文/鄭先偉

“隨緣學(xué)校管理系統(tǒng)”被曝權(quán)限存漏洞

文/鄭先偉

6月教育網(wǎng)整體運(yùn)行平穩(wěn)，未發(fā)現(xiàn)嚴(yán)重的安全事件。

6月烏云網(wǎng)絡(luò)報(bào)來的各類網(wǎng)站漏洞中有兩類需要引起關(guān)注。一類是多所高校使用一個(gè)叫做隨緣學(xué)校管理系統(tǒng)搭建的學(xué)校教務(wù)系統(tǒng)存在權(quán)限繞過漏洞，攻擊者只需偽造相應(yīng)的cookie參數(shù)就能繞過系統(tǒng)限制，直接獲取后臺(tái)管理權(quán)限而無需用戶名和密碼。隨緣學(xué)校管理系統(tǒng)官方已經(jīng)在3年前就停止對(duì)這款產(chǎn)品的更新維護(hù)，就是說如果學(xué)校現(xiàn)在還在使用這套系統(tǒng)搭建的教務(wù)系統(tǒng)，那么只有兩種選擇，一種是自己對(duì)相關(guān)的代碼進(jìn)行修補(bǔ)性開發(fā)，另一種則是使用其他的CMS重新搭建教務(wù)系統(tǒng)。隨緣學(xué)校管理系統(tǒng)的特征是網(wǎng)站后臺(tái)管理目錄名默認(rèn)為szwyadmin，如果您發(fā)現(xiàn)網(wǎng)站后臺(tái)存在該目錄，請(qǐng)盡快更新解決相關(guān)問題。

另一類需要關(guān)注的漏洞是多個(gè)學(xué)校使用的北京清元優(yōu)軟URP綜合教務(wù)系統(tǒng)存在文件包含漏洞，該漏洞使得攻擊者可以通過URL的參數(shù)輸入繞過安全限制去讀取系統(tǒng)中的任意文件。目前廠商針對(duì)該漏洞已經(jīng)有相應(yīng)的解決辦法，使用該系統(tǒng)的學(xué)?？梢员M快聯(lián)系廠商進(jìn)行升級(jí)處理。

病毒與木馬

近期沒有新增影響嚴(yán)重的木馬病毒程序，需要關(guān)注的是那些利用熱點(diǎn)事件進(jìn)行偽裝傳播的木馬病毒，例如偽裝成世界杯的精彩圖片或是視頻的木馬病毒，用戶在郵件附件或是聊天軟件中收到此類信息時(shí)應(yīng)該謹(jǐn)慎對(duì)待，在確認(rèn)來源可信和安全時(shí)才可點(diǎn)擊打開。

2014年5月～6月安全投訴事件統(tǒng)計(jì)

近期新增嚴(yán)重漏洞評(píng)述

微軟6月的例行安全公告共7個(gè)（MS14 -030到MS14-036），其中2個(gè)為嚴(yán)重等級(jí)，5個(gè)為重要等級(jí)，這些公告共修補(bǔ)了包括Windows系統(tǒng)、IE瀏覽器、Office軟件及Lync Server中的66個(gè)漏洞，這66個(gè)漏洞有59個(gè)漏洞與IE瀏覽器有關(guān)，其中也包括5月提到的IE8瀏覽器的0day漏洞（CVE-2014-1770）在本次也得到了修補(bǔ)。建議用戶盡快使用自動(dòng)更新功能修復(fù)相關(guān)漏洞。漏洞的詳細(xì)信息請(qǐng)參見：https://technet.microsoft. com/zh-cn/library/security/ms14-jun。

Adobe公司6月的例行安全公告只有一個(gè)（ABSB14-16），該公告主要用于修補(bǔ)Flash player軟件中6個(gè)安全漏洞，這些漏洞可能導(dǎo)致遠(yuǎn)程任意代碼執(zhí)行或是拒絕服務(wù)攻擊。漏洞詳細(xì)信息請(qǐng)參見：http:// helpx.adobe.com/security/ products/flash-player/ apsb14-16.html。

除例行公告外，另外幾個(gè)值得關(guān)注的漏洞包括：

1.Openssl軟件中存在多個(gè)安全漏洞，這些漏洞可能導(dǎo)致實(shí)現(xiàn)拒絕服務(wù)攻擊、中間人劫持攻擊及任意代碼執(zhí)行漏洞等。不過這次曝出的漏洞較前段時(shí)間曝出的心臟滴血漏洞在利用的前置條件及利用難度上都有所提高，很難利用來進(jìn)行大規(guī)模攻擊。目前廠商已經(jīng)在新版中修補(bǔ)了這些漏洞，建議管理員盡快升級(jí)相關(guān)組件到最新版本，詳細(xì)信息請(qǐng)參見：http://www.openssl.org/news/。

2.Oracle數(shù)據(jù)被曝出存在一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，這個(gè)漏洞因?yàn)镺racle數(shù)據(jù)對(duì)java虛擬機(jī)支持過程中存在缺陷，使得攻擊者可以遠(yuǎn)程執(zhí)行java代碼。目前漏洞的細(xì)節(jié)還未公布，廠商也還未針對(duì)這些漏洞發(fā)布補(bǔ)丁程序。建議Oracle數(shù)據(jù)庫管理員隨時(shí)關(guān)注廠商的動(dòng)態(tài)。漏洞的信息請(qǐng)參見：http:// packetstormsecurity.com/files/127117/Oracle-Database-Java-VM-20-Weaknesses.html。

3.DNS服務(wù)常用的BIND的軟件被曝出存在一個(gè)拒絕服務(wù)攻擊漏洞， 目前廠商已經(jīng)發(fā)布補(bǔ)丁程序修補(bǔ)該漏洞，建議DNS服務(wù)的管理員盡快升級(jí)到最新版本。漏洞的信息請(qǐng)參見：https://kb.isc.org/ article/AA-01166/0/CVE-2014-3859%3ABIND-named-can-crash-due-to-a-defectin-EDNS-printing-processing.html。

安全提示

需要提醒的是6月微軟的例行安全公告中并未對(duì)XP系統(tǒng)的漏洞進(jìn)行修補(bǔ)，公告中涉及的很多IE瀏覽器漏洞在XP系統(tǒng)中同樣存在。對(duì)于那些還在使用XP系統(tǒng)的用戶，需要尋求第三方的安全補(bǔ)丁來保護(hù)系統(tǒng)的安全。

（作者單位為中國教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）