12月第四周安全回顾:双节期间微软忙补新漏洞,新Hash将测试

本文涉及的产品
RDS SQL Server Serverless,2-4RCU 50GB 3个月
推荐场景:
云数据库 RDS SQL Server,基础系列 2核4GB
简介:
 
本周(081222至081228)安全业界放假不放松,由于本周恰逢西方的假期季度(圣诞节加新年),安全圈子里值得关注的消息不多,基本仍以攻击和威胁方面的为主。微软SQL数据库爆出安全漏洞,目前尚无补丁但已有如何攻击漏洞的介绍;节日礼物不安全,内藏恶意软件的数码产品威胁消费者;安全技术方面,NIST正在制定的新Hash标准将开始公开测试;在本期回顾的最后,笔者将为大家带来两个值得一读的推荐阅读文章。
本周的信息安全威胁等级为低。
 
漏洞攻击:微软SQL数据库新安全漏洞威胁巨大;关注指数:高
 
对微软来说,2008年的年末显然是一个非常忙碌的时刻,前两周微软才匆忙的为威胁巨大的IE7漏洞推出紧急安全补丁,本周就又有安全研究人员爆出微软另外一个主要产品——SQL Server数据库服务器中存在的严重安全漏洞。根据12月23日Securityfocus.com的消息,来自安全厂商SEC consult Vulnerability Labs的研究人员Bernhard Mueller发布一份报告称,在微软的SQL Server数据库服务器产品中存在一个致命的安全漏洞,黑客可以通过攻击SQL Server中存在数据处理缺陷的'sp_replwritetovarbin'存储过程,在用户的系统上以SQL Server的权限执行系统命令,并严重威胁所有使用SQL Server作为动态页面数据的网站,和利用SQL Server提供数据库服务的其他应用系统的安全。根据12月23日Darkreading.com的消息,微软已经在自己的官方站点上发布针对该漏洞的紧急安全公告,确认该漏洞将会影响除微软最新的SQL Server 2008之外的所有SQL Server版本。目前微软仍未推出针对该安全漏洞的补丁,但微软和安全厂商已经就用户如何防御针对该漏洞的攻击提供了一些过渡解决方案,用户可先禁用SQL Server服务器的远程连接功能,或通过部署应用程序防火墙等措施,防御黑客借助SQL注入技术实施针对上述漏洞的攻击。
该安全漏洞的公开过程,也再次暴露出安全行业和软件厂商之间缺乏足够的沟通,该漏洞的发现者称,早在四月份就已经通知微软有关SQL Server存在该安全漏洞,并提供了详细的漏洞信息,但微软一直不闻不问,因此漏洞发现者才将该漏洞的详细信息和攻击方式发布到互联网上。但安全行业也普遍质疑该漏洞发现者的行为,并认为其在该漏洞未提供补丁程序前就公开漏洞细节是相当不道德的行为,对此笔者也深以为然,毕竟未修补的漏洞及其细节一旦公开到互联网上,对用户造成的威胁和损失是难以估算的。笔者建议,SQL Server用户应关注微软对该漏洞处理的最新进展,在目前尚未有补丁程序的情况下,建议通过更新防火墙规则,删除'sp_replwritetovarbin'存储过程、修正Web应用程序代码等方式,尽可能的降低乃至消除该漏洞对Web网站和系统的威胁和影响。
 
恶意软件:节日礼物不安全,内藏恶意软件的数码产品威胁消费者;关注指数:高
近两年来,刚出厂的消费类数码产品包含恶意软件已经不算是很新的新闻,不过这次事件的主角是知名的电子厂商三星倒是第一次了。根据12月24日Securityfocus.com的消息,不少用户都反映,他们早些时候从Amazon购买的三星数码相框,都包含了一个名为Win32.Salty的恶意软件,该恶意软件在六个多月前就能被市面上流行的反病毒软件所查杀。三星电子在本月曾就其数码相框产品感染恶意软件发表过一个安全公告,建议用户先使用反病毒软件清除数码相框上的恶意软件,再重新安装更新版本的数码相框管理软件。该事件再次暴露出消费类数码产品在销售前仍缺乏有效的数据安全检测,因为早在一年多前,安全专家就曾发表过安全警告,称带有存储功能的消费类数码产品有可能成为恶意软件传播源,而美国销售商Best Buy(百思买)也曾因为这个原因,今年1月将其销售的某型号数码相框撤下货架。而对消费者来说,如果节假日里收到带有内置存储器的三星数码相框或者别的类似产品,在使用前最好还是先用反病毒软件来检查下内存中的文件是否安全,要不藏有恶意软件之类的“意外惊喜”就不好了。
 
安全技术:新的Hash标准将进行公开测试;关注指数:中
Hash技术是一种通过一定的加密算法,将用户或系统的明文数据转化成加密数据的技术,它和常见的加密算法不同的地方在于,Hash加密是单向的,只能将明文转化为密文,而不能将密文再次转换成明文。因此,Hash算法常用于保存密码、校验值等需要防止破解的敏感信息,目前最为常用的是MD5和SHA算法,而这两种算法的早期版本MD4和SHA-1,都存在着容易被破解的缺陷。为了寻找下一代更安全的Hash算法,标准制定者美国技术标准学会(NIST)正准备举行一次大规模的测试,根据12月22日Securityfocus.com的消息,NIST即将举行的针对Hash算法的大规模公开测试中,将采用接近实战攻击的方法来找出可以取代当前Hash算法的替代标准,本次测试将组建51个不同的测试组,并对待选的标准进行攻击尝试和效能评估,最终没有被攻破的候选者就是获胜者。不过NIST也表示,因为当前使用的SHA-2标准仍没有可实现的攻击方法,NIST也并不急于选择一个SHA-2 Hash标准的替代品。对Hash算法设计和攻击方法有兴趣的朋友,可以到NIST针对此次活动开设的网站去了解一下,网址如下:

