7月1日全球授時服務器進行閏秒調整

文/鄭先偉

7月1日全球授時服務器進行閏秒調整

文/鄭先偉

閏秒調整影響實時在線的Linux服務器

6月教育網整體運行平穩，未發生重大安全事件。值得關注的事件是北京時間7月1日上午7點59分59秒全球授時服務器進行閏秒調整。由于Linux系統2.6.18-164.el5之前的內核版本在處理閏秒消息時存在一個錯誤，如果系統運行了NTPD(時間更新服務)進程并進行閏秒更新，將導致系統崩潰后重啟。意外的重啟可能會給那些對實時在線要求比較高的Linux服務器帶來影響。管理員應該提前做好防范工作，可以選擇升級內核或是臨時關閉服務器的NTPD服務來降低重啟的風險。

高招期間學校發生多起網頁篡改事件

隨著高考結束和高招工作的開始，高校的網站又迎來訪問高峰，同時也迎來了攻擊的高峰。6月，我們接到了多起學校網頁被入侵篡改或是被放置掛馬網頁的投訴。因此再次提醒廣大的系統管理員，一定要加大對學校網站的安全防護和監控力度，尤其是院系的二級網站。

Flame病毒肆虐中東

近期一款名為Flame的病毒再次引起全球安全界的關注。這款威力巨大的病毒可以通過移動存儲介質或是網絡進行傳播，并能接受來自世界各地多個服務器的指令。病毒感染系統后會自動記錄及收集病毒程序感興趣的東西(包括用戶的輸入、電子郵件、文檔、消息、聊天記錄等)并分析系統的網絡流量使用規律，在合適的時機將這些信息發送到遠程控制服務器上。Flame病毒編寫得極為復雜， 它利用Windows系統上的證書漏洞偽造了證書簽名，使得自身像一個合法的Windows 程序，它能夠有效躲避目前市面上近百種防病毒軟件的查殺。病毒一旦在系統上完成信息收集任務，還可能清除自身，不在系統上留下任何痕跡。值得慶幸的是，這款病毒似乎是有專門的針對性，目前只在中東地區傳播，國內還未發現自動傳播的案例。

新增嚴重漏洞評述

微軟在6月份例行發布了7個安全公告(MS12-036到MS12-042)，其中3個為嚴重等級，4個為重要等級。這些公告共修復了Windows系統、IE瀏覽器、Visual Basic for Applications、Dynamics AX和.NET框架等產品中的28個漏洞。除了安全公告外，微軟公司還在6月份臨時發布了兩個緊急安全通告，其中一個通告（h t t p://technet.microsoft.com/zh-CN/security/advisory/2718704）用于撤消Windows系統中自帶的兩個存在安全問題的數字證書，這兩個證書正在被利用來進行網絡欺詐或中間人攻擊。另一個通告（h t t p://technet.microsoft.com/zh-CN/security/advisory/2719615）是為了告知用戶Windows系統中的XML Core Services服務組件中存在一個遠程代碼執行漏洞（0day漏洞），該漏洞正被用來進行網頁掛馬攻擊。截止發稿日，微軟還未針對該漏洞發布修補程序，在沒有補丁程序之前用戶可以通過臨時禁用Windows XML組件功能或是依靠防病毒軟件（目前大多數的防病毒軟件已經能夠識別該漏洞的攻擊代碼）來抵御相應的攻擊。

除微軟產品的漏洞外，一些第三方系統或軟件的漏洞也需要用戶關注：

1. Adobe公司發布了Flash Player軟件在各種操作系統下的最新版本，用于修補之前版本中的多個安全漏洞，這些系統包括：Windows、mac ox、Linux以及Android移動系統等。詳細信息請參見官方公告：

http://www.adobe.com/support/security/bulletins/apsb12-14.html

2. ISC發布安全公告宣稱BIND軟件在處理DNS資源記錄時存在錯誤，如果攻擊者將零長度的rdata記錄綁定到服務器，可能造成遞歸服務器崩潰或泄漏某些內存到客戶端，導致敏感信息泄漏或拒絕服務攻擊。這個漏洞主要影響遞歸查詢服務器，對那些沒有提供遞歸服務查詢的主域名服務器影響不算太嚴重。目前ISC已經發布了相應的補丁程序，DNS管理員應該盡快升級自己的遞歸查詢服務器的BIND版本，詳情請參照：

http://www.isc.org/software/bind/advisories/cve-2012-1667

3. Oracle公司發布安全公告，宣稱MySQL數據庫使用的用戶認證方式存在缺陷。由于程序中用于檢測用戶輸入密碼正確與否的函數中使用了兩種不同的數據類型來返回檢測結果，在這兩種數據進行轉換時可能出現數據截斷的狀況，而截斷的數據在某些情況下可能使其中一個返回值為真。攻擊者如果在知道用戶名的情況下連續使用錯誤的密碼來測試認證方式，當測試數量達到一定次數后，可能觸發數據截斷導致認證返回值為真，這就使得攻擊者無須知道正確的密碼也能登錄數據庫系統。由Oracle公司發布的二進制版本MySQL程序中不存在該漏洞，漏洞更多的是存在于類*nix系統中自帶的MySQL程序中。建議使用系統自帶MySQL數據庫的用戶及時升級數據庫，詳情請參見：

http://bugs.mysql.com/bug.php?id=64884

4. F5 Network公司的均衡負載設備F5 BIG-IP（11.x 10.x 9.x版本）文件系統中存在一組公開的SSH公私鑰對，可用于用戶登錄驗證，且驗證通過后得到的是root用戶權限。利用這組公開密鑰對的攻擊者可以遠程獲取設備的管理控制權，并進一步發起針對相關網絡信息系統的攻擊。這個漏洞早在今年2月份就被發現并通知了廠商，廠商隨后通知了重要的客戶進行更新防范，并對設備軟件版本進行升級。建議有此設備的管理員應及時升級相應設備的版本并隨后檢查設備的安全性（避免已經被人攻擊利用）。詳細的信息請參見：

http://support.f5.com/kb/en-us/solutions/public/13000/600/sol13600.html

Oday漏洞的安全提示

對于近期0day漏洞的攻擊風險，提醒用戶防范以下幾點：

1. 及時將防病毒軟件的病毒庫升級到最新版本，并確保防毒軟件的自動防護功能被開啟。

2. 不要直接點擊運行電子郵件的附件，即便這個郵件看起來像是熟人發來的。如果必須要打開附件，請將附件存儲到本地后確認格式再運行。

3. 不要隨意打開來歷不明的電子文檔。這些文檔可能來自郵件、網頁下載或是即時聊天工具。那些包含誘惑性內容的文檔往往威脅更大。

4. 不要訪問一些郵件或是即時通訊軟件中發送過來的網頁鏈接。