来自波兰的安全研究人员Dawid Golunski刚刚发现了两个MySQL的0-day漏洞,影响到所有版本分支、默认配置的MySQL服务器(5.7、5.6和5.5),包括最新版本。攻击者可以远程和本地利用漏洞。攻击者成功利用漏洞后,可以ROOT权限执行代码,完全控制MySQL数据库。攻击者仅需有FILE权限即可实现ROOT提权,进而控制服务器。 漏洞编号: CVE-2016-6662与CVE-2016-6663 漏洞影响: MySQL  <= 5.7.15       远程代码执行/ 提权 (0day) 5.6.33 5.5.52 MySQL分支亦受影响,包括: MariaDB PerconaDB 漏洞介绍: CVE-2016-6662漏洞可令来自远程或本地的攻击者,往MySQL设置文件(my.cnf)中注入自定义的数据库设置。该问题仅影响到默认设置下的MySQL服务器,从漏洞利用步骤来看,在数据库重启后即可触发。通常在系统更新、包更新等操作期间,数据库服务器都会重启。 认证访问MySQL数据库(通过网络连接或者如phpMyAdmin一类web界面),以及SQL注入都可作为漏洞利用方式——尤其SQL注入增加了该漏洞的风险。攻击者成功利用漏洞后,就能以root权限执行任意代码,并达到完全控制MySQL服务器的目的。 CVE-2016-6663漏洞尚未公开,实际上这是CVE-2016-6662的一个变体——同样是在root权限下进行远程代码执行(据说甚至不需要有FILE权限)。 修复方案: MariaDB和PerconaDB已经发布补丁修复漏洞,Oracle方面则需要等到下一波推送的10月关键补丁更新,具体时间是10月18日。 Golunski另外也提供了临时缓解漏洞危害的方法: “用户应该确保,MySQL配置文件不在mysql用户手中,并建立root权限、不使用的、伪装的my.cnf文件。” 但这仅是变通方案,用户应在补丁发布后立即更新。 POC链接:http://legalhackers.com/advisories/MySQL-Exploit-Remote-Root-Code-Execution-Privesc-CVE-2016-6662.html 有关为何Oracle要到10月修复漏洞的问题: Oracle应该算是家严格遵守安全更新计划的企业,他们发布安全更新的频率是每3个月1次——上一次Oracle关键补丁更新是在7月19日。Golunski表示,他向Oracle上报这两个漏洞的时间是7月29日,Oracle方面已经了解到该漏洞的存在性,预计将在10月18日发布关键补丁更新。 Golunski表示:“PerconaDB和MariaDB都已经在8月30日修复这两个漏洞…自上报问题以来,已经超过40天时间,补丁也已经公开,所以我决定公开漏洞(带部分PoC),在Oracle发布下一波关键补丁更新之前,也能够起到警示用户有关其风险性的作用。” 不过Golunski也明确表示,这只是缓解方案。MySQL用户应该在厂商发布补丁之后就立刻应用补丁。 ...

Michael Cobb:自上世纪90年代,攻击者就已经开始利用XSS漏洞,并且,最主要的网站(例如谷歌、雅虎和Facebook)都在一定程度上受到过XSS漏洞的影响。与大多数应用层攻击(例如SQL注入),基于XSS的攻击会攻击应用的用户,而不是应用或服务器。这些攻击的工作原理是注入代码(通常例如JavaScript客户端脚本)到Web应用的输出。大部分网站有很多注入点,包括搜索域、cookies和表格。虽然这些恶意脚本不能直接感染服务器端信息,它们仍然可以破坏网站的安全性。通过使用Document Object Model操作来更改表格值,改变网页的外观或切换表格操作以张贴提交的数据到攻击者的网站,攻击者可以窃取数据、控制用户的会话、运行恶意代码或用作网络钓鱼欺诈的一部分。 