12月第四周安全回顧：雙節期間微軟忙補新漏洞，新Hash將測試

本文同時發表在： [url]http://netsecurity.51cto.com/art/200901/104600.htm[/url]

 

本週（081222至081228）安全業界放假不放鬆，因爲本週恰逢西方的假期季度（聖誕節加新年），安全圈子裏值得關注的消息很少，基本仍以***和威脅方面的爲主。微軟SQL數據庫爆出安全漏洞，目前尚無補丁但已有如何***漏洞的介紹；節日禮物不安全，內藏惡意軟件的數碼產品威脅消費者；安全技術方面，NIST正在制定的新Hash標準將開始公開測試；在本期回顧的最後，筆者將爲你們帶來兩個值得一讀的推薦閱讀文章。

本週的信息安全威脅等級爲低。

 

漏洞***：微軟SQL數據庫新安全漏洞威脅巨大；關注指數：高

 

對微軟來講，2008年的年底顯然是一個很是忙碌的時刻，前兩週微軟才匆忙的爲威脅巨大的IE7漏洞推出緊急安全補丁，本週就又有安全研究人員爆出微軟另一個主要產品——SQL Server數據庫服務器中存在的嚴重安全漏洞。根據12月23日Securityfocus.com的消息，來自安全廠商SEC consult Vulnerability Labs的研究人員Bernhard Mueller發佈一份報告稱，在微軟的SQL Server數據庫服務器產品中存在一個致命的安全漏洞，***能夠經過***SQL Server中存在數據處理缺陷的'sp_replwritetovarbin'存儲過程，在用戶的系統上以SQL Server的權限執行系統命令，並嚴重威脅全部使用SQL Server做爲動態頁面數據的網站，和利用SQL Server提供數據庫服務的其餘應用系統的安全。根據12月23日Darkreading.com的消息，微軟已經在本身的官方站點上發佈針對該漏洞的緊急安全公告，確認該漏洞將會影響除微軟最新的SQL Server 2008以外的全部SQL Server版本。目前微軟仍未推出針對該安全漏洞的補丁，但微軟和安全廠商已經就用戶如何防護針對該漏洞的***提供了一些過渡解決方案，用戶可先禁用SQL Server服務器的遠程鏈接功能，或經過部署應用程序防火牆等措施，防護***藉助SQL注入技術實施針對上述漏洞的***。

該安全漏洞的公開過程，也再次暴露出安全行業和軟件廠商之間缺少足夠的溝通，該漏洞的發現者稱，早在四月份就已經通知微軟有關SQL Server存在該安全漏洞，並提供了詳細的漏洞信息，但微軟一直漠不關心，所以漏洞發現者纔將該漏洞的詳細信息和***方式發佈到互聯網上。但安全行業也廣泛質疑該漏洞發現者的行爲，並認爲其在該漏洞未提供補丁程序前就公開漏洞細節是至關不道德的行爲，對此筆者也深覺得然，畢竟未修補的漏洞及其細節一旦公開到互聯網上，對用戶形成的威脅和損失是難以估算的。筆者建議，SQL Server用戶應關注微軟對該漏洞處理的最新進展，在目前還沒有有補丁程序的狀況下，建議經過更新防火牆規則，刪除'sp_replwritetovarbin'存儲過程、修正Web應用程序代碼等方式，儘量的下降乃至消除該漏洞對Web網站和系統的威脅和影響。

 

惡意軟件：節日禮物不安全，內藏惡意軟件的數碼產品威脅消費者；關注指數：高

近兩年來，剛出廠的消費類數碼產品包含惡意軟件已經不算是很新的新聞，不過此次事件的主角是知名的電子廠商三星卻是第一次了。根據12月24日Securityfocus.com的消息，很多用戶都反映，他們早些時候從Amazon購買的三星數碼相框，都包含了一個名爲Win32.Salty的惡意軟件，該惡意軟件在六個多月前就能被市面上流行的反病毒軟件所查殺。三星電子在本月曾就其數碼相框產品感染惡意軟件發表過一個安全公告，建議用戶先使用反病毒軟件清除數碼相框上的惡意軟件，再從新安裝更新版本的數碼相框管理軟件。該事件再次暴露出消費類數碼產品在銷售前仍缺少有效的數據安全檢測，由於早在一年多前，安全專家就曾發表過安全警告，稱帶有存儲功能的消費類數碼產品有可能成爲惡意軟件傳播源，而美國銷售商Best Buy（百思買）也曾由於這個緣由，今年1月將其銷售的某型號數碼相框撤下貨架。而對消費者來講，若是節假日裏收到帶有內置存儲器的三星數碼相框或者別的相似產品，在使用前最好仍是先用反病毒軟件來檢查下內存中的文件是否安全，要不藏有惡意軟件之類的「意外驚喜」就很差了。

 

安全技術：新的Hash標準將進行公開測試；關注指數：中

Hash技術是一種經過必定的加密算法，將用戶或系統的明文數據轉化成加密數據的技術，它和常見的加密算法不一樣的地方在於，Hash加密是單向的，只能將明文轉化爲密文，而不能將密文再次轉換成明文。所以，Hash算法經常使用於保存密碼、校驗值等須要防止破解的敏感信息，目前最爲經常使用的是MD5和SHA算法，而這兩種算法的早期版本MD4和SHA-1，都存在着容易被破解的缺陷。爲了尋找下一代更安全的Hash算法，標準制定者美國技術標準學會（NIST）正準備舉行一次大規模的測試，根據12月22日Securityfocus.com的消息，NIST即將舉行的針對Hash算法的大規模公開測試中，將採用接近實戰***的方法來找出能夠取代當前Hash算法的替代標準，本次測試將組建51個不一樣的測試組，並對待選的標準進行***嘗試和效能評估，最終沒有被攻破的候選者就是獲勝者。不過NIST也表示，由於當前使用的SHA-2標準仍沒有可實現的***方法，NIST也並不急於選擇一個SHA-2 Hash標準的替代品。對Hash算法設計和***方法有興趣的朋友，能夠到NIST針對這次活動開設的網站去了解一下，網址以下：

[url]http://csrc.nist.gov/groups/ST/hash/sha-3/Round1/submissions_rnd1.html[/url]

 

推薦閱讀：

1） 2008年信息安全領域的6個關鍵詞；推薦指數：高

接近年末，總結關鍵詞成爲互聯網上對2008年進行評價的最流行形式，安全業界固然也不能例外。Darkreading.com文章《2008年信息安全領域的6個關鍵詞》，就總結了2008年最具表明性的6個關鍵詞及其幕後事件，推薦朋友們閱讀一下。文章地址以下：
[url]http://www.darkreading.com/security/management/showArticle.jhtml?articleID=212501928&subSection=Security+administration/management[/url]

2） 如何在兼併收購中保護敏感數據？推薦指數：高

兼併收購成爲衆多企業度過本次經濟危機的無奈選擇，但兼併收購過程當中的業務整合，每每成爲敏感數據泄漏事件高發的威脅階段，如何保護敏感數據就成爲兼併收購順利進行的關鍵。eWeek.com文章《如何在兼併收購中保護敏感數據》對此進行了詳細的討論，推薦相關領域的朋友們瞭解一下。
文章的地址以下：

[url]http://www.eweek.com/c/a/Security/How-to-Protect-Data-during-Financial-Mergers-and-Acquisitions/?kc=rss[/url]