互联网再曝"惊天漏洞" 8系统

作者 澳门葡京赌场官网 来源 科技动态 浏览 发布时间 2018年01月29日

    苹果沦陷、淘宝沦陷、网易沦陷、乐蜂沦陷、百合网沦陷……近日,一个名为“Struts 2”的安全漏洞不仅让众多知名网站陷入安全危机,也让金山安全中心、瑞星互联网攻防实验室、360互联网安全中心等信息安全防护机构同时拉响了红色警报。什么是Struts 2?据介绍,这是多个存在于网站应用框架Struts中的底层软件漏洞,这个漏洞影响力很大却偏偏利用难度低,利用该漏洞,“菜鸟”也可以使用攻击工具直接控制网站服务器,盗取用户数据库,获取网站注册用户的账号密码和个人资料。也正是因此,“Struts 2”被互联网安全领域人士看作是“互联网历史上又一重大安全危机”。

  微软中国昨回应称“感到非常意外”

  A股软件概念股昨集体暴涨

    Struts 2漏洞恐危及多家电商

    据南方日报记者了解, Struts是Apache基金会Jakarta项目组的一个开源项目,它采用MVC 模式,帮助java开发者利用J2EE开发Web应用。目前,Struts广泛应用于大型互联网企业、政府、金融机构等网站建设,并作为网站开发的底层模板使用。瑞星安全专家介绍,本次曝出的2个漏洞是由于缩写的导航和重定向前缀“action:”、“redirect:”、“redirectAction:”造成的。瑞星安全专家表示,由于这些参数前缀的内容没有被正确过滤,导致黑客可以通过漏洞执行命令,获取目标服务器的信息,并进一步取得服务器最高控制权。届时,被攻击网站的数据库将面临全面泄密的威胁,同时黑客还可以通过重定向漏洞的手段,对其他网民进行钓鱼攻击或挂马攻击。

    360安全专家石晓虹博士在接受采访时表示,由于Struts 2属于底层框架,其漏洞影响范围广、利用难度低,“菜鸟”也可以使用攻击工具直接控制网站服务器,盗取用户数据库。“2011年底多家网站‘密码库’泄露事件有可能再次上演。”据资料显示,2011年12月,CSDN的安全系统遭到黑客攻击,600万用户的登录名、密码及邮箱遭到泄露。随后,CSDN“密码外泄门”持续发酵,天涯、世纪佳缘、人人网等网站相继被曝用户数据遭泄密。天涯网更发布致歉信,称天涯4000万用户隐私遭到黑客泄露,据统计,CSDN“密码外泄门”造成超过1亿账号密码被曝光在网上。而如今Struts 2漏洞更被不少业内人士看作是CSDN“密码外泄门”后,中国互联网领域中又一次大量用户个人信息泄露的“惨剧”。南方日报记者在一份“乌云网公布的存在漏洞的网站名单”内看到,受Struts 2漏洞影响的网站不乏天极网、百合网、网易、17173、乐蜂网等国内知名互联网网站。而据金山安全专家表示,由于国内大量电子商务网站基于Struts建设,在这次Struts 2漏洞风暴中或将沦为重灾区。

    意识漏洞比技术漏洞更可怕

    “互联网数据大规模被泄露,这种情况已经存在很长时间,长久以来国内整个信息系统都存在着问题。这是所有的网络公司存在的问题。”CSDN总裁蒋涛曾经就国内互联网安全问题发表过自己的看法,“第三方数据安全审计公司对各网站的扫描结果显示,80%以上的互联网公司都存在着漏洞,有安全策略的公司60%以上还存在着漏洞,这是我们互联网的现状。”蒋涛认为国内互联网公司当前普遍存在两个现状,一是重视业务,二是缺乏安全意识,对于数据安全和系统安全认识不够。

    有安全领域专家在接受记者采访时就表示,Struts 2漏洞并非第一次爆发,类似的问题其实一直都存在于互联网领域内,但是由于之前并未被黑客加以利用而造成太大影响,所以让很多网站的安全管理人员不够重视并心存侥幸。据南方日报记者了解,国内大量的网站均存在该漏洞,但大部分网站连Stuts 2之前的老漏洞都尚未进行过修复,而在本次Struts 2漏洞出现后,使得用户的个人信息成为了黑客眼中的“鱼肉”。

