文/鄭先偉

高校網(wǎng)站安全問題多發(fā) 管理缺失系主因

文/鄭先偉

5月教育網(wǎng)整體運(yùn)行平穩(wěn)，未發(fā)現(xiàn)嚴(yán)重的安全事件。從5月開始我們與國內(nèi)的知名安全平臺烏云網(wǎng)開始合作，對該平臺上發(fā)布的與各高校有關(guān)的網(wǎng)站安全事件進(jìn)行通知處理，到目前為止已經(jīng)通知處理了389個(gè)網(wǎng)站的安全問題。這389個(gè)網(wǎng)站中存在的安全問題主要包括SQL注入、XSS跨站腳本攻擊、權(quán)限控制錯(cuò)誤導(dǎo)致的越權(quán)訪問或是任意文件的上傳和下載、網(wǎng)站存在弱口令用戶等。其中SQL注入漏洞是存在數(shù)量最多的漏洞，其次是權(quán)限控制漏洞，存在弱口令的網(wǎng)站數(shù)量也不少。這些問題網(wǎng)站涉及的院校既有排名靠前的重點(diǎn)院校，也有一般的職業(yè)技術(shù)學(xué)院，且多為學(xué)校的二級網(wǎng)站，其中不少還是計(jì)算機(jī)系的網(wǎng)站。從這可以看出一個(gè)問題，造成這些網(wǎng)站安全問題并不是因?yàn)榧夹g(shù)上存在瓶頸，更多的是管理上的缺失，是對安全不重視造成的。

5月除通過烏云安全平臺投訴過來的網(wǎng)站漏洞數(shù)量大增外，其他的事件數(shù)量與往常基本持平。

病毒與木馬

近期沒有新增特別需要關(guān)注的木馬病毒。

2014年4月～5月安全投訴事件統(tǒng)計(jì)

近期新增嚴(yán)重漏洞評述

微軟 5月的安全公告，本次公告共9個(gè)，其中3個(gè)為重要等級，6個(gè)為重要等級，該公告共修復(fù)了Windows系統(tǒng)、Office軟 件、IE瀏 覽 器、.NET Framework、SharePoint Server、Office Services 和 Web Apps中存在的14個(gè)安全漏洞。用戶應(yīng)該盡快安裝相應(yīng)的補(bǔ)丁程序。相關(guān)公告的信息請參見：https://technet.microsoft.com/ library/security/ms14-May。

值得提醒的是IE瀏覽器在4月底曝出一個(gè)0day漏洞（CVE-2014-1776），影響IE瀏覽器全線產(chǎn)品，隨后微軟在5月1號被迫緊急發(fā)布了一個(gè)安全公告（MS14 -021）。雖然微軟已于4月停止了對Windows XP系統(tǒng)的支持，但是鑒于此漏洞的危害性，微軟還是在公告中為XP系統(tǒng)的IE6 和IE7提供了補(bǔ)丁程序。相關(guān)公告的詳細(xì)信息請參見：https://technet.microsoft. com/library/security/ms14-021。

除了上述公告中提到的漏洞外，IE8瀏覽器在處理CMarkup對象的過程中也存在一個(gè)0day安全漏洞，攻擊者利用此漏洞可在IE當(dāng)前進(jìn)程的上下文中執(zhí)行任意代碼。目前微軟還未針對該漏洞發(fā)布補(bǔ)丁程序，建議用戶隨時(shí)關(guān)注廠商的動態(tài)。

Adobe公司在4月28號追加發(fā)布了一個(gè)安全公告，用于修補(bǔ)其Flash palyer產(chǎn)品中的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2014-0515）,公告的詳細(xì)信息請參見公告：https://helpx.adobe.com/security/products/ flash-player/apsb14-13.html。

隨后Adobe公司在5月的例行公告發(fā)布日又發(fā)布了2個(gè)(APSB14-14和APSB14-15)安全公告，用于修補(bǔ)Adobe Flash player軟 件 及Adobe Acrobat／Reader軟件中的17個(gè)安全漏洞，其中Flash player涉及6個(gè)，Acrobat／Reader軟件涉及11個(gè)。公告相關(guān)信息請參見：http://helpx.adobe.com/security/products/ flash-player/apsb14-14.html；http://helpx. adobe.com/security/products/acrobat/apsb14-15.html。

另一個(gè)值得關(guān)注的漏洞是Linux內(nèi)核中存在一個(gè)權(quán)限提升漏洞（CVE-2014-0196），此漏洞從2009年的2.6.31-rc3版本的內(nèi)核中開始存在，直到最近才被人發(fā)現(xiàn)公布出來。這個(gè)漏洞可以使得本地普通權(quán)限的用戶提升自己的權(quán)限到超級用戶，從而在系統(tǒng)中執(zhí)行任意操作。目前漏洞的攻擊代碼已經(jīng)被發(fā)布，相應(yīng)的內(nèi)核修補(bǔ)補(bǔ)丁也已經(jīng)發(fā)布，管理員可以手動升級自己系統(tǒng)內(nèi)核來防范此漏洞，相關(guān)信息請參見：https://git.kernel.org/cgit/linux/kernel/git/ stable/linux-stable.git/commit/?id=4291086b 1f081b869c6d79e5b7441633dc3ace00。

安全提示

5月中旬，小米網(wǎng)2012年8月前注冊的用戶的信息被泄露，涉及近800萬用戶。泄露的信息包括用戶名、密碼、注冊IP、郵箱等。雖然用戶密碼數(shù)據(jù)經(jīng)過md5加密，但是由于之前互聯(lián)網(wǎng)上泄露了太多的用戶明文密碼，導(dǎo)致一般的md5加密值通過撞庫很容易被還原成明文。針對這種情況，我們還是建議用戶如果有可能，最好是為每個(gè)網(wǎng)站都采用一套單獨(dú)的用戶名和密碼。

（作者單位為中國教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）