当前位置:首页  网络服务  病毒报警
第五周安全通告
发布人:系统管理员  发布时间:2015-03-30   浏览次数:9


1   总体情况

1.1 本周漏洞情况

本周统计CVE漏洞64个,其中高危漏洞19个,中危漏洞39个,低危漏洞6个。漏洞数与前一周环比下降42.9%,与去年同期同比下降28.1%

本周主要记录了OpenSSL 0.9.8zf之前的版本、1.0.0r之前的 1.0.0版本、1.0.1m 之前的 1.0.1版本、1.0.2 之前的 1.0.2a 版本存在的多个漏洞,其类型主要包括拒绝服务、蛮力攻击、释放后重用;以及IBM企业多个产品存在的多个漏洞,其类型主要包括root权限获取漏洞、任意程序实行、拒绝服务等、还记录了思科企业的多个产品存在的多个漏洞,其类型主要包括信息泄露、跨站点脚本、缓冲区溢出、拒绝服务等。

另外也跟踪记录了Mozilla Firefox 36.0.3 版本之前存在的两个高危漏洞;另外还继续跟踪记录了wordpressFortinetX.orgSolarWindsTcpdump等多家企业的多个产品的漏洞;

欲了解更加详细信息请跟阿尔法实验室联系。电话:82776690,电邮:ad_dep@topsec.com.cn;

1.2   本周恶意域名与地址跟踪情况

本次统计期恶意地址数量出现的大幅的向下波动创出本年度的新低,而这种大起大落的走势的背后的原因不明。大家还需要密切继续关注这些恶意地址变化情况;

在本统计期的大陆和海外的单个IP地址对应的恶意域名数量排名列表中,前十位的排名均出现了变化,大家将继续跟踪观察这种新的状态的稳定情况。

在本统计期的大陆的恶意地址数量地理分布排名列表中,广东、北京、浙江、江苏、河南位居前五,跟前一周相比位置没有变化;

在本统计期的海外的恶意地址数量地理分布排名列表中,美国、香港、荷兰、韩国、德国位居前五,跟前一周相比香港和荷兰互换位置;

详情参见“恶意域名与地址跟踪”

1.3  下周安全预警等级

2   安全漏洞

2.1  漏洞统计

本周统计CVE漏洞64个,其中高危漏洞19个,中危漏洞39个,低危漏洞6个。漏洞数与前一周环比下降42.9%,与去年同期同比下降28.1%

最近四周漏洞数量示意图:

/_upload/article/images/ba/e7/449dd30e454f8d1c41fc698f6a4b/ec6dba0a-8800-4520-a91c-ae0ba087b6f6.jpg

2.2  漏洞预警

2.2.1  OpenSSL 释放后重用漏洞

标题

OpenSSL 释放后重用漏洞

发布日期

2015/3/19

更新日期

2015/3/19

危险等级

高危

受影响系统

OpenSSL 0.9.8zf之前的版本、1.0.0r之前的 1.0.0版本、1.0.1m 之前的 1.0.1版本、1.0.2 之前的 1.0.2a 版本

详情描述

CVE编号:  CVE-2015-0209
   Bugraq ID

      OpenSSL
是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。OpenSSL 0.9.8zf, 之前的版本 1.0.0r, 之前的 1.0.0版本 1.0.1m,1.0.2 之前的 1.0.2a 之前的 1.0.1版本版本   存在释放后重用漏洞,允许远程攻击者通过导入过程中处理不当的格式不正确的椭圆曲线的专用密钥文件导致拒绝服务或可能有未指定的其他影响。
以下是原始漏洞信息链接
   https://git.openssl.org/gitweb/?p=openssl.git;a=commit;

h=1b4a8df38fc9ab3c089ca5765075ee53ec5bd66a

  

解决方案

厂商补丁
   OpenSSL
   ---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:https://git.openssl.org/gitweb/?p=openssl.git;a=commit;

h=1b4a8df38fc9ab3c089ca5765075ee53ec5bd66a

2.2.2   IBM General Parallel File System 任意程序实行漏洞

标题

IBM General Parallel File System 任意程序实行漏洞

发布日期

2015/3/23

更新日期

2015/3/23

危险等级

高危

受影响系统

IBM General Parallel File System   3.4.0.32, 之前的 3.4版本 ,  4.1.0.7 之前的4.1版本, 3.5.0.24之前的 3.5版本

详情描述

CVE编号:  CVE-2015-0198
   Bugraq ID

      IBM General Parallel File SystemIBM General Parallel File System
GPFS)是美国IBM企业的一套专为PB级存储管理而优化的可伸缩、高度可用、高性能的企业文件管理系统。IBM General Parallel File System 3.4.0.32, 之前的 3.4版本 ,  4.1.0.7 之前的4.1版本, 3.5.0.24之前的 3.5版本均存在任意程序实行漏洞,允许远程攻击者通过未指定向量绕过身份验证和实行任意程序。
以下是原始漏洞信息链接
   http://www-01.ibm.com/support/docview.wss?uid=isg3T1022062