    “我们金山毒霸能做的比较有限。”作为互联网安全软件,金山网络相关负责人在接受南方日报记者采访时坦言,在面对类似Struts 2漏洞的网络安全威胁时,一般的互联网安全软件的作用仅仅是提醒用户,但是主动能够提供的防御非常有限。有安全领域专家表示,目前还没有确切证据标明已经有大型网站的数据库被拖库(拖库是指将从数据库导出数据,各大网站通常会将数据库进行加密,黑客会将这些数据库破解并获得数据),而黑市上也没有新的数据库出现,主要是由于Struts 2漏洞公开的时间不长,影响可能要到几个月后才会显现。

    面对新漏洞,我们怎么防?

    瑞星安全专家提醒广大网站管理员,应到Struts 2的官方网站下载最新的补丁程序,尽快将Struts 2升级到最新的2.3.15.1版本,以避免可能遭遇的严重安全威胁。

  国家机关采购计算机禁装Win 8系统

  微软中国昨回应称“感到非常意外”

  A股软件概念股昨集体暴涨

  中国政府采购网上周发布了《关于进行信息类协议供货强制节能产品补充招标的通知》(以下简称《通知》),规范政府采购行为。通知要求,所有计算机类产品不允许安装Windows8操作系统。

  “禁令”一出,引起广泛关注。

  中国工程院院士倪光南表示,这项规定的出台与保证政府部门信息安全有关。同时,如果不能入围政府采购,势必对微软中国的业绩造成冲击。

  微软中国昨天晚些时候作出回应,称对此感到非常意外。

  禁令

  政府采购电脑

  禁装Win8系统

  中央国家机关政府采购中心上周发布的《通知》,对入围中央机关采购范围内的信息类产品新的采购作出了规定,其中要求所有计算机类产品不允许安装Windows 8操作系统。

  《通知》未对这项要求作出解释。中央国家机关政府采购中心相关工作人员在接受新浪科技问询时未作回应。

  记者在由中央国家机关政府采购中心主办的中央政府采购网上查阅发现,在软件产品采购目录中,涉及个人操作系统的可选产品中已经没有微软公司的产品。

  而入选采购名单的各大PC厂商提供的计算机产品也都是安装微软上一代的Windows 7操作系统。不过,值得注意的是,微软服务器操作系统、办公软件等产品仍然在可选采购名单之中。

  “禁令”或与信息安全有关

  中央国家机关为什么要禁止安装Win 8操作系统?中国工程院院士倪光南认为,这项规定的出台可能与保证政府部门信息安全有关。

  倪光南表示,新一轮政府采购禁用Windows 8操作系统应在情理之中。他认为,Windows 8系统的不可控程度高,采用该系统的电脑存在着被监控的风险。

  倪光南曾在多个场合表示,微软Windows 8操作系统采用了不安全的技术架构,政府部门以及重要行业不宜采购该类操作系统。

  倪光南今年3月接受央视采访时指出,微软Windows 8操作系统和微软Vista操作系统采用了同类架构,对于用户的电脑有强大的控制权,而且Windows 8操作系统不可控的程度超过Vista。

  他指出,Windows 8集成了杀毒软件,它的功能就是经常扫描用户的电脑。“假如要做监控,这个信息监控是非常容易的。”

  在倪光南看来,如果国内的信息终端都安装了有安全风险的操作系统,将是一个“重大的信息安全事件”。他还举例称,2008年发生的微软“黑屏”事件,事实上暴露了使用微软操作系统所隐藏的安全风险。

  2008年10月,微软公司以“打击盗版行为,维护知识产权”为名,在中国启动了黑屏计划。如果用户的微软操作系统和办公软件没有通过验证,用户的桌面背景将会每小时被刷黑一次。

  为此,他推荐使用国产操作系统来进行替代。倪光南建议,国家目前虽然也有支持国产操作系统的措施,但分散在各个部门中,应该提高到中央的层面统一协调。国家应该在政府采购中进一步加大对国产操作系统的支持。特别是对于一些行业,担心采用国产操作系统,如果出现问题需要承担责任的情况,有关部门应该采取免除责任的措施。同时,发展国产操作系统,不应该仅仅靠国产操作系统企业,在中国工程院多位院士的倡导下,由中国电子信息产业集团公司、中国电子科技集团公司、中国软件行业协会等企业和机构共同发起了中国智能终端操作系统产业联盟,这将改变国产操作系统缺乏软件和硬件支持的尴尬。

