12月第四周安全回顾:双节期间微软忙补新漏洞,新Hash将测试

本文涉及的产品
RDS SQL Server Serverless,2-4RCU 50GB 3个月
推荐场景:
云数据库 RDS SQL Server,独享型 2核4GB
简介:
 
本周(081222至081228)安全业界放假不放松,由于本周恰逢西方的假期季度(圣诞节加新年),安全圈子里值得关注的消息不多,基本仍以攻击和威胁方面的为主。微软SQL数据库爆出安全漏洞,目前尚无补丁但已有如何攻击漏洞的介绍;节日礼物不安全,内藏恶意软件的数码产品威胁消费者;安全技术方面,NIST正在制定的新Hash标准将开始公开测试;在本期回顾的最后,笔者将为大家带来两个值得一读的推荐阅读文章。
本周的信息安全威胁等级为低。
 
漏洞攻击:微软SQL数据库新安全漏洞威胁巨大;关注指数:高
 
对微软来说,2008年的年末显然是一个非常忙碌的时刻,前两周微软才匆忙的为威胁巨大的IE7漏洞推出紧急安全补丁,本周就又有安全研究人员爆出微软另外一个主要产品——SQL Server数据库服务器中存在的严重安全漏洞。根据12月23日Securityfocus.com的消息,来自安全厂商SEC consult Vulnerability Labs的研究人员Bernhard Mueller发布一份报告称,在微软的SQL Server数据库服务器产品中存在一个致命的安全漏洞,黑客可以通过攻击SQL Server中存在数据处理缺陷的'sp_replwritetovarbin'存储过程,在用户的系统上以SQL Server的权限执行系统命令,并严重威胁所有使用SQL Server作为动态页面数据的网站,和利用SQL Server提供数据库服务的其他应用系统的安全。根据12月23日Darkreading.com的消息,微软已经在自己的官方站点上发布针对该漏洞的紧急安全公告,确认该漏洞将会影响除微软最新的SQL Server 2008之外的所有SQL Server版本。目前微软仍未推出针对该安全漏洞的补丁,但微软和安全厂商已经就用户如何防御针对该漏洞的攻击提供了一些过渡解决方案,用户可先禁用SQL Server服务器的远程连接功能,或通过部署应用程序防火墙等措施,防御黑客借助SQL注入技术实施针对上述漏洞的攻击。
该安全漏洞的公开过程,也再次暴露出安全行业和软件厂商之间缺乏足够的沟通,该漏洞的发现者称,早在四月份就已经通知微软有关SQL Server存在该安全漏洞,并提供了详细的漏洞信息,但微软一直不闻不问,因此漏洞发现者才将该漏洞的详细信息和攻击方式发布到互联网上。但安全行业也普遍质疑该漏洞发现者的行为,并认为其在该漏洞未提供补丁程序前就公开漏洞细节是相当不道德的行为,对此笔者也深以为然,毕竟未修补的漏洞及其细节一旦公开到互联网上,对用户造成的威胁和损失是难以估算的。笔者建议,SQL Server用户应关注微软对该漏洞处理的最新进展,在目前尚未有补丁程序的情况下,建议通过更新防火墙规则,删除'sp_replwritetovarbin'存储过程、修正Web应用程序代码等方式,尽可能的降低乃至消除该漏洞对Web网站和系统的威胁和影响。
 
恶意软件:节日礼物不安全,内藏恶意软件的数码产品威胁消费者;关注指数:高
近两年来,刚出厂的消费类数码产品包含恶意软件已经不算是很新的新闻,不过这次事件的主角是知名的电子厂商三星倒是第一次了。根据12月24日Securityfocus.com的消息,不少用户都反映,他们早些时候从Amazon购买的三星数码相框,都包含了一个名为Win32.Salty的恶意软件,该恶意软件在六个多月前就能被市面上流行的反病毒软件所查杀。三星电子在本月曾就其数码相框产品感染恶意软件发表过一个安全公告,建议用户先使用反病毒软件清除数码相框上的恶意软件,再重新安装更新版本的数码相框管理软件。该事件再次暴露出消费类数码产品在销售前仍缺乏有效的数据安全检测,因为早在一年多前,安全专家就曾发表过安全警告,称带有存储功能的消费类数码产品有可能成为恶意软件传播源,而美国销售商Best Buy(百思买)也曾因为这个原因,今年1月将其销售的某型号数码相框撤下货架。而对消费者来说,如果节假日里收到带有内置存储器的三星数码相框或者别的类似产品,在使用前最好还是先用反病毒软件来检查下内存中的文件是否安全,要不藏有恶意软件之类的“意外惊喜”就不好了。
 
