作者 主題: 最近的 Advisory 都沒有人討論  (閱讀 14667 次)

0 會員 與 1 訪客 正在閱讀本文。

abelyang

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 1097
    • 檢視個人資料
最近的 Advisory 都沒有人討論
« 於: 2003-08-08 18:35 »
最近最重要的我覺得是
Cisco IOS 的 問題 (我收到CERT Mail 後當天就更新IOS,過一天就看到 Exploit Code 了, 二十行的 C 程式(Raw Socket ) 而以,就可以讓 Cisco 掛點)

Windows RPC (Port 135 ) 可能會形成 Worm....
也是沒幾天就看到 Exploit 程式

湯包

  • 榮譽博士
  • 鑽研的研究生
  • *****
  • 文章數: 922
  • 性別: 男
    • 檢視個人資料
    • 湯包的部落格
最近的 Advisory 都沒有人討論
« 回覆 #1 於: 2003-08-08 18:49 »
請問一下,這會讓 CISCO Router 怎樣掛掉  :oops:

因為股東的公司今天下午跟我說網路斷線,我測的結果是到了專線Router 後,全部 timeout (我沒去股東的公司)
人必先置於死地而後生
科技來自人性
想像是科技之母

abelyang

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 1097
    • 檢視個人資料
最近的 Advisory 都沒有人討論
« 回覆 #2 於: 2003-08-08 20:24 »
你可以參考這裏
http://www.cert.org.tw/document/advisory/show.php?twcert_sn=TW-CA-2003-080
不過請注意.像 TWCERT 公佈的因為要翻譯,所以會比美國的 CERT/CC 來得晚
而一般 CERT/CC 的 Advisory 公佈,其實在一些地下 hacker 或 Force Team
早巳討論過,且確認了其狀況, CERT 會和 Vendor 反應你的系統有什麼問題...
Verdor Patch 出了後, CERT/CC 才公布這個 Advisory....
中間的時間差......

IOS 這個問題....
入侵者可以傳送特殊的 IPv4 封包給一個有弱點的設備上的界面,造成該設備停止處理傳
送給該界面的封包。引述 Cisco 安全通報的說法:
設備接收到這些特殊的 IPv4 封包會使進入的界面停止處理網路通訊。該設備可能會停止
處理傳送給路由器的封包,包括 routing protocol 封包和 ARP 封包。這並不會發出任何
警報,路由器也不會自己修正。這個問題會影響所有執行 Cisco IOS 軟體的 Cisco 裝置
。在採取適當的措施或更新修正的版本之前,這個弱點可能會一再造成功能上的損失。(來源: twcert)

小心駛得萬年床 ....

湯包

  • 榮譽博士
  • 鑽研的研究生
  • *****
  • 文章數: 922
  • 性別: 男
    • 檢視個人資料
    • 湯包的部落格
最近的 Advisory 都沒有人討論
« 回覆 #3 於: 2003-08-11 03:04 »
謝謝學長啦 :)

因為那天我測的時候,是可以 ping 到那台 router , 但是要再連到其它 public ip 的伺服器全部 timeout....

不過這週末股東的公司剛好換 ISP , 現在線路是通了....

IOS 看來還是要他們花點錢買好了....

看到他們的系統,感覺亂擔心的,所有的伺服器都是 Windows base
而且沒有任何防火牆 :(
人必先置於死地而後生
科技來自人性
想像是科技之母

小穎

  • 俺是博士!
  • *****
  • 文章數: 1005
    • 檢視個人資料
最近的 Advisory 都沒有人討論
« 回覆 #4 於: 2003-08-11 09:44 »
嗯!嗯!
Cisco IOS這次的DoS問題蠻熱的喔!^^
像我們公司使用的ISP業者(Sparq)也進行了兩次的IOS更新動作!
呵!幸好…小弟服務的公司沒有Cisco的東東! :o

abelyang

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 1097
    • 檢視個人資料
最近的 Advisory 都沒有人討論
« 回覆 #5 於: 2003-08-12 13:49 »
引用
Windows RPC (Port 135 ) 可能會形成 Worm....
也是沒幾天就看到 Exploit 程式


Worm 巳經出來了~~大夥等著被 K 囉
這隻 Worm 的特徵~分析報告
https://tms.symantec.com/members/AnalystReports/030811-Alert-DCOMworm.pdf

小穎

  • 俺是博士!
  • *****
  • 文章數: 1005
    • 檢視個人資料
最近的 Advisory 都沒有人討論
« 回覆 #6 於: 2003-08-12 16:04 »
引述: "abelyang"

Worm 巳經出來了~~大夥等著被 K 囉
這隻 Worm 的特徵~分析報告
https://tms.symantec.com/members/AnalystReports/030811-Alert-DCOMworm.pdf


網路上已經一大堆人中彈了說!超利害!
(幸好非公司內部^^)
小弟的一位同事,家中的電腦也中嘍!
很多online game的玩家也都中彈!

