目 录
五、信息安全事件
5.1 DOTA2论坛数据库被黑 200万用户信息遭泄露
5.2 雅虎遭黑客袭击 2亿账户信息被窃取
5.3 谷歌商店百余APP感染木马 数百万用户受影响
六、信息安全建议
6.1 安全产品和服务器应用
6.2 桌面与移动应用
五、信息安全事件5.1 DOTA2论坛数据库被黑 200万用户信息遭泄露
一直以来,备受欢迎的DOTA2论坛近期遭到了黑客的恶意攻击,近200万用户的账户信息遭到了泄露。据了解,黑客主要是利用DOTA2论坛数据库中存在的安全漏洞进行攻击的,因此才盗走了200万用户信息。
从一个匿名消息来源收到的数据进行分析,显示被窃取的数据库中包含1923972论坛用户记录,其中包括用户名,电子邮件地址,用户识别码,密码,IP地址。
其中,密码采用MD5散列算法,由于MD5被认为是一个非常弱的哈希算法,因此黑客已经设法破解至少有80%的用户密码,恢复到明文版本。另外,所有的近200万用户当中,超过一半的用户使用Gmail电子邮件地址注册,并且包含大量的一次性电子邮件地址。
目前,DOTA2官方开发者论坛已经承认这次攻击,并且呼吁用户必须重新设置论坛密码。DOTA2官方开发者论坛不是DOTA2游戏的官方论坛,但提供给游戏和应用程序开发人员使用。DOTA2是由Valve开发的游戏。DOTA2官方开发者论坛采用vBulletin平台。
泄露的数据库包含1,923,972条用户的账户信息,包括注册邮箱、IP 地址、用户名、用户标识符和密码。其中泄露的密码倒不是明文而是MD5加盐哈希密码,然而这种加密算法的安全性在目前来说已经是比较低了。LeakedSource称虽然密码是经过加密存储的,但他们可以将 80%的加密密码转为明文密码。DOTA 2官方论坛中的中文用户总体数量并不算很多,不过如果你是该论坛的用户也一定要记得去更新密码。
论坛管理员表示,这次攻击被黑的数据库只涉及到DOTA2官方开发者论坛,并且不包含任何Valve用户凭证,付款信息或Steam帐号等任何其他私人信息。
这一次事件给大家敲响了警钟。黑客能够利用漏洞发动SQL注入攻击,证明了该论坛的安全措施还完善不到位,应加强维护。
5.2雅虎遭黑客袭击 2亿账户信息被窃取
据国外媒体CNET报道,使用各种大小写字母并且加上数字或许也已经无法保证账户的安全了。本周一,根据Motherboard的消息,一个名叫“和平”的黑客宣称其已经盗取了2亿雅虎用户的用户名和密码,并且将这些信息出售给了黑客网络。
雅虎目前尚未确认此次黑客袭击事件。雅虎新闻发言人表示,他们的安全团队正在努力调查此次事件的真实性。
今年5月,黑客“和平”曾声称他已经盗取了上百万的领英和MySpace账户的登录信息,并出售给了黑客网络。这两家公司都确认了黑客袭击事件。但此次雅虎黑客事件的真实性目前尚不清楚。
5.3谷歌商店百余APP感染木马 数百万用户受影响
根据Dr.Web的报道,谷歌应用商店目前已经有155个应用程序也就是APP感染了木马,这些木马导致了全球越280万用户收到不同程度的影响。
这些木马手机用户设备的信息和详细参数,然后让手机的操作系统通知栏显示各种广告,这些广告多数存在恶意嫌疑。该安全公司表示,他们已经把这个木马通知谷歌,但谷歌并未删除所有侵权软件或者标示已感染的App避免客户下载。
该木马的名字为Android.Spy.305,早在今年四月份就已经发现了,当时安全人员发现谷歌应用商店已经有不下百余APP感染,下载次数超过300万次,感染了用户达到280万。幸运的是,目前为止木马只是专注于提供广告,并没有从用户设备上窃取敏感数据。
六、信息安全建议
厂商已针对漏洞发布安全公告和补丁程序,建议用户随时访问厂商主页或相关链接以获取漏洞解决方案,及时关注并下载软件更新,防范黑客攻击。软件版本列出的是截止目前厂商发布的最新的稳定版本或正式版本,推荐用户更新,软件版本以红色字体标出表示在本月发生更新。
6.1安全产品和服务器应用
虚拟化应用
序号
软件名称
软件版本
相关链接
1
VMware ESXi
ESXi600-201608001
ESXi550-201608001
ESXi510-201605001
ESXi500-201606001
https://my.vmware.com/group/vmware/patch#search
(需要登录)
https://www.vmware.com/security/advisories
2
VMware vCenter Server
6.0.0-3460911-20160301 VC-5.5.0-U3e
3
XenServer
7.0/6.5
https://www.citrix.com/downloads/xenserver.html
4
XenApp
7.9
5
XenDesktop
7.9
数据库应用
序号
软件名称
版本
相关链接
1
IBM DB2
10.5.0.7
10.1.0.5
https://www-933.ibm.com/support/fixcentral
2
PostgreSQL
9.5.4
https://www.postgresql.org/download
3
MySQL Database
5.7.14
5.6.32
5.5.51