安全技术:新的Hash标准将进行公开测试;关注指数:中
Hash技术是一种通过一定的加密算法,将用户或系统的明文数据转化成加密数据的技术,它和常见的加密算法不同的地方在于,Hash加密是单向的,只能将明文转化为密文,而不能将密文再次转换成明文。因此,Hash算法常用于保存密码、校验值等需要防止破解的敏感信息,目前最为常用的是MD5和SHA算法,而这两种算法的早期版本MD4和SHA-1,都存在着容易被破解的缺陷。为了寻找下一代更安全的Hash算法,标准制定者美国技术标准学会(NIST)正准备举行一次大规模的测试,根据12月22日Securityfocus.com的消息,NIST即将举行的针对Hash算法的大规模公开测试中,将采用接近实战攻击的方法来找出可以取代当前Hash算法的替代标准,本次测试将组建51个不同的测试组,并对待选的标准进行攻击尝试和效能评估,最终没有被攻破的候选者就是获胜者。不过NIST也表示,因为当前使用的SHA-2标准仍没有可实现的攻击方法,NIST也并不急于选择一个SHA-2 Hash标准的替代品。对Hash算法设计和攻击方法有兴趣的朋友,可以到NIST针对此次活动开设的网站去了解一下,网址如下:

[url]http://csrc.nist.gov/groups/ST/hash/sha-3/Round1/submissions_rnd1.html[/url]
 
推荐阅读:
1) 2008年信息安全领域的6个关键词;推荐指数:高
接近年底,总结关键词成为互联网上对2008年进行评价的最流行形式,安全业界当然也不能例外。Darkreading.com文章《2008年信息安全领域的6个关键词》,就总结了2008年最具代表性的6个关键词及其幕后事件,推荐朋友们阅读一下。文章地址如下:
[url]http://www.darkreading.com/security/management/showArticle.jhtml?articleID=212501928&subSection=Security+administration/management[/url]
2) 如何在兼并收购中保护敏感数据?推荐指数:高
兼并收购成为众多企业度过本次经济危机的无奈选择,但兼并收购过程中的业务整合,往往成为敏感数据泄漏事件高发的威胁阶段,如何保护敏感数据就成为兼并收购顺利进行的关键。eWeek.com文章《如何在兼并收购中保护敏感数据》对此进行了详细的讨论,推荐相关领域的朋友们了解一下。
文章的地址如下:









