新闻公告 - Part 2

韩国SK机房新接入kinx线路，网络访问更稳定，速度更快

机房链接：https://www.homedt.cn/krsk

在原有SK线路基础上新接入了kinx线路，动态BGP根据您的网络情况智能选择线路连接。

该机房目前正在做促销活动：

L5630*2/16G/1T/5IP/10M国际带宽 500元/月（限100台）

L5630*2/16G/240G SSD/5IP/10M国际带宽 600元/月（限10台）

L5630*2/16G/480G SSD/5IP/10M国际带宽 700元/月（限10台）

L5630*2/16G/4T/5IP/10M国际带宽 800元/月（限5台）

关于警惕 Ruby on Rails 远程代码执行漏洞的通知

近日，安全中心监测到Ruby on Rails 于3月13日披露的远程代码执行高危安全漏洞（漏洞编号：CVE-2019-5420）开始出现在野攻击行为。
安全攻防团队研究发现部分用户可能已经被攻击，特此发出预警，建议用户及时开展漏洞修复工作，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

【漏洞详情】
Ruby on Rails是Rails团队的一套基于Ruby语言的开源Web应用框架。
CVE-2019-5420：Ruby on Rails 开发模式远程代码执行漏洞，对目标应用具备一定了解的攻击者可猜解开发模式的 secret token 信息，并利用该信息与 Rails 的内部组件结合实现远程代码执行。
CVE-2019-5418：Ruby on RailsAction View任意文件泄露漏洞，漏洞来源于 Action View 组件，攻击者可构造特定的 Accept 请求头与 render file: 调用结合利用，可导致目标服务器上的任意文件被渲染导致敏感信息泄露。

【风险等级】
高风险

【漏洞风险】
远程代码执行

【影响版本】
CVE-2019-5420 受影响版本如下：
Ruby on Rails 6.0.0.X
Ruby on Rails 5.2.X
CVE-2019-5418 受影响版本如下：
Ruby on Rails < 6.0.0.beta3
Ruby on Rails < 5.2.2.1
Ruby on Rails < 5.1.6.2
Ruby on Rails < 5.0.7.2

【安全版本】
CVE-2019-5420 安全版本：
Ruby on Rails 6.0.0.beta3（推荐）
Ruby on Rails 5.2.2.1（推荐）
CVE-2019-5418 安全版本：
Ruby on Rails 6.0.0.beta3（推荐）
Ruby on Rails 5.2.2.1（推荐）
Ruby on Rails 5.1.6.2
Ruby on Rails 5.0.7.2

【修复建议】
1、推荐修复方案：
官方已发布补丁包修复上述漏洞，下载地址：https://groups.google.com/forum/#!topic/rubyonrails-security/IsQKvDqZdKw

2、如果您不方便实施补丁更新，可以采取如下临时缓解方案：
1）CVE-2019-5420 漏洞：
您可以通过在开发模式中指定密钥进行解决，在config/environments/development.rb文件中添加如下行：
config.secret_key_base = SecureRandom.hex(64)
2）CVE-2019-5418 漏洞：
2.1）禁止接受未注册的 mime type，在 actionpack/lib/action_dispatch/http/mime_negotiation.rb 中增加如下过滤：

2.2）强制修改使用了 render file: 调用的代码，指定要渲染的文件格式（formats），避免不必要的文件泄露：

class UserController < ApplicationController 
def index 
render file: "#{Rails.root}/some/file", formats: [:html] 
end 
end

【漏洞参考】
1）官方通告：https://groups.google.com/forum/#!topic/rubyonrails-security/IsQKvDqZdKw
2）社区参考：https://seclists.org/oss-sec/2019/q1/176

关于Linux TCP “SACK PANIC” 远程拒绝服务漏洞的通知

近日，监测到 Linux 内核被曝存在TCP “SACK PANIC” 远程拒绝服务漏洞（漏洞编号：CVE-2019-11477,CVE-2019-11478,CVE-2019-11479），攻击者可利用该漏洞远程攻击目标服务器，导致系统崩溃或无法提供服务。
为避免您的业务受影响，腾讯云安全中心建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

【漏洞详情】
近日，安全中心情报平台监测到 Netflix 信息安全团队研究员Jonathan Looney发现 Linux 以及 FreeBSD 等系统内核上存在严重远程DoS漏洞，攻击者可利用该漏洞构造并发送特定的 SACK 序列请求到目标服务器导致服务器崩溃或拒绝服务。

【风险等级】
高风险

【漏洞风险】
远程发送特殊构造的攻击包，导致目标 Linux 或 FreeBSD 服务器崩溃或服务不可用。

【影响版本】
目前已知受影响版本如下：
FreeBSD 12（使用到 RACK TCP 协议栈）
CentOS 5（Redhat 官方已停止支持，不再提供补丁）
CentOS 6
CentOS 7
Ubuntu 18.04 LTS
Ubuntu 16.04 LTS
Ubuntu 19.04
Ubuntu 18.10

【安全版本】
各大Linux发行厂商已发布内核修复补丁，详细内核修复版本如下：
CentOS 6 ：2.6.32-754.15.3
CentOS 7 ：3.10.0-957.21.3
Ubuntu 18.04 LTS：4.15.0-52.56
Ubuntu 16.04 LTS：4.4.0-151.178
FreeBSD：腾讯云官方提供的 FreeBSD 镜像默认不受该漏洞影响，请放心使用。

