中国E动网

尊敬的E动网用户：
您好！
    临近奥运，为了响应国家绿色奥运，平安奥运的要求，日前E动网对所有托管在本公司的服务器做了一次系统安全扫描，发现了众多的安全隐患， 特此公布如下：
1．PHP libgd实现多个函数整数溢出漏洞                             
2．PHP import_request_variables()函数任意变量覆盖漏洞               
3．PHP 5.2.0及之前版本多个安全漏洞                               
4．PHP HTMLEntities和HTMLSpecialChars函数缓冲区溢出漏洞       
5．Microsoft SQL Server 2000未安装SP4补丁多个安全漏洞            
6.  MySQL用户定义函数缓冲区溢出漏洞                            
7.  PHP ZVAL引用计数器整数溢出漏洞                             
8．Ipswitch IMail SMTP服务器IASPAM.DLL远程缓冲区溢出漏洞      
9．MySQL Server用户存在弱口令                                  
10．Oracle tnslsnr没有设置口令                                    
    另外，在程序帐号管理方面也存在一些漏洞，具体如下：

1. Oracle tnslsnr 监听器              (空口令)
2. Oracle服务cnoracle帐号           密码太简单
3. FTP Server                       可匿名访问
4. MySQL                          空密码以及密码太简单
5. Microsoft SQL Server               空密码以及密码太简单
6. SNMP服务共同体串              （public）
7. Oracle服务yldb帐号              空密码以及密码太简单

   请各客户再次针对以上问题检查自己服务器的配置情况，并及时更改。在配置过程中，请参考以下议：

1.及时对您的服务器进行系统补丁的升级；
2．应用程序补丁的安装；
3．关闭不必要的端口；
4．检查程序密码是否够复杂，以免被扫描工具直接破戒；
5．定期检查服务器日志，检查所有帐号有无被更改或多了未知帐号；

                          中国E动网 技术支持部
                                 2008/7/28