本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/123980,如需转载请自行联系原作者

相关实践学习
使用SQL语句管理索引
本次实验主要介绍如何在RDS-SQLServer数据库中,使用SQL语句管理索引。
SQL Server on Linux入门教程
SQL Server数据库一直只提供Windows下的版本。2016年微软宣布推出可运行在Linux系统下的SQL Server数据库,该版本目前还是早期预览版本。本课程主要介绍SQLServer On Linux的基本知识。 相关的阿里云产品:云数据库RDS SQL Server版 RDS SQL Server不仅拥有高可用架构和任意时间点的数据恢复功能,强力支撑各种企业应用,同时也包含了微软的License费用,减少额外支出。 了解产品详情: https://www.aliyun.com/product/rds/sqlserver
相关文章
|
2月前
|
安全
DC电源模块的安全性能评估与测试方法
DC电源模块的安全性能评估与测试方法 DC电源模块的安全性能评估与测试方法应包括以下几个方面: 1. 输入安全性测试:包括输入电压范围、输入电压稳定性、输入电流范围、输入电流保护等方面的测试。测试方法可以是逐步增加输入电压或输入电流,观察模块的工作状态和保护功能。
DC电源模块的安全性能评估与测试方法
|
2月前
|
安全 测试技术
BOSHIDA DC电源模块的安全性能评估与测试方法
BOSHIDA DC电源模块的安全性能评估与测试方法
 BOSHIDA DC电源模块的安全性能评估与测试方法
|
2月前
|
机器学习/深度学习 人工智能 安全
中国信通院联合金橙果科技等十七家单位发起人工智能大模型安全基准测试
2024年2月20日下午,AIIA“SafetyAI Bench”(人工智能大模型安全基准测试)线上研讨会成功举办。来自中国信息通信研究院(以下简称“中国信通院”)、厦门大学、北京大学、北京交通大学、360、百度、蚂蚁集团、VIVO、西门​子、小鹏汽车、马上消费、浪潮科技、海信视像、交通银行、商汤科技、邮储银行、普华永道、科大讯飞、金橙果科技、万商天勤律所、中兴通讯、博特智能、开源网安、云天励飞等单位40余位科研机构专家及企业代表参加了本次会议。
|
8天前
|
Shell Python
`pytest-httpserver`是一个pytest插件,它允许你在测试期间启动一个轻量级的HTTP服务器,并模拟HTTP请求和响应。
`pytest-httpserver`是一个pytest插件,它允许你在测试期间启动一个轻量级的HTTP服务器,并模拟HTTP请求和响应。
|
1月前
|
SQL 安全 Java
探索软件测试的多维策略:从单元到集成,再到性能与安全
在软件开发过程中,测试是确保产品质量和用户满意度的关键步骤。本文将深入探讨软件测试的多维策略,包括单元测试、集成测试、性能测试和安全测试。我们将分析每种测试方法的优势和局限性,并讨论如何将这些策略整合到一个全面的测试计划中,以提高软件的可靠性和安全性。文章还将提供实用的例子和最佳实践,帮助读者更好地理解和应用这些测试技术。
|
1月前
|
安全 Java
如何测试map对象的线程不安全
【6月更文挑战第20天】如何测试map对象的线程不安全
17 0
|
2月前
|
Web App开发 缓存 前端开发
《手把手教你》系列技巧篇(四十四)-java+ selenium自动化测试-处理https 安全问题或者非信任站点-下篇(详解教程)
【5月更文挑战第8天】这篇文档介绍了如何在IE、Chrome和Firefox浏览器中处理不信任证书的问题。作者北京-宏哥分享了如何通过编程方式跳过浏览器的证书警告,直接访问不受信任的HTTPS网站。文章分为几个部分,首先简要介绍了问题背景,然后详细讲解了在Chrome浏览器中的两种方法,包括代码设计和运行效果,并给出了其他浏览器的相关信息和参考资料。最后,作者总结了处理此类问题的一些通用技巧。
46 2
|
2月前
|
传感器 监控 安全
LabVIEW开发汽车安全带张紧测试
LabVIEW开发汽车安全带张紧测试
45 3
|
2月前
|
安全 数据管理 测试技术
网络安全与信息安全:防范漏洞、加强加密与提升安全意识深入探索自动化测试框架的设计原则与实践应用化测试解决方案。文章不仅涵盖了框架选择的标准,还详细阐述了如何根据项目需求定制测试流程,以及如何利用持续集成工具实现测试的自动触发和结果反馈。最后,文中还将讨论测试数据管理、测试用例优化及团队协作等关键问题,为读者提供全面的自动化测试框架设计与实施指南。
【5月更文挑战第27天】 在数字化时代,网络安全与信息安全已成为维护国家安全、企业利益和个人隐私的重要环节。本文旨在分享关于网络安全漏洞的识别与防范、加密技术的应用以及提升安全意识的重要性。通过对这些方面的深入探讨,我们希望能为读者提供一些实用的建议和策略,以应对日益严峻的网络安全挑战。 【5月更文挑战第27天】 在软件开发周期中,自动化测试作为保障软件质量的关键步骤,其重要性日益凸显。本文旨在剖析自动化测试框架设计的核心原则,并结合具体案例探讨其在实际应用中的执行策略。通过对比分析不同测试框架的优缺点,我们提出一套高效、可扩展且易于维护的自动
|
2月前
|
存储 安全 Cloud Native
安全利器!龙蜥推出机密计算远程证明服务—OAAS 诚邀广大用户测试
服务化的远程证明服务中心 OAAS具有极高的安全性和灵活性,并在内部实现了策略引擎,旨在为使用可信执行环境 (TEE) 的用户提供一个安全高效的远程证明免部署解决方案,满足在各类机密计算应用场景下的核心信任需求。