  

解决方案

  

厂商补丁
   IBM
   ---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://www-01.ibm.com/support/docview.wss?uid=isg3T1022062

  

2.2.3   IBM Rational ClearCase 信息泄露漏洞

标题

IBM Rational ClearCase 信息泄露漏洞

发布日期

2015/3/24

更新日期

2015/3/24

危险等级

高危

受影响系统

IBM Rational ClearCase 8.0.0.14 之前的 8.0.0版本, 8.0.1.7 之前的 8.0.1版本

详情描述

CVE编号:  CVE-2014-6134
   Bugraq ID

      IBM Rational ClearCase
是美国IBM企业的一套App配置管理解决方案。该方案可提供版本控制、工作空间管理、并行开发支撑和构建审计等功能。IBM Rational ClearCase 8.0.0.14 之前的 8.0.0版本 8.0.1.7 之前的 8.0.1版本   存在信息泄露漏洞,允许本地用户通过利用访问安装帐户获取敏感信息。
以下是原始漏洞信息链接
   http://www-01.ibm.com/support/docview.wss?uid=swg21688450

  

解决方案

  

厂商补丁
   IBM
   ---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://www-01.ibm.com/support/docview.wss?uid=swg21688450

2.2.4  Mozilla Firefox 任意 JavaScript 代码实行漏洞

标题

Mozilla Firefox 任意 JavaScript 代码实行漏洞

发布日期

2015/3/23

更新日期

2015/3/23

危险等级

高危

受影响系统

Mozilla Firefox 36.0.4,之前的版本, Firefox ESR   31.5.3 之前的 31.x版本,SeaMonkey   2.33.1之前的版本

详情描述

CVE编号:  CVE-2015-0818
   Bugraq ID

      Mozilla Firefox
是由Mozilla基金会与开源团体共同开发的网页浏览器。Mozilla Firefox 36.0.4,之前的版本, Firefox   ESR 31.5.3 之前的 31.x版本,SeaMonkey 2.33.1之前的版本存在任意 JavaScript 代码实行漏洞,允许远程攻击者通过 SVG 哈希导航通过同源策略并实行任意 JavaScript 代码与 chrome 特权。
以下是原始漏洞信息链接
   http://www.mozilla.org/security/announce/

2015/mfsa2015-28.html

  

解决方案

  

厂商补丁
   Mozilla
   ---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://www.mozilla.org/security/announce/

2015/mfsa2015-28.html

2.2.5  Mozilla Firefox 任意代码实行漏洞

标题

Mozilla Firefox 任意代码实行漏洞

发布日期

2015/3/23

更新日期

2015/3/23

危险等级

高危

受影响系统

Mozilla Firefox 36.0.3之前的版本,Firefox ESR 31.5.2之前的31.5版本, SeaMonkey 之前的 2.33.1 之前的版本

详情描述

CVE编号:  CVE-2015-0817
   Bugraq ID

      Mozilla Firefox
是由Mozilla基金会与开源团体共同开发的网页浏览器。Mozilla Firefox 36.0.3之前的版本,Firefox ESR   31.5.2之前的31.5版本, SeaMonkey 之前的 2.33.1 之前的版本存在任意代码实行漏洞,允许远程攻击者读取或写入通过精心编制的 JavaScript读或写意料之外的内存位置,并因此实行任意代码,。
以下是原始漏洞信息链接
   http://www.mozilla.org/security/announce

/2015/mfsa2015-29.html

  

解决方案

  

厂商补丁
   Mozilla
   ---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://www.mozilla.org/security/announce

/2015/mfsa2015-29.html

3  恶意域名与地址跟踪

3.1 总体情况

本期从国家权威部门获取的恶意域名数是17个,同时重新整理前期输入的恶意域名,将长期不再有效的恶意域名剔除,得出目前最新的恶意域名数是12642个,将这些域名进行例行的IP地址解析,本周的验证结果如下:

?   根据分析单个IP地址对应的恶意域名数量前10位列表的结果,大陆和海外的地址列表排名出现了变化,保持了两周平衡被打破,大家将继续观察这种新的状态的稳定情况。

在本统计期的大陆的恶意地址数量地理分布排名列表中,广东、北京、浙江、江苏、河南位居前五,跟前一周相比位置没有变化;

在本统计期的海外的恶意地址数量地理分布排名列表中,美国、香港、荷兰、韩国、德国位居前五,跟前一周相比香港和荷兰互换位置;

?   本期全部有效地址数量是1574个,其中海外有效地址数量是1019个,大陆有效地址数量是555个,全部有效地址较上周相比减少1310个,降幅达到为45.42%;海外地址和大陆地址数量较上周均出现了大幅下降,创出年内新低!

