关于2013年11月域名系统软件及域名机构漏洞风险的情况通报

　　2013年11月，国家信息安全漏洞共享平台(CNVD)对域名系统软件以及域名机构存在的漏洞风险进行跟踪监测，并联合CNVD合作单位(WOOYUN网站)接收涉及境内域名机构的漏洞事件报告。现将相关情况通报如下：

　　一、近期通用软件漏洞情况分析

　　CNVD对域名机构广泛使用的系统软件或应用软件进行了分类收录。11月，CNVD收录了Cisco Prime Network Registrar、Webers CMS、WHMCS、ISC BIND 9等4个软件存在的多个漏洞。上述漏洞均由厂商提供了解决方案，CNVD提醒相关行业用户尽快下载补丁更新。

　　(一) Cisco Prime Network Registrar跨站脚本漏洞

　　Cisco Prime Network Registrar是一款集成、可扩展的可靠域名系统(DNS)、动态主机配置协议(DHCP)和适用于IPv4和IPv6的IP地址管理(IPAM)服务的解决方案。该产品被披露存在Web接口跨站脚本漏洞，由于接口未充分过滤用户提交的输入，远程攻击者利用漏洞可构建恶意URL，诱使用户解析，获取敏感信息或劫持用户会话。该漏洞的综合评级为“中危”，可参考CNVD漏洞公告信息：http://www.cnvd.org.cn/flaw/show/CNVD-2013-14790

　　(二) WHMCS 'unserialize()'存在多个漏洞

　　WHMCS是一款集主机财务管理系统、主机财务系统、域名财务管理系统、域名注册业务系统为一体的财务管理系统。WHMCS被披露存在多个漏洞，远程攻击者利用漏洞提交特殊请求以WEB权限执行任意PHP代码。该漏洞的综合评级为“高危”，可参考CNVD漏洞公告信息：http://www.cnvd.org.cn/flaw/show/CNVD-2013-14660

　　(三) Webers CMS存在多个输入验证漏洞

　　Webers CMS是一套域名内容管理系统，该系统支持域名注册、域名续期、域名转让等功能。Webers CMS被披露存在跨站脚本、SQL注入、文件包含等多个输入验证漏洞，远程攻击者利用漏洞可获得敏感信息。该漏洞的综合评级为“高危”，CNVD提醒相关行业用户尽快下载补丁更新，相关解决方案，可参考CNVD漏洞公告信息：http://www.cnvd.org.cn/flaw/show/CNVD-2013-14431

　　(四)ISC BIND Winsock API存在安全漏洞

　　ISC BIND是一款DNS协议的实现。ISC BIND Winsock API接口存在安全漏洞，由于接口的网络掩码是被用来计算各接口的广播域在内置"localnets" ACL，攻击者可以利用漏洞导致IPv4地址相匹配，获得BIND功能配置访问 "localnets"。该漏洞的综合评级为“中危”，可参考CNVD漏洞公告信息：

　　http://www.cnvd.org.cn/flaw/show/CNVD-2013-14283

　　二、境内域名机构漏洞风险事件

　　根据CNVD及合作单位WOOYUN网站收到的漏洞事件报告，11月份共收到7起涉及6家境内域名机构的漏洞风险事件。从漏洞类型和构成威胁看，目录遍历、SQL注入、权限绕过漏洞较多，可构成网站文件信息或用户敏感信息泄露。详细列表和典型案例见附件。

　　附件：

　　一、域名机构漏洞风险事件列表

　　报告时间漏洞名称评级

　　2013/11/2新网销售信息管理系统权限绕过漏洞中危

　　2013/11/2西部数码域名管理邮箱设计漏洞中危

　　2013/11/5新网业务运营平台目录遍历漏洞中危

　　2013/11/7成都世纪东方建站超市SQL注入漏洞高危

　　2013/11/8新网互联云邮网站目录遍历漏洞中危

　　2013/11/14万网梦工厂工单系统弱口令漏洞中危

　　2013/11/27DNSPOD分站跨站脚本漏洞中危

　　

 

　　附图1 域名注册商漏洞事件统计

　　二、域名机构漏洞风险事件典型案例

　　(一)新网销售信息管理系统权限绕过漏洞

　　北京新网数码是国内互联网基础应用服务提供商，业务范围包括域名注册服务、主机服务和电子邮箱服务等。根据漏洞报送者报告的情况，新网销售信息管理系统(http://121.14.4.175)存在权限绕过漏洞。由于网站配置错误，远程未授权的攻击者利用漏洞可访问系统，获取敏感信息，执行未授权的操作，发起进一步攻击，构成信息泄露和网站运行风险。CNVD对该漏洞的综合评级为“中危”。

　　参考链接：http://www.wooyun.org/bugs/wooyun-2013-041744

　　(二)西部数码域名管理邮箱设计漏洞

　　成都西维数码科技有限公司是中国互联网服务提供商，服务项目包括域名注册、虚拟主机、VPS、云主机、企业邮箱、主机租用、主机托管、CDN网站加速、网络营销服务等。根据漏洞报送者报告的情况，西部数码域名管理邮箱存在设计漏洞。由于注册返回的验证码固定非随机字符，攻击者利用漏洞可发起域名劫持攻击。CNVD对该漏洞的综合评级为“中危”。

　　参考链接： http://www.wooyun.org/bugs/wooyun-2013-041773

　　(三)新网互联云邮网站目录遍历漏洞

　　新网互联是北京新网互联科技有限公司拥有的互联网服务品牌，是中国互联网应用服务提供商。根据漏洞报送者报告的情况，新网互联云邮网站(http://119.254.72.250)存在目录遍历漏洞。由于网站配置不当，攻击者利用漏洞可遍历网站目录序列，获得网站敏感信息，构成信息泄露和运行安全风险。CNVD对该漏洞的综合评级为“中危”。

　　参考链接：http://www.wooyun.org/bugs/wooyun-2013-042314

　　(四)成都世纪东方建站超市SQL注入漏洞

　　成都世纪东方网络通信有限公司主营域名注册、虚拟主机、服务器租用、托管、网站建设、网站推广、企业邮箱、web应用软件开发等。根据漏洞报告者报送的情况，成都世纪东方建站超市(http://www.91zhuji.cn)存在SQL注入漏洞。由于网站对用户的输入缺少过滤，攻击者利用漏洞可获得网站数据库敏感信息，构成信息泄露和运行安全风险。CNVD对该漏洞的综合评级为“高危”。

　　参考链接：http://www.wooyun.org/bugs/wooyun-2013-042220