最新安全漏洞及修复

1. phpmyadmin非官方版本被添加web后门漏洞

【漏洞发现时间】: 2012年09月

【攻击原理】: phpmyadmin的官方分站被黑客攻击并在源代码包中增加了web后门,黑客可以通过连接该后门直接获取用户网站的管理权限,进一步攻击服务器甚至渗透内网。

【检测方法】:通过计算文件的hash值是否与官方网站提供的hash一致来判断。
Phpmyadmin3.5.2.2的官方下载文件hash值列表参考: http://www.phpmyadmin.net/home_page/downloads.php

【更多注意事项】:类似的开源项目被篡改的风险一直存在,请大家在使用时从注意官方网站下载并核对文件的hash值,确保安全。

需了解更多安全方面的信息可访问:
网站: http://security.tencent.com/
微薄: http://t.qq.com/TSRC


2. 构造Hash冲突实现各种语言的拒绝服务攻击漏洞

【漏洞发现时间】: 2011年12月

【攻击原理】: 许多开发商的应用程序中使用了hash来存储key-value数据,包括常用的来自用户的POST数据,攻击者可以通过构造请求头,并伴随POST大量的特殊的”key”值(根据每个语言的Hash算法不同而定制), 使得语言底层保存POST数据的Hash表因为”冲突”而退化成链表。
如果数据量足够大,会使得应用程序在计算、查找、插入数据时,占用大量CPU,从而实现拒绝服务攻击。

【被攻击的现象】: 服务器会进行大量的查表运算,表现为请求无响应,或服务器卡死,CPU占用100%等。

【漏洞影响】:以下是受影响的软件版本详细情况:

开发语言 版本
Java 所有版本
JRuby <=1.6.5
PHP <= 5.3.8, <= 5.4.0RC3
Python 所有版本
Rubinius 所有版本
Ruby <= 1.8.7-p356
Apache Geronimo 所有版本
Apache Tomcat <= 5.5.34, <= 6.0.34, <= 7.0.22
Oracle Glassfish <= 3.1.1
Jetty 所有版本
Plone 所有版本
Rack 所有版本
V8 JavaScript Engine 所有版本



【解决方案】:
进行软件升级,(但是需注意升级可能会导致应用业务异常,请升级前进行测试,谨慎升级)。
下面是各软件的补丁包说明:

1. 目前php已经针对该漏洞推出了新版本5.3.9及相应的补丁程序,建议受影响的版本升级到最新版5.3.9,或通过安装补丁修复此漏洞。
补丁的下载地址为:
https://github.com/laruence/laruence.github.com/tree/master/php-5.2-max-input-vars

2. 微软.NET官方发布了针对该漏洞的补丁程序,补丁的下载地址为:
http://technet.microsoft.com/en-us/security/bulletin/ms11-100。

3. 其他语言官方暂未发布补丁程序,可以通过修改Web Server的配置来临时解决针对该漏洞的攻击。由于可能会影响到业务,建议先测试,具体方法为:
(1)Tomcat:
Tomcat中增加一个新的选项 maxParameterCount,用来限制单个请求中的最大参数量。参数默认值设为 10000,确保既不会对应用程序造成影响。目前已经应用到 Tomcat 7.0.23 和6.0.35版本,可以从官方下载这两个版本临时解决修复此漏洞,早期的版本可以通过限制 maxPostSize 大小为 10KB 左右来临时解决此问题。
(2)Nginx:
默认的最大请求body大小为8m,修改设置client_max_body_size=10k;通过限制用户提交的参数来临时解决此漏洞。

【后续处理】:
1. 请各位开发者参考以上修复办法对相应的版本进行升级修复。由于漏洞属于高危漏洞,且攻击成本较低,请各位用户在两天内完成漏洞的修复。
2. 若业务侧监控到服务器出现异常或受到攻击,请及时通过企业QQ联系运维支持和故障受理值班进行紧急处理。
3. 腾讯安全中心将继续关注该漏洞的情况,及时跟进官方的最新修复情况并通知开发者。

以上信息是否解决您的问题?

Copyright © 1998 - 2017 Tencent. All Rights Reserved.

腾讯公司 版权所有

有问必答 返回顶部