[url]http://csrc.nist.gov/groups/ST/hash/sha-3/Round1/submissions_rnd1.html[/url]
 
推荐阅读:
1) 2008年信息安全领域的6个关键词;推荐指数:高
接近年底,总结关键词成为互联网上对2008年进行评价的最流行形式,安全业界当然也不能例外。Darkreading.com文章《2008年信息安全领域的6个关键词》,就总结了2008年最具代表性的6个关键词及其幕后事件,推荐朋友们阅读一下。文章地址如下:
[url]http://www.darkreading.com/security/management/showArticle.jhtml?articleID=212501928&subSection=Security+administration/management[/url]
2) 如何在兼并收购中保护敏感数据?推荐指数:高
兼并收购成为众多企业度过本次经济危机的无奈选择,但兼并收购过程中的业务整合,往往成为敏感数据泄漏事件高发的威胁阶段,如何保护敏感数据就成为兼并收购顺利进行的关键。eWeek.com文章《如何在兼并收购中保护敏感数据》对此进行了详细的讨论,推荐相关领域的朋友们了解一下。
文章的地址如下:









本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/123980,如需转载请自行联系原作者

相关实践学习
使用SQL语句管理索引
本次实验主要介绍如何在RDS-SQLServer数据库中,使用SQL语句管理索引。
SQL Server on Linux入门教程
SQL Server数据库一直只提供Windows下的版本。2016年微软宣布推出可运行在Linux系统下的SQL Server数据库,该版本目前还是早期预览版本。本课程主要介绍SQLServer On Linux的基本知识。 相关的阿里云产品:云数据库RDS SQL Server版 RDS SQL Server不仅拥有高可用架构和任意时间点的数据恢复功能,强力支撑各种企业应用,同时也包含了微软的License费用,减少额外支出。 了解产品详情: https://www.aliyun.com/product/rds/sqlserver
相关文章
|
1月前
|
编解码 安全 Linux
网络空间安全之一个WH的超前沿全栈技术深入学习之路(10-2):保姆级别教会你如何搭建白帽黑客渗透测试系统环境Kali——Liinux-Debian:就怕你学成黑客啦!)作者——LJS
保姆级别教会你如何搭建白帽黑客渗透测试系统环境Kali以及常见的报错及对应解决方案、常用Kali功能简便化以及详解如何具体实现
|
1月前
|
人工智能 安全 Linux
网络空间安全之一个WH的超前沿全栈技术深入学习之路(4-2):渗透测试行业术语扫盲完结:就怕你学成黑客啦!)作者——LJS
网络空间安全之一个WH的超前沿全栈技术深入学习之路(4-2):渗透测试行业术语扫盲完结:就怕你学成黑客啦!)作者——LJS
|
1月前
|
安全 大数据 Linux
网络空间安全之一个WH的超前沿全栈技术深入学习之路(3-2):渗透测试行业术语扫盲)作者——LJS
网络空间安全之一个WH的超前沿全栈技术深入学习之路(3-2):渗透测试行业术语扫盲)作者——LJS
|
1月前
|
SQL 安全 网络协议
网络空间安全之一个WH的超前沿全栈技术深入学习之路(1-2):渗透测试行业术语扫盲)作者——LJS
网络空间安全之一个WH的超前沿全栈技术深入学习之路(1-2):渗透测试行业术语扫盲)作者——LJS
|
2月前
|
安全 程序员 网络安全
Kali渗透测试:对软件的溢出漏洞进行测试
Kali渗透测试:对软件的溢出漏洞进行测试
41 1
|
3月前
|
安全 Java 应用服务中间件
渗透测试-JBoss 5.x/6.x反序列化漏洞
渗透测试-JBoss 5.x/6.x反序列化漏洞
55 14
|
2月前
|
安全 网络协议 Linux
Kali渗透测试:使用Armitage针对漏洞进行攻击
Kali渗透测试:使用Armitage针对漏洞进行攻击
78 0
|
3月前
|
安全 测试技术 Linux
CentOS7 安装vulhub漏洞测试环境
CentOS7 安装vulhub漏洞测试环境
124 0
|
1月前
|
JSON Java 测试技术
SpringCloud2023实战之接口服务测试工具SpringBootTest
SpringBootTest同时集成了JUnit Jupiter、AssertJ、Hamcrest测试辅助库,使得更容易编写但愿测试代码。
60 3
|
2月前
|
JSON 算法 数据可视化
测试专项笔记(一): 通过算法能力接口返回的检测结果完成相关指标的计算(目标检测)
这篇文章是关于如何通过算法接口返回的目标检测结果来计算性能指标的笔记。它涵盖了任务描述、指标分析(包括TP、FP、FN、TN、精准率和召回率),接口处理,数据集处理,以及如何使用实用工具进行文件操作和数据可视化。文章还提供了一些Python代码示例,用于处理图像文件、转换数据格式以及计算目标检测的性能指标。
73 0
测试专项笔记(一): 通过算法能力接口返回的检测结果完成相关指标的计算(目标检测)