首页 -> 安全研究
安全研究
绿盟月刊
绿盟安全月刊->第10期->安全文摘
整理:users.bbs@bbs.nankai.edu.cn
出处:http://www.sans.org/topten.htm
日期:2000-06-14
6. sadmind and mountd
Sadmind用于Solaris系统的远程管理访问,提供图形化的系统管理功能。Mountd控制管理UNIX主机上NFS的加载点。这些应用程序的缓冲区溢出攻击可以让攻击者得到root权限。
受影响的系统:
多数UNIX和Linux系统
Sadmind:仅仅Solaris系统
CVE检索项:
sadmind - CVE-1999-0977
mountd - CVE-1999-0002.
更正建议:
A、如果可能的话,关掉和/或删除那些可以从Internet上直接访问到的服务。
B、对于必须运行的,安装最新的补丁:
For Solaris Software Patches:
--http://sunsolve.sun.com
For IBM AIX Software
--http://techsupport.services.ibm.com/support/rs6000.support/downloads
--http://techsupport.services.ibm.com/rs6k/fixes.html
For SGI Software Patches:
--http://support.sgi.com/
For Compaq (Digital Unix) Patches:
--http://www.compaq.com/support
C、更多建议参见:
http://www.cert.org/advisories/CA-99-16-sadmind.html
http://www.cert.org/advisories/CA-98.12.mountd.html
7. Global file sharing and inappropriate information sharing via NetBIOS and
Windows NT ports 135-〉139 (445 in Windows2000), or UNIX NFS exports on port
2049, or Macintosh Web sharing or AppleShare/IP on ports 80, 427, and 548.
通过NetBIOS协议和Windows NT 135-〉139端口(Windows2000下是445)或UNIX NFS在20
49端口给出的或Macintosh Web共享或AppleShare/IP在80、427和548端口给出的等等全
局共享和不正确的信息共享。
这些服务允许在网络上共享文件。但如果配置不正确,它们会暴露重要的系统文件或给
出整个文件系统的完全控制权到网络上的任何一台机器上。很多计算机的主人或管理员
为了提高数据访问的方便性而利用这些服务使他们的文件系统可读写。如一个政府机关
计算机管理员在开发任务计划软件时使他们的文件全局可读以方便政府的其它部门访问
,没过两天,就有人发现了这些共享并偷走了整个任务计划软件。
当在Windows系统中实现文件共享时,产生的问题就不单单是信息窃贼,还有某些特定类
型感染极快的病毒。最近发现的一个叫做911的蠕虫病毒利用Window95和Windows98的文
件共享来传播,使被感染的机器通过连在它上面的调制解调器拨打911电话。Macintosh
计算机的文件共享漏洞也存在同样的问题。
同样,NetBIOS机制在允许Windows文件共享的同时也常常会给出NT系统的敏感系统信息。
用户和组信息(用户名、最后登陆时间、口令策略、RAS信息),系统信息和一些注册
表中的键值都可以通过建立在NetBIOS连接服务上的空任务连接\"null session\"被访问到
。针对NT目标系统,这些信息常被用作口令猜测或暴力口令攻击的基础。
受影响的系统:
UNIX,Windows,和Macintosh系统
CVE检索项:
SMB shares with poor access control - CAN-1999-0520
NFS exports to the world - CAN-1999-0554
候选检索项在被正式接受作为完全的CVE前可能有比较大的改动。
更正建议:
A、共享加载的设备时,一定要保证只共享必须的子目录。
B、因为DNS名称可能伪造,为了更好的安全性,只对指定的IP地址提供共享。
C、对于Windows系统,要保证所有的共享都采用了很难破解的口令。
D、对于Windows NT系统,禁止利用空任务连接为匿名用户提供用户、组、系统配置和注
册表键值信息。
在路由器或NT主机上阻塞掉到NetBIOS任务服务(tcp 139)的连接。
对连入Internet的独立主机或不信任域环境要仔细考虑受限匿名用户的注册表键值的实
现。
NT4: http://support.microsoft.com/support/kb/articles/Q143/4/74.asp
Win2000: http://support.microsoft.com/support/kb/articles/Q246/2/61.ASP
E、对于Macintosh系统,去掉WEB共享扩展,除非特别需要。如果必须提供文件共享,一
定要保证使用强口令控制。当不需要时一定要去掉文件共享。
如果要永久性的去掉MacOS8或MacOS9上的WEB共享,要删掉两个文件并重新启动机器:
System Folder:Control Panels:Web Sharing
System Folder:Extensions:Web Sharing Extension
如果要永久性的去掉MacOS9上的AppleShare/IP,要删掉一个文件并重新启动机器:
System Folder:Extensions:Shareway IP Personal Bgnd
8. User IDs, especially root/administrator with no passwords or weak passwo
rds.