【修复建议】
注：以下两种修复方式有可能会对业务造成不可用影响；
请参照上述【安全版本】升级您的 Linux 服务器内核，参考操作如下：
推荐方案：【CentOS 6/7 系列用户】
1）yum clean all && yum makecache，进行软件源更新；
2）yum update kernel -y，更新当前内核版本;
3）reboot，更新后重启系统生效;
4）uname -a，检查当前版本是否为上述【安全版本】，如果是，则说明修复成功。

推荐方案：【Ubuntu 16.04/18.04 LTS 系列用户】
1）sudo apt-get update && sudo apt-get install linux-image-generic，进行软件源更新并安装最新内核版本；
2）sudo reboot，更新后重启系统生效；
3）uname -a，检查当前版本是否为【安全版本】，如果是，则说明修复成功。

临时缓解方案：如用户不方便重启进行内核补丁更新，可选择如下方式禁用内核 SACK配置防范漏洞利用（可能会对网络性能产生一定影响），运行如下命令即可：
1）echo ‘net.ipv4.tcp_sack = 0’ >> /etc/sysctl.conf ，禁用 SACK 配置；
2）sysctl -p ，重载配置，使其生效。

【漏洞参考】
1）官方通告：https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
2）社区参考：https://www.openwall.com/lists/oss-security/2019/06/17/5
3）红帽公告：https://access.redhat.com/security/vulnerabilities/tcpsack

微软高危安全漏洞CVE-2019-0708紧急通告

微软公司于2019年5月14日发布重要安全公告，其操作系统远程桌面（Remote Desktop Services），俗称的3389服务存在严重安全漏洞（编号CVE-2019-0708）：攻击者在没有任何授权的情况下，可以远程直接攻击操作系统开放的3389服务，在受害主机上执行恶意攻击行为，包括安装后门，查看、篡改隐私数据，创建拥有完全用户权限的新账户，影响范围从Windows XP到Windows 2008 R2。由于3389服务应用广泛且该漏洞利用条件低，只要服务端口开放即可，导致该漏洞影响和危害程序堪比“WannaCry”。因此，微软额外为Windows XP、Windows 2003这些已经停止支持的系统发布了该漏洞的安全补丁。

修复建议：

1. 升级微软官方补丁：

Windos XP、Windows 2003等老旧系统需手动下载补丁：

https://support.microsoft.com/en-ca/help/4500705/customer-guidance-for-cve-2019-0708

Windows 7、Windows 2008系统自动升级即可，手动升级可到如下链接下载补丁：https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175

2. 如非必要，请关闭远程桌面服务；

微软官方公告：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

5月14日凌晨2点20分中国电信发生大规模网络波动，电信C-I中断

2019年5月14日凌晨2点20分：电信发生大规模网络波动，电信核心路由器及国际出口路由器中断。造成163国内 <-> 163国际之间断网。
简单说目前绝大部分中国电信用户已经被隔离在中国内网，数据无法出国。凌晨6点左右网络恢复。

网络波动期间中国联通和中国移动以及电信CN2 GIA用户不受影响。

关于调整“工业和信息化部ICP/IP地址/域名信息备案管理系统”域名的公告

按照国务院办公厅要求，“工业和信息化部ICP/IP地址/域名信息备案管理系统” 域名调整为“beian.miit.gov.cn”，域名“miitbeian.gov.cn”、“miibeian.gov.cn”自2019年4月25日起停止使用。
特此公告。

附：“工业和信息化部ICP/IP地址/域名信息备案管理系统”各省系统地址调整情况
北京市bj.beian.miit.gov.cn
上海市sh.beian.miit.gov.cn
天津市tj.beian.miit.gov.cn
重庆市cq.beian.miit.gov.cn
山西省sx.beian.miit.gov.cn
河北省he.beian.miit.gov.cn
辽宁省ln.beian.miit.gov.cn
内蒙古自治区nm.beian.miit.gov.cn
吉林省jl.beian.miit.gov.cn
黑龙江省hl.beian.miit.gov.cn
江苏省js.beian.miit.gov.cn
浙江省zj.beian.miit.gov.cn
安徽省ah.beian.miit.gov.cn
福建省fj.beian.miit.gov.cn
江西省jx.beian.miit.gov.cn
山东省sd.beian.miit.gov.cn
河南省ha.beian.miit.gov.cn
湖北省hb.beian.miit.gov.cn
湖南省hn.beian.miit.gov.cn
广东省gd.beian.miit.gov.cn
海南省hi.beian.miit.gov.cn
广西壮族自治区gx.beian.miit.gov.cn
四川省sc.beian.miit.gov.cn
贵州省gz.beian.miit.gov.cn
云南省yn.beian.miit.gov.cn
西藏自治区xz.beian.miit.gov.cn
陕西省sn.beian.miit.gov.cn
甘肃省gs.beian.miit.gov.cn
青海省qh.beian.miit.gov.cn
宁夏回族自治区nx.beian.miit.gov.cn
新疆维吾尔自治区xj.beian.miit.gov.cn