  影响

  微软在华业绩将大受影响

  实际上,在很多国内政府单位中,微软Windows XP是应用最为普及的操作系统之一。而在今年4月,微软宣布停止对XP系统的官方支持,不再为这款操作系统提供包括修补漏洞在内的服务,并呼吁用户尽快升级到Windows 8操作系统。

  很多业内人士认为,微软此举是希望借助用户升级获得更多利润。但是,如今中央国家机关提出不采购Windows 8操作系统,这可能会对微软中国的业绩产生不小的冲击。

  中央国家机关主要包括国务院各部委、各直属机构、办事机构、直属事业单位、有关人民团体。虽然这些中央机关部门的采购规模可能有限,但是非常有可能形成极强的示范效应,导致地方政府部门也会禁止Windows 8操作系统。

  对于中央机关采购所有计算机类产品不允许安装Windows 8操作系统一事,微软中国昨天晚些时候回应称,“感到非常意外”。

  微软中国称,“该通知中所涉及的Windows 8的相关内容,令我们感到非常意外。”微软中国表示,“微软一直以来始终与中央国家机关政府采购中心以及其他政府机构紧密合作,积极配合政府采购中的产品评估工作,并确保我们提供的产品和服务都能达到政府采购的所有要求。”

  微软中国还表示,“一方面,我们会持续为政府用户提供Windows 7;同时,我们也正与相关政府机构积极配合,进行Windows 8的产品评估工作。”

  政府软件采购首提国产化,软件概念股暴涨

  昨日,受利好消息刺激,软件服务股集体暴涨。其中,创意信息、安硕信息、天源迪科涨停,卫宁软件、中国软件、赢时胜、东方通涨幅超8%,绿盟科技、新大陆涨幅超7%。

  国金证券最新研报指出,从中国的政策导向上来看,政府已经将信息安全上升到国家安全。国产的操作系统也将成为保障信息安全的重要组成。目前中标的麒麟操作系统是应用最广的国产操作系统,由中国软件的50%控股子公司中标软件研发,预计未来将是国产操作系统的重要选择之一。A股上市公司中,北信源、中国软件等个股值得关注。

  此外,有分析称,网络安全概念股也因此有望受益,包括蓝盾股份、方正科技、任子行、启明星辰、美亚柏、长城电脑等。

  中国工程院院士邬贺铨认为,微软停止对Windows XP技术支持一事,给国产操作系统的发展带来了一个难得的契机。工业和信息化部总工程师张峰日前也曾表示,希望广大用户关注Windows XP停止服务带来的潜在安全风险,采取措施做好安全防范。希望广大使用XP系统的个人用户,及时下载安装国内相关企业提供的防护软件,降低信息安全风险。工信部也将继续加大力度,支持我国Linux操作系统的研发和应用,也希望广大用户给予这些产品更多的支持。

  背景

  政府部门

  日益重视信息安全

  要求中央机关采购的电脑不安装Windows 8操作系统,与政府部门越发重视信息安全有关。

    金山毒霸提醒普通网民高度注意以下两点:1.近期需要特别重视防骗:可能会有攻击者利用泄露出来的网民个人信息大量行骗。2.建议修改重要的网站登录密码(如购物网站、重要电子邮箱等),有一个密码通行所有网站的用户必须改变这种不良习惯,因攻击者可以轻易使用原来的密码去尝试登录更多网络服务。南方日报记者 叶丹

  分析人士认为,在国家重视信息安全的大背景下,政府部门可能对操作系统这样的基础软件的安全问题进行了重新审视。

  近日中美再度就网络安全问题进行交锋,美国司法部19日宣布以所谓网络窃密为由起诉5名中国军官,国家互联网信息办公室公布美国攻击中国网络最新数据。亚洲安全问题论坛昨日开幕,网络安全也是重要议题之一。

本文由百家乐官方网站http://www.weilin123.com/原创编辑,转载请注明出处!

  转载注明:文章均为365最新地址原创,转载请注明本文地址:http://www.jewelove.net/kjdt/9353.html

365体育投注 365备用网址