用户,尤其是超级用户或系统管理员(root/administrator),没有口令或口令很弱。
一些系统带有\"demo\"或\"guest\"等无口令或广为人知的缺省口令的用户。服务工作人员一
般给你装完系统后,把超级用户口令设为空;一些数据库系统的管理员帐号一般在安装
时设为缺省口令。另外,繁忙的系统管理员常常选择非常容易被猜到的系统口令(\"love
\",\"money\",\"wizard\"是最常见的)或者就使用空口令。缺省的口令让攻击者可以毫不费力
的访问系统。很多攻击者先尝试缺省口令然后猜口令最后才用其它更复杂的方法。攻击
者拿到一般用户权限后可以让他们进入防火墙或目标机器,一旦进入,很多攻击者就能
够利用各种各样的系统漏洞得到超级用户或管理员权限。
受影响的系统:
所有系统。
CVE检索项:
Unix guessable (weak) password - CAN-1999-0501
Unix default or blank password - CAN-1999-0502
NT guessable (weak) password - CAN-1999-0503
NT default or blank password - CAN-1999-0504
候选检索项在被正式接受作为完全的CVE前可能有比较大的改动。
更正建议:
A、建立可接受的口令策略,包括分派负责和周期性检验口令质量。要保证高级领导也不
例外。要求的策略也包括把计算机连入Internet前改变所有缺省口令,对不合作者给予
实质性的处罚。
B1、非常重要!有写权限以便测试口令。
B2、用口令破解程序测试口令:
For Windows NT: l0pthcrack http://www.l0pht.com
For UNIX: Crack http://www.users.dircon.co.uk/~crypto
C、在创建口令时执行检查功能。
For UNIX: Npasswd, http://www.utexas.edu/cc/unix/software/npasswd
For Windows NT: http://support.microsoft.com/support/kb/articles/Q161/9/90.asp
D、强制使口令周期性过期(at a frequency established in your security policy)。
E、保持口令历史记录,使用户不能循环使用旧口令。
其它资料可在如下地址找到:
http://www.cert.org/tech_tips/passwd_file_protection.html
http://www.cert.org/incident_notes/IN-98.03.html
http://www.cert.org/incident_notes/IN-98.01.irix.html
9. IMAP and POP buffer overflow vulnerabilities or incorrect configuration.
IMAP和POP缓冲区溢出漏洞或不正确的配置
IMAP和POP是最流行的远程邮件存取协议,允许用户从内部和外部网络访问他们的邮件帐
户。这些服务的“开放性访问”本质上决定了它们特别脆弱,因为开放使它们即使在防
火墙之内也要允许外部的电子邮件存取。攻击者利用IMAP或POP漏洞攻击常常能直接获得
ROOT级别的控制权。
受影响的系统:
多数UNIX和Linux系统
CVE检索项:
CVE-1999-0005, CVE-1999-0006, CVE-1999-0042, CVE-1999-0920, CVE-2000-0091
更正建议:
A、在不提供邮件服务的机器上取消这些服务。
B、使用最新的补丁和版本。
资料可在如下地址找到:
http://www.cert.org/advisories/CA-98.09.imapd.html
http://www.cert.org/advisories/CA-98.08.qpopper_vul.html
http://www.cert.org/advisories/CA-97.09.imap_pop.html
C、一些专家也建议用TCP Wrapper类软件控制对这些服务的访问,同时用SSH和SSL等加
密信道以保护口令。
10. Default SNMP community strings set to ‘public’ and ‘private.’
缺省的SNMP口令(community strings)被设为\"public\"和\"private\"。
简单网络管理协议(SNMP)被网络管理员广泛的使用,从路由器到打印机到计算机,所有连入网络中的设备都可以通过它来监控和管理。SNMP使用未加密的口令(community str
ings)作为认证的唯一机制。缺少加密已经够糟糕的了,同时绝大多数SNMP设备的缺省口
令为\"public\",少数“聪明”一点的网络设备供应商把口令改为了\"private\"。攻击者可
以利用SNMP的这个漏洞远程重新配置或关掉设备。监听SNMP流量可以暴露你网络的大部
分细节,包括系统和连入的设备。入侵者用这些信息来找出攻击目标和规划攻击。
受影响的系统:
所有系统和网络设备。
CVE检索项:
default or blank SNMP community name (public) - CAN-1999-0517
guessable SNMP community name - CAN-1999-0516
hidden SNMP community strings - CAN-1999-0254, CAN-1999-0186
候选检索项在被正式接受作为完全的CVE前可能有比较大的改动。
更正建议:
A、如果你不是绝对需要SNMP,关掉它。
B、如果你使用SNMP,就要采用同本安全列表中的第8个问题中针对口令一样的安全策略。
C、用SNMPWALK验证和检查口令。
D、如果可能,把MIB设为只读。
其它信息:
http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/snmp.htm#xtocid210315
A High Priority Bonus Item for Windows Users and Administrators
Various Scripting Holes in Internet Explorer and Office2000
针对Windows系统用户和管理员的有益补充:IE浏览器和Office2000中的各种脚本漏洞
最近病毒攻击已经展示了宏和脚本代码可以很容易的通过电子邮件附件传播,人们被告诫不要打开可能危险的附件。不过,Windows系统用户即使不打开附件,也可能感染恶意
病毒。在缺省安装的情况下,Microsoft Outlook 和Outlook Express可以执行电子邮件
中的HTML和脚本代码。另外,很多被称为ActiveX组件的可以被含有HTML和脚本代码的电
子邮件不正确的执行。含有漏洞的控件包括Scriplet.typlib(同IE4.x和IE5.x一同交付
)和UA控件(Office2000)。其它漏洞表明利用活动脚本电子邮件可以在用户的计算机上
安装新的软件。
一个相对良性的病毒kak蠕虫就是通过这些机制传播的。恶意版本的kak病毒可以预见任何时候都可能出现。我们建议所有用户和管理员把Outlook和Outlook Express设为只在
某些“受限地址域”读取电子邮件,并进一步在这些受限域中关掉活动脚本和ActiveX功
能。微软对某些单独的漏洞已经给出了补丁并正准备在Outlook中加入安全设置,但好像
还没有修补Outlook Express的计划。
受影响的系统:
所有带有IE4.x和IE5.x或Office 2000的Windows系统。带有某些版本的IE的Windows 2000不受影响。
CVE检索项:
CVE-1999-0668
CAN-2000-0329
更正建议:
http://www.microsoft.com/security/bulletins/ms99-032.asp
http://www.microsoft.com/security/bulletins/MS99-048.asp
http://www.microsoft.com/technet/security/bulletin/MS00-034.asp
这里讨论的特定漏洞的补丁可从下面地址得到:
http://www.microsoft.com/msdownload/iebuild/scriptlet/en/scriptlet.htm
http://www.microsoft.com/msdownload/iebuild/ascontrol/en/ascontrol.htm
http://officeupdate.microsoft.com/info/ocx.htm
设置你的安全域到几个限定的站点并取消这个区域中的所有活动内容。
及时使用下列站点公布的Outlook补丁:
http://www.officeupdate.com/2000/articles/out2ksecarticle.htm
关键时刻,升级你的杀毒软件对这些问题也不能完全奏效。你必须同时更正微软软件中
的缺陷。
Perimeter Protection For An Added Layer of Defense In Depth
更深层次上的作为附加防卫层的边界保护
本节中,我们列出那些常被探测和攻击的端口。阻塞这些端口是边界安全的最小需求,
而不是复杂的防火墙规范表。更好的规则是阻塞掉所有未用端口。即使你认为这些端口
已经被阻塞掉了,你也要经常监控它们以便检测到入侵尝试。阻塞掉下面列表中的某些