?   本次统计期恶意地址数量出现的大幅的向下波动创出本年度的新低,而这种大起大落的走势的背后的原因不明!大家还需要密切继续关注这些恶意地址变化情况。以下是本统计期的数量趋势图。

/_upload/article/images/ba/e7/449dd30e454f8d1c41fc698f6a4b/55c60348-a4c2-47a6-9bdc-02f45337c020.jpg

3.2  单个IP地址对应的恶意域名数量前10位分析

3.2.1 涉及到大陆的单个IP地址对应的恶意域名数量前10 位分析

大家看到跟前一周的记录相比,前10位的地址出现了变化,广东省深圳市电信的一个地址219.134.132.88和浙江省电信的一个地址183.136.235.15消失,而新增了上海移动的221.130.179.36和北京市联通的111.206.120.34

对于北京市联通的111.206.120.34,大家发现它对应的恶意域名对跟前期的北京的万网志成科技有限企业的112.124.19.114对应的恶意域名对类似,例如 [XXXX].0519mr.net [XXXX].bjsyedu.cnxasobe.mingyuanjiafang.com等,这标志着以北京的万网志成科技有限企业的112.124.19.114涉及大量恶意域名的为起头的恶意域名爆发事件,正在继续发展,出现了新的变化。

目前在大陆的单个IP地址对应的恶意域名数量前10 位列表中,跟[XXXX].0519mr.net [XXXX].bjsyedu.cnxasobe.mingyuanjiafang.com等恶意域名有关的地址达到4个。

以下是大陆单个IP地址对应的恶意域名数量前10位地址列表,黄色标记代表跟最新的恶意域名爆发事件有关的地址:

IP地址

位置

是否属于大陆

域名数量

连续存活周期

112.124.19.114

北京市 万网志成科技有限企业

TRUE

1836

9

111.177.111.83

湖北省襄阳市 电信

TRUE

1474

26

60.221.255.11

山西省吕梁地区 联通

TRUE

1438

26

60.221.255.10

山西省吕梁地区 联通

TRUE

985

7

119.28.48.237

Tencent云服务器

TRUE

968

4

119.28.48.238

Tencent云服务器

TRUE

901

4

219.150.241.46

河南省南阳市 电信

TRUE

203

70

118.184.176.13

广西

TRUE

196

18

221.130.179.36

上海市 移动

TRUE

92

115

111.206.120.34

北京市 联通

TRUE

90

28

  

3.2.2  涉及到海外的单个IP地址对应的恶意域名数量前10位分析

大家看到跟前一周的记录相比,海外前10位地址列表出现一个变化,香港的地址103.232.215.133消失,而新增出现了一个美国的地址69.46.84.51

以下是本周海外单个IP地址对应的恶意域名数量前10位地址列表:

IP地址

位置

是否属于大陆

域名数量

连续存活周期

88.198.132.3

德国

FALSE

269

80

54.235.159.97

美国 新泽西州Merck企业

FALSE

125

12

67.208.74.71

美国

FALSE

112

181

216.38.62.18

美国

FALSE

68

152

5.135.146.24

法国

FALSE

61

90

5.135.149.81

法国

FALSE

61

82

208.91.197.132

美国

FALSE

53

4

199.2.137.201

美国

FALSE

42

82

69.46.84.51

美国

FALSE

41

23

112.175.243.12

韩国

FALSE

40

11

  

3.3  大陆和海外的恶意地址地理分布情况

3.3.1  大陆恶意地址地理分布情况

在本周大陆的恶意地址地理分布排名列表中,广东、北京、浙江、江苏、河南位居前五,位置没有变化;第六到第十的排名江西和河北互换位置。以下是排名前十的具体的数字:

地区

广东

北京

江苏

浙江

河南

山东

湖南

上海

江西

河北

数量

69

68

65

49

35

30

23

20

20

17

以下是分布示意图:

/_upload/article/images/ba/e7/449dd30e454f8d1c41fc698f6a4b/e506dd88-fb64-4985-9c23-163b887d1081.jpg

3.3.2  海外恶意地址地理分布情况

在本周海外恶意地址地理分布排名列表中,美国、香港、荷兰、韩国、德国位居前五,香港和荷兰互换位置;英国和加拿大的排名相对靠前,没有出现新的地址。

以下是排名前十的具体的数字:

地区

美国

香港

荷兰

韩国

德国

英国

加拿大

法国

巴西

俄罗斯

数量

516

119

93

83

32

18

16

11

10

10

以下是分布示意图:

/_upload/article/images/ba/e7/449dd30e454f8d1c41fc698f6a4b/d3281ac6-7122-43f9-b0de-b1b2fcfcffbd.jpg

  


网络服务
XML 地图 | Sitemap 地图