# 1. phpmyadmin非官方版本被添加web后門漏洞
【漏洞發(fā)現(xiàn)時(shí)間】: 2012年09月
【攻擊原理】: phpmyadmin的官方分站被黑客攻擊并在源代碼包中增加了web后門,黑客可以通過連接該后門直接獲取用戶網(wǎng)站的管理權(quán)限,進(jìn)一步攻擊服務(wù)器甚至滲透內(nèi)網(wǎng)。
【檢測方法】:通過計(jì)算文件的hash值是否與官方網(wǎng)站提供的hash一致來判斷。 Phpmyadmin3.5.2.2的官方下載文件hash值列表參考: http://www.phpmyadmin.net/home_page/downloads.php (opens new window)
【更多注意事項(xiàng)】:類似的開源項(xiàng)目被篡改的風(fēng)險(xiǎn)一直存在,請大家在使用時(shí)從注意官方網(wǎng)站下載并核對文件的hash值,確保安全。
需了解更多安全方面的信息可訪問: 網(wǎng)站: http://security.tencent.com/ (opens new window)
# 2. 構(gòu)造Hash沖突實(shí)現(xiàn)各種語言的拒絕服務(wù)攻擊漏洞
【漏洞發(fā)現(xiàn)時(shí)間】: 2011年12月
【攻擊原理】: 許多開發(fā)商的應(yīng)用程序中使用了hash來存儲key-value數(shù)據(jù),包括常用的來自用戶的POST數(shù)據(jù),攻擊者可以通過構(gòu)造請求頭,并伴隨POST大量的特殊的”key”值(根據(jù)每個(gè)語言的Hash算法不同而定制), 使得語言底層保存POST數(shù)據(jù)的Hash表因?yàn)椤睕_突”而退化成鏈表。 如果數(shù)據(jù)量足夠大,會使得應(yīng)用程序在計(jì)算、查找、插入數(shù)據(jù)時(shí),占用大量CPU,從而實(shí)現(xiàn)拒絕服務(wù)攻擊。
【被攻擊的現(xiàn)象】: 服務(wù)器會進(jìn)行大量的查表運(yùn)算,表現(xiàn)為請求無響應(yīng),或服務(wù)器卡死,CPU占用100%等。
【漏洞影響】:以下是受影響的軟件版本詳細(xì)情況:
開發(fā)語言 | 版本 |
---|---|
Java | 所有版本 |
JRuby | <=1.6.5 |
PHP | <= 5.3.8, <= 5.4.0RC3 |
Python | 所有版本 |
Rubinius | 所有版本 |
Ruby | <= 1.8.7-p356 |
Apache Geronimo | 所有版本 |
Apache Tomcat | <= 5.5.34, <= 6.0.34, <= 7.0.22 |
Oracle Glassfish | <= 3.1.1 |
Jetty | 所有版本 |
Plone | 所有版本 |
Rack | 所有版本 |
V8 JavaScript Engine | 所有版本 |
【解決方案】: 進(jìn)行軟件升級,(但是需注意升級可能會導(dǎo)致應(yīng)用業(yè)務(wù)異常,請升級前進(jìn)行測試,謹(jǐn)慎升級)。 下面是各軟件的補(bǔ)丁包說明:
目前php已經(jīng)針對該漏洞推出了新版本5.3.9及相應(yīng)的補(bǔ)丁程序,建議受影響的版本升級到最新版5.3.9,或通過安裝補(bǔ)丁修復(fù)此漏洞。
補(bǔ)丁的下載地址為:
微軟.NET官方發(fā)布了針對該漏洞的補(bǔ)丁程序,補(bǔ)丁的下載地址為:
http://technet.microsoft.com/en-us/security/bulletin/ms11-100 (opens new window)。
其他語言官方暫未發(fā)布補(bǔ)丁程序,可以通過修改Web Server的配置來臨時(shí)解決針對該漏洞的攻擊。由于可能會影響到業(yè)務(wù),建議先測試,具體方法為:
(1)Tomcat:
Tomcat中增加一個(gè)新的選項(xiàng) maxParameterCount,用來限制單個(gè)請求中的最大參數(shù)量。參數(shù)默認(rèn)值設(shè)為 10000,確保既不會對應(yīng)用程序造成影響。目前已經(jīng)應(yīng)用到 Tomcat 7.0.23 和6.0.35版本,可以從官方下載這兩個(gè)版本臨時(shí)解決修復(fù)此漏洞,早期的版本可以通過限制 maxPostSize 大小為 10KB 左右來臨時(shí)解決此問題。
(2)Nginx:
默認(rèn)的最大請求body大小為8m,修改設(shè)置client_max_body_size=10k;通過限制用戶提交的參數(shù)來臨時(shí)解決此漏洞。
【后續(xù)處理】:
請各位開發(fā)者參考以上修復(fù)辦法對相應(yīng)的版本進(jìn)行升級修復(fù)。由于漏洞屬于高危漏洞,且攻擊成本較低,請各位用戶在兩天內(nèi)完成漏洞的修復(fù)。
若業(yè)務(wù)側(cè)監(jiān)控到服務(wù)器出現(xiàn)異常或受到攻擊,請及時(shí)通過企業(yè)QQ (opens new window)聯(lián)系運(yùn)維支持和故障受理值班進(jìn)行緊急處理。
騰訊安全中心將繼續(xù)關(guān)注該漏洞的情況,及時(shí)跟進(jìn)官方的最新修復(fù)情況并通知開發(fā)者。