最著名的五大安全漏洞及防范
作者:不详 来源:网络工程师
击退入侵!!
通过Internet进行的计算机系统大多数成功入侵都可以归结到很少数量的安全漏洞上。
在Solar Sunrise Pentagon入侵事件中被入侵的大多数系统都是因为同一个漏洞受到攻
击。不久前分布式拒绝服务攻击中被利用的大部分计算机也是因为一个漏洞。最近基于
WindowsNT的WEB服务器的大量入侵也可归结到一个众所周知的漏洞。另外有一个漏洞也
被认为可以被用来入侵超过30000台Linux系统。
少量的软件漏洞对应绝大多数成功的攻击是因为攻击者都是机会主义者-他们采用最简
单最方便的方法。他们用最有效最广泛使用的工具来攻击最著名的漏洞。他们指望组织
没有修补漏洞,他们常常在Internet上扫描有漏洞的系统,作无目的攻击。
系统管理员反映说,他们没有补这些漏洞的原因是他们也不知道超过500个的潜在问题中
那些是最严重的,而他们又太忙,不可能把所有的问题都改正好。
信息安全共同体试图解决这个问题,标出Internet上最严重的安全问题,汇集系统管理
员需要立即解决的漏洞。这个针对TOP TEN列表给出的专家建议展示了史无前例的企业、
政府和学校积极合作的范例。参与者来自最有安全意识的联邦代理、安全软件供应商、
咨询机构、基于大学的顶级安全小组、CERT/CC和SANS研究会。完整的参与者名单在文末
给出。
这里列出专家给出的5个Internet上最常被利用的安全漏洞列表,并给出了如何消除你
系统中这些问题的建议。
1. BIND weaknesses: nxt, qinv and in.named allow immediate root compromise.
BIND程序存在的问题,利用nxt,qinv,in.named可直接得到root权限。
BIND(Berkeley Internet Name Domain)软件包是域名服务(DNS)的一个应用最
广泛的实现软件--我们所有人都通过它来定位Internet上的系统,只需知道域
名(如www.sans.org)而不用知道IP地址,由此可体会它的重要性--这使它成
为最受欢迎的攻击目标。
很遗憾,根据1999年中的回顾,Internet上的DNS服务器有50%以上用的是有漏洞
的BIND版本。
比较典型的BIND攻击的例子是,入侵者抹掉系统记录,安装工具获得管理员级别
的访问。他们然后编译安装IRC工具和网络扫描工具,用它们扫描更多的B类网络,
找到其它的使用有漏洞版本的BIND的域名服务器。只需几分钟,他们就可以攻入
成千上百个远程系统,取得更多的入侵成果。
这种混乱的场面说明,在Internet上广泛应用的服务上,如DNS服务,软件中一个
很小的漏洞都是非常可怕的。
受影响的系统:
多数UNIX和Linux系统
到2001年5月22日为止,BIND8.2.2patch5以前的版本都有问题。
CVE检索项:
nxt CVE-1999-0833
qinv CVE-1999-0009
相关检索项: CVE-1999-0835, CVE-1999-0848, CVE-1999-0849,CVE-1999-0851
更正建议:
A、取消所有非授权作为DNS服务器的机器上的BIND后台进程(named)。一些专家
还建议删掉这些DNS软件。
B、把授权作为DNS服务器的软件升级到最新版本,加入最新补丁。(到2000年5
月22日为止,最新版本为8.2.2,patch5)。
采纳如下的其它指导建议:
For the NXT vulnerability:
http://www.cert.org/advisories/CA-99-14-bind.html
For the QINV (Inverse Query) and NAMED vulnerabilities:
http://www.cert.org/advisories/CA-98.05.bind_problems.html
http://www.cert.org/summaries/CS-98.04.html
C、以非特权用户身份运行BIND,以便将来受到远程攻击时得到保护。(但是,必
须以root身份运行程序才能配置使用低于1024端口-如DNS要求的53,因此你必须
配置BIND在绑定到指定端口后改变用户身份。)
D、在chroot()过的目录中运行BIND,以便将来受到远程攻击时得到保护。
2. Vulnerable CGI programs and application extensions
(e.g., ColdFusion) in stalled on web servers.