https://dev.mysql.com/downloads
4
Microsoft SQL Server
2016/2014/2012/2008R2
https://www.microsoft.com/zh-cn/server-cloud/products/sql-server/
防病毒程序
序号
软件名称
版本
相关链接
1
TrendMicro OfficeScan
11.0 SP1 Build 6079.00
10.6 SP3 Patch1
https://downloadcenter.trendmicro.com/index.php?clk=left_nav&clkval=all_download®s=CH
2
TrendMicro TMCM
6.0 SP3
3
TrendMicro ServerProtect
5.8 Patch Build 1343.00
IBM公司软件
序号
软件名称
版本
相关链接
1
IBM Domino
9.0.1.6
8.5.3.6
https://www-933.ibm.com/support/fixcentral/
2
IBM Notes
3
IBM WebSphere Application Server
9.0.0.1
8.5.5.10
4
IBM WebSphere Portal
8.5.0.0
5
IBM Tivoli Storage Manager FastBack
6.1.12.3
操作系统
序号
软件名称
版本
相关链接
1
Solaris
11.3.10.5.0
10.0 CPU 2016.7
https://www.oracle.com/technetwork/topics/security/alerts-086861.html
2
FreeBSD
10.3-RELEASE-p3
10.2-RELEASE-p17
10.1-RELEASE-p34
9.3-RELEASE-p42
https://www.freebsd.org/where.html
3
Linux
4.7.2(内核版本)
https://www.kernel.org/
4
Redhat RHEL
7.2(3.10.0-327)
6.8(2.6.32-642)
5.11(2.6.18-398)
https://access.redhat.com/articles/3078
https://access.redhat.com/support/policy/updates/errata/
5
SUSE Linux Enterprise
12 SP1
11 SP4
https://download.suse.com/index.jsp
F5公司应用
序号
软件名称
版本
相关链接
1
F5 FirePass
7.0 Cumulative HF-70-9
https://login.f5.com/resource/login.jsp
(需要登录)
2
F5 BIG-IP
Hotfix-BIGIP-12.0.0.1.0.628-HF1
Hotfix-BIGIP-11.6.0.6.0.442-HF6
Hotfix-BIGIP-10.2.4-870.0-HF13
FTP服务器应用
序号
软件名称
版本
相关链接
1
ProFTPD
1.3.5b
https://www.proftpd.org/
2
Serv-U FTP Server
15.1.3.3
https://www.serv-u.com/downloads
网站&论坛&博客应用
序号
软件名称
版本
相关链接
1
Apache HTTP Server
2.4.23
2.2.31
https://httpd.apache.org/
2
Apache Tomcat
7.0.70
8.5.4
https://tomcat.apache.org/
3
Tomcat Native
1.2.8
https://tomcat.apache.org/download-native.cgi
4
Tomcat Connectors
1.2.41
https://tomcat.apache.org/download-connectors.cgi
5
Apache Struts
2.5.2
https://struts.apache.org/
6
Apache ActiveMQ
5.14.0
https://activemq.apache.org/download.html
7
Apache Qpid
0.22
https://qpid.apache.org/download.html
8
nginx
1.11.3
1.10.1
https://nginx.org/
9
OpenSSL
1.1.0
1.0.2h
https://www.openssl.org/
10
PHP
5.6.25
7.0.10
https://php.net/
11
Zend Framework
2.5.0
https://framework.zend.com/downloads/latest
12
WordPress
4.6
https://wordpress.org/download/
16
PHPWind
9.0.1
https://www.phpwind.net/
17
Discuz!
