最新安全漏洞及修复

更新时间:2024.11.13

1. phpmyadmin非官方版本被添加web后门漏洞

【漏洞发现时间】: 2012年09月 

【攻击原理】: phpmyadmin的官方分站被黑客攻击并在源代码包中增加了web后门,黑客可以通过连接该后门直接获取用户网站的管理权限,进一步攻击服务器甚至渗透内网。 

【检测方法】:通过计算文件的hash值是否与官方网站提供的hash一致来判断。
Phpmyadmin3.5.2.2的官方下载文件hash值列表参考: http://www.phpmyadmin.net/home_page/downloads.php 

【更多注意事项】:类似的开源项目被篡改的风险一直存在,请大家在使用时从注意官方网站下载并核对文件的hash值,确保安全。 

需了解更多安全方面的信息可访问:
网站: http://security.tencent.com/

 

2. 构造Hash冲突实现各种语言的拒绝服务攻击漏洞

【漏洞发现时间】: 2011年12月 

【攻击原理】: 许多开发商的应用程序中使用了hash来存储key-value数据,包括常用的来自用户的POST数据,攻击者可以通过构造请求头,并伴随POST大量的特殊的”key”值(根据每个语言的Hash算法不同而定制), 使得语言底层保存POST数据的Hash表因为”冲突”而退化成链表。
如果数据量足够大,会使得应用程序在计算、查找、插入数据时,占用大量CPU,从而实现拒绝服务攻击。 

【被攻击的现象】: 服务器会进行大量的查表运算,表现为请求无响应,或服务器卡死,CPU占用100%等。 

【漏洞影响】:以下是受影响的软件版本详细情况:

开发语言

版本

Java

所有版本

JRuby

<=1.6.5

PHP

<= 5.3.8, <= 5.4.0RC3

Python

所有版本

Rubinius

所有版本

Ruby

<= 1.8.7-p356

Apache Geronimo

所有版本

Apache Tomcat

<= 5.5.34, <= 6.0.34, <= 7.0.22

Oracle Glassfish

<= 3.1.1

Jetty

所有版本

Plone

所有版本

Rack

所有版本

V8 JavaScript Engine

所有版本

 

【解决方案】:
进行软件升级,(但是需注意升级可能会导致应用业务异常,请升级前进行测试,谨慎升级)。
下面是各软件的补丁包说明:

  1. 目前php已经针对该漏洞推出了新版本5.3.9及相应的补丁程序,建议受影响的版本升级到最新版5.3.9,或通过安装补丁修复此漏洞。

补丁的下载地址为:
https://github.com/laruence/laruence.github.com/tree/master/php-5.2-max-input-vars 

2.微软.NET官方发布了针对该漏洞的补丁程序,补丁的下载地址为:

http://technet.microsoft.com/en-us/security/bulletin/ms11-100。 

3.其他语言官方暂未发布补丁程序,可以通过修改Web Server的配置来临时解决针对该漏洞的攻击。由于可能会影响到业务,建议先测试,具体方法为:

(1)Tomcat:
Tomcat中增加一个新的选项 maxParameterCount,用来限制单个请求中的最大参数量。参数默认值设为 10000,确保既不会对应用程序造成影响。目前已经应用到 Tomcat 7.0.23 和6.0.35版本,可以从官方下载这两个版本临时解决修复此漏洞,早期的版本可以通过限制 maxPostSize 大小为 10KB 左右来临时解决此问题。 
(2)Nginx:
默认的最大请求body大小为8m,修改设置client_max_body_size=10k;通过限制用户提交的参数来临时解决此漏洞。 

【后续处理】:

  1. 请各位开发者参考以上修复办法对相应的版本进行升级修复。由于漏洞属于高危漏洞,且攻击成本较低,请各位用户在两天内完成漏洞的修复。 

  2. 腾讯安全中心将继续关注该漏洞的情况,及时跟进官方的最新修复情况并通知开发者。