在WEB服务器上安装的有漏洞的CGI程序和应用扩展(如ColdFusion)
大部分WEB服务器支持CGI(Common Gateway Interface)程序以提供WEB页面的交互功能,
如数据采集和检验。很多WEB服务器缺省的安装了CGI例子程序。很不幸,很多CGI程序并
没有考虑到它们有可能被滥用去执行恶意指令。入侵者选择CGI程序作为攻击目标主要因
为它们容易定位,并以同WEB服务器相同的权限运行。入侵者利用有漏洞的CGI程序破坏
主页,盗窃信用卡信息,安装后门以利于将来即使CGI程序被修补好仍然可以入侵。
当司法部的Janet Reno的图片被换成Adolph Hitler时,得出了CGI漏洞是最有可能的入
侵网络的方法的结论。Allaire的ColdFusion是一个WEB服务器应用软件,缺省安装时包
含有漏洞例子CGI程序。作为一个最一般的法则,例子程序应该从系统中删除。
受影响的系统:
所有的WEB服务器。
CVE检索项:
有漏洞例子程序的CGI程序
CAN-1999-0736
CVE-1999-0067
CVE-1999-0068
CVE-1999-0270
CVE-1999-0346
CVE-2000-0207
没有例子程序但有漏洞的CGI程序
CAN-1999-0467
CAN-1999-0509
CVE-1999-0021
CVE-1999-0039
CVE-1999-0058
CVE-1999-0147
CVE-1999-0148
CVE-1999-0149
CVE-1999-0174
CVE-1999-0177
CVE-1999-0178
CVE-1999-0237
CVE-1999-0262
CVE-1999-0279
CVE-1999-0771
CVE-1999-0951
CVE-2000-0012
CVE-2000-0039
CVE-2000-0208
ColdFusion例子程序漏洞
CAN-1999-0455
CAN-1999-0922
CAN-1999-0923
ColdFusion其它漏洞
CAN-1999-0760
CVE-2000-0057
更正建议:
A、不要以ROOT身份运行WEB服务器。
B、去掉BIN目录下的CGI脚本解释器。
http://www.cert.org/advisories/CA-96.11.interpreters_in_cgi_bin_dir.html
C、删掉不安全的CGI脚本。
http://www.cert.org/advisories/CA-97.07.nph-test-cgi_script.html
http://www.cert.org/advisories/CA-96.06.cgi_example_code.html
http://www.cert.org/advisories/CA-97.12.webdist.html
D、编写安全的CGI脚本
http://www-4.ibm.com/software/developer/library/secure-cgi/
http://www.cert.org/tech_tips/cgi_metacharacters.html
http://www.cert.org/advisories/CA-97.24.Count_cgi.html
E、不需要CGI的WEB服务器上不配置CGI支持。
F、在chroot()过的环境中运行WEB服务器,以便保护机器防止其它不断发现的漏洞。
3. Remote Procedure Call (RPC) weaknesses in rpc.ttdbserverd (ToolTalk), rp c.cmsd (Calendar Manager), and rpc.statd that allow immediate root compromise
RPC(Remote Procedure Call)中rpc.ttdbserverd(ToolTalk)、rpc.cmsd(Calendar Man ager)和rpc.statd可以直接获得root权限远程过程调用(RPC)允许一台计算机上的程序去执行另一台计算机上的程序。它们广泛的应用在各种网络服务中,如文件共享服务NFS。有很多漏洞是RPC本身的缺陷导致的,它们正不停的涌现出来。有很明显的证据表明,1999年末2000年初大规模的分布式拒绝服务攻击中,很多被作为攻击跳板的牺牲品就是因为存在RPC漏洞。在Solar Sunrise事件期间,对美国陆军广为人知的成功攻击就是因为在数百台国防部的系统中找到了一个RPC漏洞。
受影响的系统:
多数UNIX和Linux系统
CVE检索项:
rpc.ttdbserverd - CVE-1999-0687, CVE-1999-0003, CVE-1999-0693
(-0687 比-0003新,但二者都能让远程攻击者得到root权限,好像-0003漏洞还有很多很多;-0693 只能作为本地攻击,但也能得到root权限。)
rpc.cmsd ? CVE-1999-0696
rpc.statd - CVE-1999-0018, CVE-1999-0019.