3.2
https://www.discuz.net/forum.php
18
Drupal
8.1.8
https://www.drupal.org/download
其它服务器应用
序号
软件名称
版本
相关链接
1
ISC BIND
9.9.9-P2
9.10.4-P2
https://ftp.isc.org/isc/
2
ISC DHCP
4.1-ESV-R13
4.3.4
3
OpenSSH
7.3
https://www.openssh.com/
4
NTP
4.2.8p8
https://www.ntp.org/downloads.html
5
Squid
3.5.20
https://www.squid-cache.org/Versions/
6
ownCloud Server
9.1.0
https://owncloud.org/
7
FreeRADIUS
3.0.11
https://freeradius.org/download.html
8
OpenLDAP
2.4.44
https://www.openldap.org/software/download/
9
Samba
4.4.5
https://www.samba.org/samba/download/
10
glibc(GNU C Library)
2.24
https://ftp.gnu.org/gnu/glibc/
11
GNU Libgcrypt
1.7.3
https://www.gnu.org/software/libgcrypt/
12
GNU GCC
6.2
5.4
4.94
https://gcc.gnu.org/
13
GNU Bash
4.4
https://ftp.gnu.org/gnu/bash/
6.2桌面与移动应用
网页浏览软件
序号
软件名称
软件版本
相关链接
1
Internet Explorer
11.0.9600.18376
https://windows.microsoft.com/zh-cn/internet-explorer/ie-11-worldwide-languages/
2
Google Chrome
52.0.2743.116
https://www.google.cn/intl/zh-CN/chrome/browser/desktop/index.html
3
Mozilla Firefox
48.0.2
https://firefox.com.cn
4
Opera
39.0.2256.48
https://www.opera.com/zh-cn/computer
5
Adobe Flash Player
22.0.0.209
https://www.adobe.com/support/flashplayer/downloads.html
远程控制软件
序号
软件名称
软件版本
相关链接
1
Putty
0.66
https://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
2
SecureCRT
8.0.2
https://www.vandyke.com/download/securecrt/download.html
3
Xmanager Enterprise
5.0 Build 0987
https://www.netsarang.com/download/down_xme.html
4
VNC
5.3.2
https://www.realvnc.com/download/vnc/
5
TeamViewer
11.0.65452.0
https://www.teamviewer.com/zhcn/download/windows.aspx
6
Dameware Remote Mini Controller
12.0.0
https://www.dameware.com/downloads.aspx
文件传输软件
序号
软件名称
版本
相关链接
1
WinSCP
5.9.1
https://winscp.net/eng/download.php
2
flashfxp
5.4.0.3939
https://www.flashfxp.com/download
文档阅读软件
序号
软件名称
版本
相关链接
1
Adobe Reader
11.0.17
https://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
2
Foxit Reader
8.0.4.815
https://www.foxitsoftware.cn/downloads/
虚拟机应用
序号
软件名称
版本
相关链接
1
VMware Workstation
12.1.1-3770994
https://www.vmware.com/cn/products/workstation/workstation-evaluation
2
Oracle VM VirtualBox
5.1.4
https://www.virtualbox.org/
苹果公司应用
序号
软件名称
版本
相关链接
1
Apple OS X El Capitan
10.11.6
https://support.apple.com/zh_CN/downloads
2
Apple OS X Yosemite
10.10.5 2016-004
3
Apple OS X Mavericks
10.9.5 2016-004
4
Apple OS X Mountain Lion
10.8.5 2015-006
5
Apple iTunes
12.4.3
6
Apple Xcode
7.3
7
Apple iOS
9.3.5
8
Apple Safari
9.1.2
9
Apple tvOS
9.2.2
10
Apple watchOS
2.2.2
其它桌面应用
序号
软件名称
版本
相关链接
1
Java SE JDK and JRE
8.0 Update 101/102
https://www.oracle.com/technetwork/java/javase/downloads/index.html
2
Wireshark
2.0.5
https://www.wireshark.org/download.html
3
Python
3.5.2
2.7.12
https://www.python.org/download
4
phpMyAdmin
4.6.4
4.4.15.8
https://www.phpmyadmin.net/home_page/downloads.php
5
TrueCrypt
7.1a
https://truecrypt.ch/downloads/
6
QEMU
2.6.1
2.5.1.1
https://wiki.qemu.org/Download
7
OpenVPN
2.3.12
https://openvpn.net/index.php/open-source/downloads.html