2013年12月,国家信息安全漏洞共享平台(cnvd)对域名系统软件以及域名机构存在的漏洞风险进行跟踪监测,并联合cnvd合作单位(wooyun网站)接收涉及境内域名机构的漏洞事件报告。现将相关情况通报如下:
一、近期域名系统软件漏洞情况分析
cnvd对域名机构广泛使用的域名系统漏洞进行了分类收录。12月,cnvd收录了maradns、hostbill 2款软件存在的多个漏洞。攻击者利用漏洞获得敏感信息、执行脚本代码或绕过安全限制。
1.1 maradns deadwood ip伪造漏洞
maradns是一个安全加强的dns服务器。maradns使用deadwood后台程序处理递归dns查询。deadwood处理递归查询存在一个 ip伪造漏洞,远程攻击者可利用漏洞获得未授权访问或获取敏感信息。该漏洞的综合评级为“中危”,参考cnvd漏洞公告信息:
1.2 hostbill acl存在跨站脚本漏洞、安全绕过漏洞
hostbill是国外qualitysoftware.开发的虚拟主机、vps云主机、独立主机、域名及附加产品的财务管理系统。
hostbill存在跨站脚本漏洞。由于程序未能正确过滤用户提交的输入,可导致跨站脚本攻击。允许远程攻击者利用漏洞注入恶意脚本或html代码,当恶意数据被查看时可获取敏感信息或者劫持用户会话。此外,hostbill还存在多个安全绕过漏洞,由于acl控制存在安全漏洞,允许受限admin自行添加api,完全访问hostbill执行相关操作。
上述两个漏洞的综合评级均为“中危”,参考cnvd漏洞公告信息:
二、 境内域名机构漏洞风险事件
根据cnvd及合作单位wooyun网站收到的漏洞事件报告,12月份共收到6起涉及广东时代互联、河南景安网络等2家境内域名机构的漏洞风险事件。从漏洞类型和构成威胁看,信息泄露、sql注入漏洞较多,可构成网站文件信息或用户敏感信息泄露,相关典型案例如下,详细列表见附件。
2.1 广东时代互联网站信息泄露漏洞
广东时代互联科技有限公司,是中国大型域名注册和网站托管服务提供商。根据漏洞报送者报告的情况,时代互联网站存在信息泄露漏洞。由于服务器对文件访问权限控制不严,远程攻击者利用漏洞可下载文件,查看敏感信息,构成信息泄露风险。cnvd对该漏洞的综合评级为“中危”。参考链接:
2.2 河南景安网络服务器配置信息泄露漏洞
郑州市景安计算机网络技术有限公司,致力于电信基础服务运营,主要业务有:服务器托管、机柜租赁、数据中心专区承包、大带宽接入服务、增值服务以及中小企业互联网尊龙凯时平台入口的解决方案等增值电信基础服务。根据漏洞报送者报告的情况,河南景安网络存在服务器配置信息泄露漏洞。攻击者在渗透的过程中获得了景安网络的服务器配置信息,攻击者可利用信息发起进一步攻击。 cnvd对该漏洞的综合评级为“中危”。参考链接:
附件:
2013年12月域名机构漏洞风险事件列表
报告时间 | 漏洞名称 | 评级 |
2013/12/27 | 时代互联网站信息泄露漏洞 | 中危 |
2013/12/26 | 河南景安网络服务器配置信息泄露漏洞 | 中危 |
2013/12/23 | 时代互联多个分站后台弱口令漏洞 | 中危 |
2013/12/23 | 时代互联所属分站sql漏洞 | 高危 |
2013/12/22 | 时代互联所属分站sql漏洞 | 高危 |
2013/12/22 | 时代互联演示站弱口令漏洞 | 中危 |
关键字:域名系统软件 域名机构 漏洞风险