2013年10月,国家信息安全漏洞共享平台(cnvd)对域名系统软件以及域名机构存在的漏洞风险进行跟踪监测,并联合cnvd合作单位(wooyun网站)接收涉及境内域名机构的漏洞事件报告。现将相关情况通报如下:
一、域名系统软件和域名机构漏洞风险情况
本月,cnvd未收录与域名系统软件的漏洞。根据cnvd合作单位wooyun网站收到的漏洞事件报告,10月份共收到17起涉及7家境内域名机构的漏洞风险事件。其中,涉及新网数码、美橙互联、时代互联等机构的漏洞风险事件较多。从漏洞类型和构成威胁看,信息泄露、sql注入漏洞较多,可构成网站或用户敏感信息泄露,严重的可导致取得系统管理权限。详细列表和典型案例见附件。
二、域名机构漏洞风险事件典型案例
(一)万网分站通标网sql注入漏洞
根据漏洞报送者报告的情况,万网分站通标网存在sql注入漏洞。由于网站对用户的输入缺少过滤,攻击者利用漏洞可获得网站数据库信息,执行数据库查询等操作。构成网站信息泄露和运行风险。cnvd对该漏洞的综合评级为“高危”。参考链接:
(二)新网备案信息管理平台目录遍历漏洞
根据漏洞报送者报告的情况,新网备案信息管理平台目录遍历漏洞。由于网站配置不当,攻击者利用漏洞可遍历网站目录序列,获得敏感信息。构成网站信息泄露和运行风险。cnvd对该漏洞的综合评级为“中危”。参考链接:
(三)时代互联网站dns域传送漏洞
根据漏洞报送者报告的情况,时代互联网站存在dns域传送漏洞,由于网站服务器配置不当,攻击者利用漏洞可将网站信息系统集群的所有域名信息以及服务器主机信息进行列举,发起进一步的攻击,构成信息泄露和运行安全风险。cnvd对该漏洞的综合评级为“中危”。参考链接:
(四)dnspod跨站脚本漏洞
dnspod是国内提供免费智能dns产品的网站,致力于为各类网站提供高质量的多线智能dns免费解析。根据漏洞报告者报送的情况,dnspod存在跨站脚本漏洞,远程攻击者可以利用漏洞可获取敏感信息或劫持用户会话。cnvd对该漏洞的综合评级为“中危”。参考链接:
附件:
2013年10月域名机构漏洞风险事件列表
报告时间 | 漏洞名称 | 评级 |
2013/10/9 | 成都世纪东方多个子站sql注入漏洞 | 高危 |
2013/10/9 | 美橙旗下建站之星sql注入漏洞 | 高危 |
2013/10/9 | 美橙互联分站后台弱口令漏洞 | 中危 |
2013/10/11 | 万网分站通标网sql注射漏洞 | 高危 |
2013/10/11 | 华夏名网分站sql注入漏洞 | 高危 |
2013/10/12 | 时代互联用户信息泄露漏洞 | 中危 |
2013/10/13 | 时代互联svn信息泄露漏洞 | 中危 |
2013/10/13 | 时代互联dns域传送漏洞 | 中危 |
2013/10/17 | 新网备案信息管理平台目录遍历漏洞 | 中危 |
2013/10/17 | 新网网站投诉监查系统sql注入漏洞 | 高危 |
2013/10/18 | 新网销售系统弱口令漏洞 | 中危 |
2013/10/20 | 新网icp备案系统文件包含漏洞 | 中危 |
2013/10/22 | 万网分站sql注入漏洞 | 高危 |
2013/10/23 | 新网主站服务器被入侵 | 高危 |
2013/10/29 | 新网zabbixsql注入漏洞 | 高危 |
2013/10/29 | dnspod跨站脚本漏洞 | 中危 |
2013/10/31 | 美橙互联分站服务器配置漏洞 | 中危 |
附图1域名商漏洞事件统计
