最新安全漏洞及修复
更新时间:2024.11.131. phpmyadmin非官方版本被添加web后门漏洞
【漏洞发现时间】: 2012年09月
【攻击原理】: phpmyadmin的官方分站被黑客攻击并在源代码包中增加了web后门,黑客可以通过连接该后门直接获取用户网站的管理权限,进一步攻击服务器甚至渗透内网。
【检测方法】:通过计算文件的hash值是否与官方网站提供的hash一致来判断。
Phpmyadmin3.5.2.2的官方下载文件hash值列表参考: http://www.phpmyadmin.net/home_page/downloads.php
【更多注意事项】:类似的开源项目被篡改的风险一直存在,请大家在使用时从注意官方网站下载并核对文件的hash值,确保安全。
需了解更多安全方面的信息可访问:
网站: http://security.tencent.com/
2. 构造Hash冲突实现各种语言的拒绝服务攻击漏洞
【漏洞发现时间】: 2011年12月
【攻击原理】: 许多开发商的应用程序中使用了hash来存储key-value数据,包括常用的来自用户的POST数据,攻击者可以通过构造请求头,并伴随POST大量的特殊的”key”值(根据每个语言的Hash算法不同而定制), 使得语言底层保存POST数据的Hash表因为”冲突”而退化成链表。
如果数据量足够大,会使得应用程序在计算、查找、插入数据时,占用大量CPU,从而实现拒绝服务攻击。
【被攻击的现象】: 服务器会进行大量的查表运算,表现为请求无响应,或服务器卡死,CPU占用100%等。
【漏洞影响】:以下是受影响的软件版本详细情况:
开发语言 | 版本 |
Java | 所有版本 |
JRuby | <=1.6.5 |
PHP | <= 5.3.8, <= 5.4.0RC3 |
Python | 所有版本 |
Rubinius | 所有版本 |
Ruby | <= 1.8.7-p356 |
Apache Geronimo | 所有版本 |
Apache Tomcat | <= 5.5.34, <= 6.0.34, <= 7.0.22 |
Oracle Glassfish | <= 3.1.1 |
Jetty | 所有版本 |
Plone | 所有版本 |
Rack | 所有版本 |
V8 JavaScript Engine | 所有版本 |
【解决方案】:
进行软件升级,(但是需注意升级可能会导致应用业务异常,请升级前进行测试,谨慎升级)。
下面是各软件的补丁包说明:
目前php已经针对该漏洞推出了新版本5.3.9及相应的补丁程序,建议受影响的版本升级到最新版5.3.9,或通过安装补丁修复此漏洞。
补丁的下载地址为:
https://github.com/laruence/laruence.github.com/tree/master/php-5.2-max-input-vars
2.微软.NET官方发布了针对该漏洞的补丁程序,补丁的下载地址为:
http://technet.microsoft.com/en-us/security/bulletin/ms11-100。
3.其他语言官方暂未发布补丁程序,可以通过修改Web Server的配置来临时解决针对该漏洞的攻击。由于可能会影响到业务,建议先测试,具体方法为:
(1)Tomcat:
Tomcat中增加一个新的选项 maxParameterCount,用来限制单个请求中的最大参数量。参数默认值设为 10000,确保既不会对应用程序造成影响。目前已经应用到 Tomcat 7.0.23 和6.0.35版本,可以从官方下载这两个版本临时解决修复此漏洞,早期的版本可以通过限制 maxPostSize 大小为 10KB 左右来临时解决此问题。
(2)Nginx:
默认的最大请求body大小为8m,修改设置client_max_body_size=10k;通过限制用户提交的参数来临时解决此漏洞。
【后续处理】:
请各位开发者参考以上修复办法对相应的版本进行升级修复。由于漏洞属于高危漏洞,且攻击成本较低,请各位用户在两天内完成漏洞的修复。
腾讯安全中心将继续关注该漏洞的情况,及时跟进官方的最新修复情况并通知开发者。