湯包

  • 榮譽博士
  • 鑽研的研究生
  • *****
  • 文章數: 922
  • 性別: 男
    • 檢視個人資料
    • 湯包的部落格
最近的 Advisory 都沒有人討論
« 回覆 #7 於: 2003-08-12 16:11 »
我以前同事也說中標了...

還好我早就更新Patch 了...:P
防毒軟體也更新了
人必先置於死地而後生
科技來自人性
想像是科技之母

hoyo

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 4046
  • 性別: 男
  • 有需要的時候,學習就不會分階段。
    • 檢視個人資料
    • 樂咖黑電腦學習網
最近的 Advisory 都沒有人討論
« 回覆 #8 於: 2003-08-12 16:20 »
唉~~~~~~~~abelyang 兄這麼早就警告了!
結果今天早上還是中獎了 ^^A
這麼嚴重的漏洞沒想到微軟沒有放在 Windows Update 的重大更新!真是 OOXX
還好緊急將所有 Windows 的電腦躲在 Linux 後面,在手動更新更新檔才沒有造成更大的災害!
後來看了一下,xp 的防火牆也無法去設定關閉 135 的 port ,再次證明 M$ 的產品是非常脆弱的 =.="
難怪,windows 的備份複製軟體這麼“發達”(GHOST 等等等)
受人與魚,不如授人與漁
上海自來水來自海上;倫敦好奇人奇好敦倫

shengeih

  • 鑽研的研究生
  • *****
  • 文章數: 970
    • 檢視個人資料
最近的 Advisory 都沒有人討論
« 回覆 #9 於: 2003-08-12 20:56 »
各位是不是在說這個....



還好,我沒有中...!
所幸我的Windows 都是在 Linux 後面.....

abelyang

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 1097
    • 檢視個人資料
最近的 Advisory 都沒有人討論
« 回覆 #10 於: 2003-08-12 22:16 »
這次的狀況我想應很好解決才是
因為 port 是 135, 不像 80 這種 well known port
ISP 或 Router 上做一個簡單的處理即可
但就怕  VPN 這種 peer to peer 的東西川透過去...
結果後面的也是全死...

不過如果我是 worm 的作者....
我 一定 enable 這兩個 Advirsory (IOS/RPC)
只要 Scan 到 Cisco 的,就先送 RPC packet 到 network 上
過5 min 再送 IOS DOS 的封包給 Router
讓那個人門都沒有 ~~

小穎

  • 俺是博士!
  • *****
  • 文章數: 1005
    • 檢視個人資料
最近的 Advisory 都沒有人討論
« 回覆 #11 於: 2003-08-12 23:30 »
小弟家裡的電腦也中標了!>_<
病毒碼不夠新…差2也不行呀…
PC-cillin...........我恨你!
昨天才剛更新完…今天就中…
幸好修好了!@_@

YiDa

  • 可愛的小學生
  • *
  • 文章數: 4
    • 檢視個人資料
最近的 Advisory 都沒有人討論
« 回覆 #12 於: 2003-08-13 00:00 »
引述: "hoyo"
唉~~~~~~~~abelyang 兄這麼早就警告了!
結果今天早上還是中獎了 ^^A
這麼嚴重的漏洞沒想到微軟沒有放在 Windows Update 的重大更新!真是 OOXX
還好緊急將所有 Windows 的電腦躲在 Linux 後面,在手動更新更新檔才沒有造成更大的災害!
後來看了一下,xp 的防火牆也無法去設定關閉 135 的 port ,再次證明 M$ 的產品是非常脆弱的 =.="
難怪,windows 的備份複製軟體這麼“發達”(GHOST 等等等)


M$不是在七月中旬就放出patch了嗎??
Q823980
http://support.microsoft.com/default.aspx?scid=kb;zh-tw;823980

jade-rabbit

  • 鑽研的研究生
  • *****
  • 文章數: 833
  • 性別: 男
    • 檢視個人資料
最近的 Advisory 都沒有人討論
« 回覆 #13 於: 2003-08-13 00:40 »
引述: "小穎"
小弟家裡的電腦也中標了!>_<
病毒碼不夠新…差2也不行呀…
PC-cillin...........我恨你!
昨天才剛更新完…今天就中…
幸好修好了!@_@

奇了?135 port 在 /etc/services (in Linux) 沒有。
這個漏洞是那個 "服務" 呀?(in Win2k/XP)
Remote Procedure Call Locator ?

我家的 pccillin 2002 的 防火牆預設是檔下全部的 WAN access 的。
除非另外打開可存取的外部 IP 耶。
log 裡一堆 tcp/udp 137,138,445 的網路芳鄰封包..
--(中也者天下之大本也,和也者天下之達道也)--