端口可能会取消必须的服务。在执行下面的建议的时候请考虑它们的潜在影响。
1)阻塞“伪造”地址--那些从你公司外部地址来的报文却声称内部地址或专网地址,同
时阻塞源路由报文。
2)登录服务--telnet(23/tcp),SSH(22/tcp),FTP(21/tcp),NetBIOS(139/tcp),rlogin(5
12/tcp到514/tcp)等等。
3)RPC和NFS--portmap/rpcbind(111/tcp和111/udp),NFS(2049/tcp和2049/udp),lockd(
4045/tcp和4045/udp)
4)Windows NT下的NetBIOS--135(tcp和udp),137(udp),139(tcp).Windows 2000--这些端
口再加上445(tcp和udp)
5)X Windows -- 从6000/tcp 到 6255/tcp
6)名字服务-- 所有不是DNS服务器的机器上的DNS (53/udp), DNS zone transfers (53
/tcp) except from external secondaries, LDAP (389/tcp and 389/udp)
7)邮件-- 所有不作外部邮件转发的机器上的SMTP (25/tcp), POP (109/tcp and 110/t
cp), IMAP (143/tcp)
8)主页-- 除了外部WEB服务器上的HTTP (80/tcp)和SSL (443/tcp), 你也许同时需要阻
塞常用的其它高端的HTTP端口(8000/tcp, 8080/tcp, 8888/tcp, etc.)
9) \"Small Services\"-- 低于 20/tcp and 20/udp的端口, time (37/tcp and 37/udp)
10)其它-- TFTP (69/udp), finger (79/tcp), NNTP (119/tcp), NTP (123/tcp), LPD
(515/tcp), syslog (514/udp), SNMP (161/tcp and 161/udp, 162/tcp and 162/udp
), BGP (179/tcp), SOCKS (1080/tcp)
11) ICMP-- 阻塞收到的回应请求 (ping 命令和 Windows 系统下的traceroute命令),
阻塞发出回应应答消息,超时消息,和不可达消息。
专家签名:
Randy Marchany, Virginia Tech
Scott Conti, University of Massachusetts
Matt Bishop, University of California, Davis
Lance Spitzner, Sun Microsystems GESS Security Team
Alan Paller, SANS Institute
Stephen Northcutt, SANS Institute
Eric Cole, SANS Institute
Gene Spafford, Purdue University CERIAS
Jim Ransome, Pilot Network Services
Frank Swift, Pilot Network Services
Jim Magdych, Network Associates, Inc.
Jimmy Kuo, Network Associates, Inc.
Igor Gashinsky, NetSec, Inc.
Greg Shipley, Neohapsis
Tony Sager, National Security Agency
Larry Merritt, National Security Agency
Bill Hill, MITRE
Steve Christey, MITRE
Viriya Upatising, Loxley Information Services Co.
Marcus Sachs, JTF-CND, US Department of Defense
Billy Austin, Intrusion.com
Christopher W. Klaus, Internet Security Systems
Wayne Stenson, Honeywell
Martin Roesch, Hiverworld, Inc.
Jeff Stutzman, Healthcare ISAC
Ed Skoudis, Global Integrity
Gene Schultz, Global Integrity
Kelly Cooper, Genuity
Eric Schultze, Foundstone
Bill Hancock, Exodus Communications
Ron Nguyen, Ernst & Young
Lee Brotzman, DoJCERT, Allied Technology Group, Inc.
Scott Lawler, DoD Cert
Hal Pomeranz, Deer Run Associates
Chris Brenton, Dartmouth Institute for Security Studies
Bruce Schneier, Counterpane Internet Security, Inc.
Shawn Hernan, CERT Coordination Center
Kathy Fithen, CERT Coordination Center
Derek Simmel, Carnegie Mellon University
Jesper Johansson, Boston University
Dave Mann, BindView
Rob Clyde, Axent
David Nolan, Arch Paging
Mudge, @stake
版权所有,未经许可,不得转载