更正建议:
A、如果可能的话,关掉和/或删除那些可以从Internet上直接访问到的服务。
B、对于必须运行的,安装最新的补丁:
For Solaris Software Patches:
--http://sunsolve.sun.com
For IBM AIX Software
--http://techsupport.services.ibm.com/support/rs6000.support/downloads
--http://techsupport.services.ibm.com/rs6k/fixes.html
For SGI Software Patches:
--http://support.sgi.com/
For Compaq (Digital Unix) Patches:
--http://www.compaq.com/support
在供应商的补丁数据库中找tooltalk的补丁程序,并立刻安装。
对这三个主要RPC漏洞做出专门的建议的总结性文档可在如下地址找到:
http://www.cert.org/incident_notes/IN-99-04.html
For statdd:
http://www.cert.org/advisories/CA-99-05-statd-automountd.html
For ToolTalk: http://www.cert.org/advisories/CA-98.11.tooltalk.html
For Calendar Manager:
http://www.cert.org/advisories/CA-99-08-cmsd.html
4. RDS security hole in the Microsoft Internet Information Server (IIS).
微软IIS中存在的RDS安全漏洞
微软的IIS(Internet Information Server)是用在微软WindowsNT和Windows2000服务器
上的WEB服务软件。在IIS的远程数据服务(RDS)中的编程缺陷可被恶意用户利用,用来 远程执行管理员级别的命令。一些参与制定十大威胁列表的专家认为,IIS的其它漏洞,如.HTR文件,至少同RDS漏洞一样严重。当使用IIS的组织安装或升级RDS漏洞补丁的时候,应当采取谨慎的态度,同时安装和升级所有已知的IIS安全缺陷的补丁程序。
受影响的系统:
使用IIS的Microsoft Windows NT系统
CVE检索项:
CVE-1999-1011
更正建议:
A、使用用户自己的处理程序并删掉注册表中VBBusObj的索引项
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/W3SVC/Parameters/ADCLau
nch/VbBusObj.VbBusObjCls
B、参考微软公布的信息去掉服务或更正RDS漏洞以及其它IIS的安全问题。
http://support.microsoft.com/support/kb/articles/q184/3/75.asp
http://www.microsoft.com/technet/security/bulletin/ms98-004.asp
http://www.microsoft.com/technet/security/bulletin/ms99-025.asp
5. Sendmail buffer overflow weaknesses, pipe attacks and
MIMEbo, that allow immediate root compromise.
Sendmail缓冲区溢出问题,pipe攻击和MIMI缓冲区溢出都可以直接得到root权限。
在大多数UNIX和Linux系统中用Sendmail程序发送、接收和转发电子邮件。Sendmail的广
泛应用使它成为攻击者选取的主要目标。这些年来发现了很多漏洞,最早的是1988年CE
RT/CC发布的一个建议文件。最常见的漏洞之一是,攻击者发送一封处理过的邮件但运行
Sendmail的机器,Sendmail把邮件作为指令读出执行,使目标机器把本机上的口令文件
发送到攻击者的机器上(或其它被侵入的机器),然后破解口令。
受影响的系统:
多数UNIX和Linux系统
CVE检索项:
CVE-1999-0047, CVE-1999-0130, CVE-1999-0131, CVE-1999-0203,
CVE-1999-0204, C
VE-1999-0206.
CVE-1999-0130 is locally exploitable only.
更正建议:
A、升级Sendmail到最新版本并/或修补它。参见:
http://www.cert.org/advisories/CA-97.05.sendmail.html
B、在既不是邮件服务器也不作邮件转发的机器上不用以后台进程模式运行Sendmail(关
|