安全公告：CN-SA07-40
发布日期：2007-08-22
安全等级：
公开程度：公共

　　8月23日，CNCERT/CC通过多个国际合作渠道获知TCP 5168端口流量出现可疑增长。经分析，该流量增长与近日公布的趋势科技企业级反病毒产品ServerProtect的缓冲区溢出漏洞有关。攻击者可利用此漏洞远程控制服务器。对此，CNCERT/CC判断，近日有可能出现大量利用该漏洞的攻击行为，同时也不排除出现相关蠕虫的可能性。趋势科技已经发布了其产品漏洞的相关升级补丁，建议有关用户及时下载升级补丁。

　　为避免利用该漏洞所带来的危害，CNCERT/CC立即针对该事件进行相关部署，一方面对TCP 5168端口的流量进行重点监测，另一方面联系协调病毒厂商共同关注事态进展。

　　截至到24日9时的监测数据显示，从8月23日2时起5186端口流量出现了明显上升，流量增长幅度与历史监测数据相比超过10倍，但占用网络带宽最高不足100M字节，也未出现流量的持续攀升现象，对网络整体的影响可以忽略不计。

　　从监测情况和各合作方反馈信息分析，本次出现的流量增长是对漏洞的扫描探测活动引起的，没有恶意代码传播的明显迹象，截至目前，未捕获到相关的可疑恶意代码样本和病毒厂商的相关报告。

　　CNCERT/CC将继续利用自身的监测平台和相关业务系统对TCP 5168端口流量以及恶意代码活动进行实时监测。同时与病毒厂商保持联系，关注事件的进展情况。

参考信息：

http://www.trendmicro.com/ftp/documentation/readme/spnt_558_win_en_securitypatch4_readme.txt

其他信息：
　　CVE编号：
　　首次发布日期：2007-08-22
　　修订次数：0

安全公告文档编写：
　　CNCERT/CC
-----------------------------------------------------------------------------------

　　CNCERT/CC在发布安全公告信息之前，都力争保证每条公告的准确性和可靠性。然而，采纳和实施公告中的建议则完全由用户自己决定，其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策，您应考虑其内容是否符合您个人或您企业的安全策略和流程。

　　在任何情况下，如果您确信您的计算机系统受到危害或是攻击，我们鼓励您及时告知国家计算机网络应急技术处理协调中心：http://www.cert.org.cn/servlet/Incident

　　同时，我们也鼓励所有计算机与网络安全研究机构，包括厂商和科研院所，向我们报告贵单位所发现的漏洞信息。我们将对所有漏洞信息进行验证并在CNCERT/CC网站公布漏洞信息及指导受影响用户采取措施以避免损失。

　　如果您发现本公告存在任何问题，请与我们联系：