双乳被一左一右吃着动态图,小泽マリアAV无码观看,欧美高清性xxxxhdvideosex,国产午夜精品一区二区三区四区

關(guān)于2013年12月域名系統(tǒng)軟件及域名機(jī)構(gòu)漏洞風(fēng)險(xiǎn)的情況通報(bào)

2014-01-16 16:14:30

安全公告編號(hào):CNTA-2014-0002

2013年12月,國家信息安全漏洞共享平臺(tái)(CNVD)對(duì)域名系統(tǒng)軟件以及域名機(jī)構(gòu)存在的漏洞風(fēng)險(xiǎn)進(jìn)行跟蹤監(jiān)測(cè),并聯(lián)合CNVD合作單位(WOOYUN網(wǎng)站)接收涉及境內(nèi)域名機(jī)構(gòu)的漏洞事件報(bào)告?,F(xiàn)將相關(guān)情況通報(bào)如下:

一、 近期域名系統(tǒng)軟件漏洞情況分析

CNVD對(duì)域名機(jī)構(gòu)廣泛使用的域名系統(tǒng)漏洞進(jìn)行了分類收錄。12月,CNVD收錄了MaraDNS、HostBill 2款軟件存在的多個(gè)漏洞。攻擊者利用漏洞獲得敏感信息、執(zhí)行腳本代碼或繞過安全限制。

1.1MaraDNS Deadwood IP偽造漏洞

MaraDNS是一個(gè)安全加強(qiáng)的DNS服務(wù)器。MaraDNS使用Deadwood后臺(tái)程序處理遞歸DNS查詢。Deadwood處理遞歸查詢存在一個(gè)IP偽造漏洞,遠(yuǎn)程攻擊者可利用漏洞獲得未授權(quán)訪問或獲取敏感信息。該漏洞的綜合評(píng)級(jí)為“中危”,參考CNVD漏洞公告信息:

http://www.cnvd.org.cn/flaw/show/CNVD-2013-15240

1.2HostBill ACL存在跨站腳本漏洞、安全繞過漏洞

HostBill是國外QualitySoftware.開發(fā)的虛擬主機(jī)、VPS云主機(jī)、獨(dú)立主機(jī)、域名及附加產(chǎn)品的財(cái)務(wù)管理系統(tǒng)。

HostBill存在跨站腳本漏洞。由于程序未能正確過濾用戶提交的輸入,可導(dǎo)致跨站腳本攻擊。允許遠(yuǎn)程攻擊者利用漏洞注入惡意腳本或HTML代碼,當(dāng)惡意數(shù)據(jù)被查看時(shí)可獲取敏感信息或者劫持用戶會(huì)話。此外,HostBill還存在多個(gè)安全繞過漏洞,由于ACL控制存在安全漏洞,允許受限admin自行添加API,完全訪問HostBill執(zhí)行相關(guān)操作。

上述兩個(gè)漏洞的綜合評(píng)級(jí)均為“中危”,參考CNVD漏洞公告信息:

http://www.cnvd.org.cn/flaw/show/CNVD-2013-15532

http://www.cnvd.org.cn/flaw/show/CNVD-2013-15284

二、 境內(nèi)域名機(jī)構(gòu)漏洞風(fēng)險(xiǎn)事件

根據(jù)CNVD及合作單位WOOYUN網(wǎng)站收到的漏洞事件報(bào)告,12月份共收到6起涉及廣東時(shí)代互聯(lián)、河南景安網(wǎng)絡(luò)等2家境內(nèi)域名機(jī)構(gòu)的漏洞風(fēng)險(xiǎn)事件。從漏洞類型和構(gòu)成威脅看,信息泄露、SQL注入漏洞較多,可構(gòu)成網(wǎng)站文件信息或用戶敏感信息泄露,相關(guān)典型案例如下,詳細(xì)列表見附件。

2.1廣東時(shí)代互聯(lián)網(wǎng)站信息泄露漏洞

廣東時(shí)代互聯(lián)科技有限公司,是中國大型域名注冊(cè)和網(wǎng)站托管服務(wù)提供商。根據(jù)漏洞報(bào)送者報(bào)告的情況,時(shí)代互聯(lián)網(wǎng)站存在信息泄露漏洞。由于服務(wù)器對(duì)文件訪問權(quán)限控制不嚴(yán),遠(yuǎn)程攻擊者利用漏洞可下載文件,查看敏感信息,構(gòu)成信息泄露風(fēng)險(xiǎn)。CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“中?!?。參考鏈接:http://www.wooyun.org/bugs/wooyun-2013-047171

2.2河南景安網(wǎng)絡(luò)服務(wù)器配置信息泄露漏洞

鄭州市景安計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)有限公司,致力于電信基礎(chǔ)服務(wù)運(yùn)營,主要業(yè)務(wù)有:服務(wù)器托管、機(jī)柜租賃、數(shù)據(jù)中心專區(qū)承包、大帶寬接入服務(wù)、增值服務(wù)以及中小企業(yè)互聯(lián)網(wǎng)解決方案等增值電信基礎(chǔ)服務(wù)。根據(jù)漏洞報(bào)送者報(bào)告的情況,河南景安網(wǎng)絡(luò)存在服務(wù)器配置信息泄露漏洞。攻擊者在滲透的過程中獲得了景安網(wǎng)絡(luò)的服務(wù)器配置信息,攻擊者可利用信息發(fā)起進(jìn)一步攻擊。 CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“中危”。參考鏈接:http://www.wooyun.org/bugs/wooyun-2013-047110