中,由于Microsoft Access Snapshot Viewer ActiveX漏洞攻击在全球范围内扩散,信息安全威胁级别从8月1号开始提升为中。请读者检查自己的系统是否存在漏洞并及时修补,更多的漏洞信息请参考Microsoft的安全公告,地址如下:
推荐阅读:
1)
[url]http://www.eweek.com/c/a/Security/In-Search-of-the-Best-Web-Security-Solutions/?kc=rss[/url]
Web浏览安全方案的比较;推荐指数:高
eWeek.com实验室的研究人员AndrewGarcia用了差不多1年,比较了目前互联网上较为知名的Web浏览安全方案,文章介绍了这些产品和评测的结果,推荐希望提高Web浏览安全的读者了解一下。
E-Gold承认在洗钱和非法转账方面有罪;推荐指数:高
在美国司法部对国际支付服务商E-Gold进行四年的调查之后,E-Gold周一承认在洗钱和非法转账方面有罪,并将停止其国际业务,E-Gold总裁还将面临巨额罚款和牢狱之灾。由于E-Gold对其用户的真实身份并不进行校验,因此E-Gold开始运营不久就成为国际犯罪组织进行洗钱和非法转账的主要场合。如何规避国际支付服务的各种风险再次成为电子商务领域的热点话题,E-Gold的前车之鉴值得目前正在努力开拓国际市场的国内支付服务商深思。
要闻回顾:
媒体方面,本周值得关注的新闻集中在漏洞攻击方面。
漏洞攻击:Oracle警告WebLogic服务器漏洞;黑客快速应用安全研究成果;关注指数:高
新闻1:7月29日,来自eWeek.com的消息,Oracle当天发布红色安全警告称,目前已证实在WebLogic服务器的多个版本中存在尚未修补的致命漏洞,该漏洞是一个堆栈溢出漏洞,存在于WebLogic服务器的Apache连接器中。黑客可以利用这个漏洞,无需提供身份验证信息即可在WebLogic服务器上运行命令或使WebLogic服务器停止工作。由于漏洞的发现者在没有事先通知Oracle的情况下就公开该漏洞的细节和漏洞攻击程序,因此Oracle无法及时开发出补丁程序,作为应急措施,Oracle建议WebLogic用户在Apache的配置文件httpd.conf增加“LimitRequestLine4000”(使用时去掉双引号),并重启Apache,以防御黑客利用该漏洞发起的攻击。
笔者观点:WebLogic服务器主要应用在企业领域,尤其是金融等高端企业应用领域,同时由于这次爆出的漏洞属于最危险的远程执行代码漏洞,黑客可以借助该漏洞,控制企业的Web服务器,进而攻击企业的内部网络或获取敏感信息。建议使用WebLogic的企业用户都按照Oracle所给出的应急修补方法,加固自己的WebLogic服务器,同时对服务器进行彻底的检查,看是否有黑客攻击的迹象。另外,WebLogic用户也可以通过配置防火墙或IDS检测异常长度的HTTP版本字串,及时发现和拦截黑客利用该漏洞发起的攻击活动。
新闻2:7月31日,来自ITnews.com.au的消息,IBM的安全小组X-Force发布研究报告称,因为目前黑客快速应用安全研究成果的趋势越来越明显,安全研究人员应该停止在传统的渠道发布漏洞信息和利用方法。据该报告的统计,94%的浏览器漏洞在公开24小时内便被网络犯罪组织用于在互联网上发起大规模攻击活动,此外,独立安全研究人员发布的漏洞信息被黑客利用的几率是安全厂商的2倍。
分析:安全厂商或研究人员公布的漏洞信息和漏洞演示程序被黑客快速用于攻击,已经不算是什么耸人听闻的预言,本周,一个安全研究人员在通知Oracle之前就公开了OracleWebLogic多个版本中存在的远程代码执行漏洞以及漏洞利用程序,致使Oracle措手不及,只能先警告用户采取应急防御措施,再加快开发相应补丁的进程。按照以往的经验,软件厂商从确认一个漏洞,到开发对应的补丁程序,测试然后发布,前后需要耗费差不多一个月的时间,而用户在自己的系统上应用补丁程序,也差不多需要一个月的时间,在这两个月时间内,足够拥有漏洞利用程序的黑客发起多次大规模的攻击活动。当然,这种现状也有其背景原因,目前还没有哪个软件厂商公开声明过有偿报告漏洞,安全厂商或研究人员向软件厂商报告发现漏洞,顶多也就能在软件厂商的安全公告中获得一句感谢,而没有任何实质性的好处。因此由于利益的驱使,不少安全研究人员也倾向于通过地下渠道来出售自己挖掘到的漏洞,或者在公众论坛上公开漏洞信息以博取名声,有的较小的安全厂商也参与到漏洞信息的地下交易。
笔者观点:尽管X-Force的报告中还呼吁,安全行业应该设置一个漏洞信息的公开标准,安全厂商和研究人员也不要随意在传统渠道公开漏洞利用程序,但显然这并不现实。所谓“无利不起早“,即使某些负责任的安全厂商在发现安全漏洞之后,严格的按照通知软件厂商、推出补丁、发布漏洞公告,同时不公布漏洞利用程序的流程走。但在目前安全业界鱼龙混杂的大环境下,要求所有人都这样做显然不可能。另外,漏洞利用程序也有其积极的一面,用户可以使用这类资源,对自己的内部网络进行安全检查,发现漏洞,从这个意义上讲,安全业界单方面的禁止漏洞利用程序的公开也不可行,甚至还会造成某种程度的垄断行为。笔者认为,对用户来说,寄望于网络犯罪组织不能快速拿到漏洞攻击程序是不现实,用户更应该在平时养成安全使用习惯,增强安全意识,多关注各种漏洞公开和攻击的信息;此外,用户还应该加强自己系统和网络的安全管理工作,及时发现和防御最新的攻击。
本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/91337,如需转载请自行联系原作者