XSSI是XSS的一种形式,它利用了这样一个事实,即浏览器不会阻止网页加载图像和文字等资源,这些资源通常托管在其他域和服务器。例如,脚本可能提供攻击者需要的功能,帮助创建特定的页面—很多网站包含托管在https://developers.google.com/speed/libraries/#jquery的JavaScript库jQuery。然而,这种包含可能被利用来从一个域名读取用户数据—当用户正在访问另一个域名时。例如,如果ABC银行有一个脚本用于读取用户的私人账户信息,攻击者可以在其自己的恶意网站包含这个脚本,当ABC银行的客户访问攻击者的网站时,攻击者就可以从ABC银行的服务器提取用户信息。 开发者可以部署多种措施来抵御XSSI攻击。其中一种方法是向用户提供独特的不可预测的授权令牌,在服务器响应任何请求之前,需要发送回该令牌作为额外的HTTP参数。脚本应该只能响应POST请求,这可以防止授权令牌作为GET请求中的URL参数被暴露,同时,这可以防止脚本通过脚本标签被加载。浏览器可能会重新发出GET请求,这可能会导致一个操作会执行一次以上,而重新发出的POST请求需要用户的同意。 在处理JSON请求时,在响应中增加非可执行前缀,例如“\n”,以确保脚本不可执行。在相同域名运行的脚本可以读取响应内容以及删除前缀,但在其他域名运行的脚本则不能。此外,开发者还应该避免使用JSONP(具有填充功能的JSON)来从不同域名加载机密数据,因为这会允许钓鱼网站收集数据。同时,发送响应表头“X-Content-Type-Options: nosniff”也将帮助保护IE和谷歌Chrome用户免受XSSI攻击。 为了应对XSS攻击,可在HTTP Content-Type响应表头或者HTML代码中meta标签中http-equiv属性中指定CHARSET,让浏览器不会解译其他字符集的特殊字符编码。对于使用ASP.NET开发网站的开发者,微软Anti-Cross Site Scripting Library可以帮助保护Web应用抵御跨站脚本漏洞。 现在有很多开源漏洞扫描工具可供开发者使用,以测试其代码是否容易遭受XSS攻击,例如Vega、Wapiti、OWASP的Zed Attack Proxy和Skipfish。企业应该定期对网站进行扫描,同时,在底层代码变更或依靠第三方库的功能集成到各种网页时,也应该扫描网站。 读完此文,大家应该知道两者的区别在哪了。 ...

 在零信任安全(zero trust security)的物理实施环境下,数据流通过一个集中式安全设备传输。零信任安全其实是一种安全模式,在这种模式下,任何用户、接口或应用程序在默认情况下都不“可信”。但由于单一设备需要过滤所有的数据流,零信任安全策略很难灵活地扩展。不过,当工作负载和网络基于虚拟化或云计算时,环境却可以灵活扩展。 在数据中心中,微分隔(micro-segmentation)让零信任安全可以得到大规模地运用,而微分隔是基于虚拟机管理程序的网络覆盖机制的一个副产品。据风险投资公司Battery Ventures的技术研究员、Netflix前云计算架构师Adrian Cockcroft声称,就云服务而言,微分隔常常是固有的。下面看一下各种虚拟化和云计算平台里面的微分隔和零信任安全功能。 VMware NSX VMware的网络虚拟化平台NSX可以过滤进出虚拟机管理程序的任何数据流。这项功能带来了零信任安全机制。VMware利用NSX的分布式防火墙具有的可扩展性,在不同主机上的虚拟机之间形成零信任安全。还可以在同一个逻辑第2层广播网络上的主机之间建立安全策略。 VMware的方法是抽取物理零信任安全,同时利用基于虚拟机管理程序的网络覆盖系统具有的分布式特性。管理员可以在集成式管理系统中制定规则,这些规则可以跨分布式防火墙设备来执行。结果就是,集中管理的解决方案可以灵活扩展,支持每个虚拟机管理程序为两位数Gbps的数据流。 ...

