近期,受到美国Dyn遭遇大规模DDoS攻击的事件影响,物联网安全及工控安全的问题又被提上议程。工信部印发《工业控制系统信息安全防护指南》指出,工业控制系统应用企业应从安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理、落实责任十一个方面,做好工控安全防护工作;而全国人大常委会通过不久的《网络安全法》,进一步界定关键信息基础设施范围;对攻击、破坏我国关键信息基础设施的境外组织和个人规定相应的惩治措施。
本期月度安全通告,将相关政策、事件、漏洞、方案、产品服务及相关动态,为您一一解读。报告全文下载见文末
2016.11.21日,NTF’s Network Time Protocol (NTP) 项目发布了 ntp-4.2.8p9 ,这是 ntp-4.2.8p8 发布以来的第一次更新。
2016年11月15日(当地时间),legalhackers.com网站发布了一个关于Nginx服务器本地提权漏洞的通告,该通告所涉及的漏洞编号为CVE-2016-1247。
2016年11月15日(当地时间),Mozilla官方网站发布了一个关于Firefox浏览器的安全通告。通告中公布了27个漏洞,包括3个严重漏洞,12个高危漏洞,10个中危漏洞和2个低危漏洞。
2016年11月10日(当地时间),seclists.org网站发布了一条消息,通告了一个存在于Apache Tika组件中的任意代码执行漏洞,漏洞编号为CVE-2016-6809。
2016年11月8日(当地时间),Adobe官方网站发布了一个关于Adobe Flash Player产品的安全通告。通告中公布了9个漏洞,涉及到的平台包括Windows,Macintosh,Linux以及Chrome OS。利用这些漏洞时需要被攻击目标访问一个恶意页面或打开一个恶意文件。成功利用这些漏洞后,均可以导致远程代码执行。
On October 31, 2016 (local time), Cisco Talos published three integer overflow vulnerabilities with the Memcached server on its official website http://www.talosintelligence.com.
ISC发布BIND9 DoS漏洞CVE-2016-8864,该漏洞出现在db.c 或 resolver.c 模块中,可能导致处理递归请求过程中出现问题,最终导致服务器停止响应。绿盟科技随即发布预警通告,通告将该漏洞定义为中级,这意味着漏洞影响范围可控,危害程度可控,利用难度较高,绿盟科技将实施7*8小时内部应急跟踪,72小时内完成技术分析、产品升级和防护方案。
2016年10月31日(当地时间),思科Talos团队在其官网http://www.talosintelligence.com上公布了三个Memcached服务器的整数溢出漏洞。其中,CVE-2016-8704位于函数process_bin_append_prepend中;CVE-2016-8705位于函数process_bin_update中;CVE-2016-8706位于函数process_bin_sasl_auth中。这三个漏洞都可以导致堆溢出从而允许远程代码执行。
“IPS Community Suite “是一款在国外广泛使用的建站系统。近期被曝出在4.1.12.3版本及以下版本存在代码注入漏洞。这个漏洞通过控制content_class参数提交的请求来注入代码,以至于可以远程执行PHP代码。
OpenSSH contains a memory exhaustion issue during key exchange. An unauthenticated client can increase the memory allocated to each connection on the server to 384 MB, by repeating the KEXINIT process. An attacker can exploit this vulnerability by initiating multiple connections, to exhaust memory resources of the server and therefore lead to a denial of service.