microsoft

近期bash软件曝出一个远程利用漏洞,漏洞会影响大多数linxu系统和类unix系统,并且可以通过与bash有交互的应用服务程序进行攻击,导致此漏洞的风险级别可能要远高于之前出现的openssl的心脏滴血漏洞

9月教育网整体运行平稳,未发现严重的安全事件由于目前还无法确定到底有多少种应用会与系统中的bash交互,所以这个漏洞的带来的风险威胁将持续很长一段时间,需要系统管理员长时间的关注

对于unbunt、debian请使用如下命令:

对于那些使用了linux内核作为操作系统的网络设备或是其他设备也可能受到漏洞的影响,但是这类系统升级相对困难,需要联系相应的厂商来进行处理

微软 9月的安全公告共4个,其中1个为脑出血病人能吃什么严重等级,3个为重要等级这些公告共修补了包括windows系统、ie浏览器、lyncserver及.net framework中的42个漏洞其中ie浏览器中的一个漏洞(cve-2013-7331)属于0day且已被公开利用的漏洞,用户应该尽快安装相应的补丁程序,上述漏洞同样影响winxp系统中的ie浏览器,不过由于微软已经停止对winxp的支持,所以还在使用winxp系统的用户需要从其他第三方那获取修补方式微软公告的详细信息请参见:https://technet.microsoft.com/zh-cn/library/security/ms14-sep

9月需要特别关注的是bash软件的代码执行漏洞(cve-2014-6271、cve-2014-7169),gnu脑出血病人护理常规 bash是linux系统上使用最为广泛的shell命令终端解析器4.3 bash43-025(包含此版本)之前版本的bash程序在处理环境变量的函数中存在漏洞,允许攻击者使用畸形的参数来执行任意系统命令要想测试系统中的bash是否存在漏洞,管理员可以在系统中输入如下命令:

sudo apt-get update && sudo apt-get install --only-upgrade bash

(作者单位为中国教育和科研计算机网应急响应组)

特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性如转载稿涉及版权等问题,请作者在两周内脑出血后遗症的康复速来电或来函联系

分析9月新增的138个网站漏洞攻击的投诉发现,排名前三的是sql注入漏洞(占比44%)、权限控制漏洞(占比18%)、弱口令漏洞(占比14%)数据说明这些漏洞多数还是开发之初没有考虑安全因素造成,而后期管理时安全意识薄弱则是导致弱口令存在的原因近期没有新增特别需要关注的木马病毒

vulnerable

近期新增严重漏洞评述:

adobe公司9月发布了2个例行安全公告,其中一个是针对flash player软件,用于修补该软件中的12个安全漏洞,另一个则是针对adobe acrobat/reader软件的,公告修补了该软件中的8个安全漏洞adobe相关的公告详细信息请参见:flash:http://helpx.adobe.com/sec脑出血前兆urity/products/flash-player/apsb14-21.html,acrobat/reader:http://helpx.adobe.com/security/products/reader/apsb14-20.html

如果运行结果显示如下,则表示bash存在漏洞:

yum ?y update bash

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

9月25日时,厂商发布过一版修补补丁,但是随后发现这版补丁并不能有效地修补该漏洞,造成这个漏洞有两个cve编号(实际上对应一个漏洞)目前各linux厂商已经针对该漏洞发布了有效的补丁脑出血的治疗方法程序,管理员可以利用各系统自动更新功能来升级系统bash程序

对于redhat、centos请使用如下命令:

this is a test

白殿疯用醋

转载请注明：http://www.sdnzn.com/ncxhl/585.html