如今,IT决策者面临的压力比以往任何时候都要大,需要交付满足公司员工、合作伙伴和客户预期目标的IT解决方案,这些人日益要求在其最新的设备上运行创新的应用程序。实际上,如今CIO们有必要将IT视作其核心竞争力的一个关键要素,而不仅仅是一块需要加以管理的成本——不过牢牢控制成本是永恒不变的要求。 这时候,云计算就有了用武之地。IT部门日益依赖云计算,作为交付其员工几乎立即需要的服务的一种方式,同时降低成本、尽量减小复杂性。正是由于能够按照需要扩增或减少计算资源,同时缩短配置所需IT资源要花的时间,开发运营(DevOps)团队得以迅速构建和发布新的应用程序和服务,然后第二天用同样的资源做全然不同的事务。 这是表现卓越的公司已经在利用云计算转变其业务经营方式的主要原因之一。云让它们得以迅速发布新的产品和服务,从而让它们能够更高效地运营,改善客户和员工的体验,并且更有效地展开竞争。 与许多热门词汇一样,“云”可能需要一番澄清,因为有不同类型的云:公有云,多个用户或多家组织之间共享;私有云,由某一家组织独家享用;以及混合云,它结合了公有云资源和私有云资源,以优化成本和灵活性,同时支持必要的安全和控制。 公有云一向是为企业内部的IT设定预期目标的驱动因素。许多企业用户青睐公有云的易用性、弹性和按使用核计成本的模式。然而,出于安全、合规和成本控制方面的考虑,你又无法完全采用公有云方法,而是需要考虑构建私有云,或者充分利用混合云,以满足自己的具体要求。 这种方法在研究公司Penn Schoen Berland(PSB)为阿尔卡特-朗讯公司完成的一项近期调查中得到了证实;调查发现,五分之三的大企业已经在使用某种云计算。绝大多数(74%)在采用私有云。与此同时,IT决策者们声称,向云计算迁移是对其组织在今天和未来会带来最大影响的IT议题。 在我们采访的大企业(从金融服务机构到医疗服务机构)中,一个共同的主题是:它们之所以部署了私有云,是由于虽然它们想充分利用云,但是由于隐私和合规方面的担忧,可以存储以及应该存储在公有云中的数据类型却备受关注。 比如说,PSB的研究发现,只有一小部分的医疗服务机构(12%)将病人健康记录存储在公有云或私有云中;而将客户财务记录存储在公有云/混合云环境中的金融服务公司比例就更少了(10%)。在这两个细分市场,保护客户数据是首要问题。 话虽如此,采用私有云不足以满足每一家公司的具体要求。安全方面的需求仍然存在,不过针对不大敏感的数据充分利用混合云或公有云的灵活性及/或满足不断变化的需要也很重要。 网络安全在云环境下颇具挑战性,那是由于架构是动态的;那样一来,固定不变的安全措施显得颇为笨拙、成本高昂。与此同时,黑客们更加狡猾,日益发动可能持续数月之久的持续性攻击,企图攻陷网络和云。不过,尽管存在这些问题,安全和合规在部署的云环境中仍可以得到加强。 一些软件定义的网络(SDN)方法可以为处于网络第一个连接点的虚拟机和应用程序落实安全。另外,细粒度的策略控制机制让你可以满足部门、网络、应用程序、容器或虚拟机的特定安全要求。 我们常常没有认识到云计算等新潮流给网络、乃至整个IT带来的影响(包括好的影响和坏的影响)。为了充分发挥云计算的好处,IT基础设施和方法必须继续不断完善,以化解由此带来的风险。 好消息就是,据PSB声称,英国35%的大企业和美国30%的大企业将会在云服务方面投入额外的IT预算,这意味着采用云计算的愿望和资源确确实实存在。 英文:Overcoming Cloud Security Challenges ...

如果想要确保AWS的安全性,那么第一步就是要知道应避免犯哪些错误。所以,如果想要迈出正确的一步,那么就应从常见的AWS安全性失误前车之鉴中学得一二。 云计算和软件即服务(SaaS)已经改变了IT安全领域,但并不是所有运行AWS环境的人员都能够在第一时间了解到这一点的。 这是一位参加在上周波士顿召开的AWS Meetup的云咨询顾问以及一众参加会议并在确保AWS环境安全性方面拥有大量经验的与会者发出的声音。 随着云计算和软件即服务的逐渐普及,近期内深刻撼动IT安全领域的最显著变化之一就是像联邦贸易委员会(FTC)和美国证券交易监督委员会这样的监管部门都变得活跃起来了,stackArmor公司的平台架构与安全DevOps策略师兼云经纪人Gaurav Pal说,stackArmor公司是一家总部设在马里兰州Potomac的云咨询公司,该公司还是AWS的合作伙伴。 去年,FTC赢得了温德姆集团一案的胜利,从而第一次在数据安全领域行使了其管辖权。在2016年1月,FTC向亨利施恩公司(一家总部位于纽约州 Melville的牙科诊所软件供应商)发出了一张高达二十五万美元的罚单,FTC指控该公司使用虚假广告的加密水平来保护患者数据。 由此看来,监管部门的步伐正在赶上云计算发展的速度,而现在“缺乏安全感就必须付出代价,”Pal在他发表的演讲中说。 与此同时,当云用户——尤其是众多的SaaS初创企业——也希望在开发运营(DevOps)中的“开发”部分变得更强而在“运营”上相对弱化时,网络和SaaS产品已经改变了确保IT环境安全性的方法。 亟待解决的AWS安全性首要问题 避免犯AWS安全性错误只是成功了一半。请仔细阅读,看看专家认为应如何确保您的AWS环境的安全性,其中包括: ◆使用固定API ◆应用最小特权原则 ◆将使用的工具 从根本上了解我们是如何确保AWS环境安全性的。 “十年前,应用程序的发布还只是通过一张CD光盘,而现在SaaS模式要求供应商使用Ops的方式,”Pal说。 传统的计算机科学教育项目并没有非常关注安全性,他们只是以纯粹编程的方式来对学生进行这方面的训练,RBM科技公司的IT总经理Jason Dunkerley在Meetup会议后接受SearchAWS的单独采访时说,RBM科技是一家总部位于波士顿的商品零售SaaS供应商。 鉴于云和SaaS行业仍处于各自的起步阶段,还没有像国家职业工程师协会(NSPE)那样成立核心软件工程师专业群体,Dunkerley指出。但是,在云时代,开发人员可以快速地进行产品开发,他们拥有一次为成千上万用户提供服务且无需做出巨额前期投资的能力。 “这一点确实让人感到兴奋,但这也是非常危险的,”Dunkerley说。“你可能会重点关注产品的水准提升和更新换代,以便于让你的产品能够实现客户的需求,但是你却对保护你的运营方面毫不留意。” 避免犯常见的AWS安全性错误 在云计算的西部拓荒时期,一方面是令人信服的业务流程,而另一方面则是运营经验的缺乏,两者的结合就意味着企业要陷入如Pal演讲中的那种负面例子中。在Pal的介绍中,一家数据仓库公司在其云费用达到2000美元/天时就求助于咨询师了。 当他们发现其高昂的费用是与一家境外企业试图从其后端数据库中拉取企业数据有关时,这次财务分析就迅速演变成了一次安全运行分析。 “技术正在发生改变,但我们对改变带来的安全方面的影响还不清楚,”Pal说。 事实是,AWS平台为在云中部署资源提供了很大的选择范围,这对于灵活性是非常重要的,但是当涉及保护IT环境时它可能就是一根让新入门用户勒死自己的要命绳,Dunkerley说。 “你没有多少手段,你不应该这样做,”Dunkerley说。 虽然这一切都太容易了,但是AWS新用户应该做的最后一件事是忽视亚马逊的建议,是使用虚拟私有云(VPC)、身份与访问管理(IAM)角色和IAM身份等工具来确保IT环境的安全性。 “如果你以他们推荐的方式来进行这项工作,那么你已经遥遥领先了,”Dunkerley说。“如果一开始你就没有朝那个方向发展……那么就真的很难纠正过来了。” 遵循AWS最佳实践 之后,用户就会开始需要专家来参与其中并帮助他们整合之前的运行方式和亚马逊设置安全措施的方式,Dunkerley说。 例如,如果用户没有真正花时间理解安全性、服务器配置以及服务器锁定以便只允许某些特定访问,那么他可能会暂时地开放系统,但之后就会忘了并一直保持系统的开放状态,Dunkerley说。 用户需要找出所需的端口,指定必须发生数据交换的入口和出口并对之进行限制,以便于遵循AWS最佳实践,只有某些端口能够跨越某些VPC进行互相会话,Dunkerley说。如果他们没有遵照执行最佳实践,那么对外开放实例和访问将如同向黑客们发出了邀请函。 在建立AWS环境时,缺乏强大的安全行动计划也是用户最常犯的错误之一,Pal指出。这就要求用户建立起一套深思熟虑用于打补丁、软件更新以及关键漏洞监控的程序。 设置防火墙和访问管理 “用户应予以更多关注的其他方面是用于边界防护的网络应用程序防火墙,”Pal说。“甚至围绕特权用户使用虚拟专用网络(VPN)来访问环境也有着一些解决方案,然后就是通用的防火墙。” 这可能是一个最佳实践,Pal说,但是VPN的安装与维护是非常繁琐的,有时候用户会觉得使用上有所不习惯。 “你会很惊讶地看到有如此多的SaaS企业(尤其是那些规模较少的公司)在特权用户访问他们的云计算环境时是不使用VPN的,”Pal说。 其他常见的安全漏洞包括为身份和访问管理用户创建不必要的访问密钥;Pal表示,控制台用户是不需要密钥的。相反,用户应当提供IAM角色以供实例访问时作临时凭证。 IAM角色 还应提供可实现职责分离的IAM角色功能,Pal说。很多时候,缺乏对生产实例访问的限制会允许任何用户对其执行操作 ...