文/鄭先偉

上千高校網(wǎng)站存安全漏洞

文/鄭先偉

4個(gè)教育軟件產(chǎn)品曝信息泄露風(fēng)險(xiǎn)

7月教育網(wǎng)整體運(yùn)行平穩(wěn)，高招工作正在有序進(jìn)行，未發(fā)現(xiàn)影響嚴(yán)重的安全事件。近期我們接到其他安全組織的信息通報(bào)，教育網(wǎng)內(nèi)仍然有多達(dá)近千網(wǎng)站中存在安全漏洞，漏洞主要集中在SQL注入類，也包括其他一些弱密碼或是上傳權(quán)限控制問(wèn)題。這些網(wǎng)站很多已經(jīng)被黑客控制注入了木馬后門程序或者在網(wǎng)頁(yè)中加入了六合彩賭博的暗鏈等。統(tǒng)計(jì)發(fā)現(xiàn)，其中很大一部分網(wǎng)站實(shí)際上之前已經(jīng)被檢測(cè)出問(wèn)題，并且已經(jīng)通知了相關(guān)學(xué)校處理，但是不知是因?yàn)榧夹g(shù)原因還是管理原因這些問(wèn)題依然存在。所以建議學(xué)校的信息部門如果技術(shù)及管理能力允許，最好是把這些網(wǎng)站重新開(kāi)發(fā)并統(tǒng)一進(jìn)行管理。統(tǒng)一開(kāi)發(fā)及管理的網(wǎng)站雖然不能完全杜絕漏洞的存在，但是可以在發(fā)現(xiàn)漏洞時(shí)及時(shí)地修補(bǔ)。

7月從其他安全組織轉(zhuǎn)過(guò)來(lái)的針對(duì)教育網(wǎng)內(nèi)網(wǎng)站安全掃描的結(jié)果導(dǎo)致網(wǎng)站安全事件的數(shù)量增多。

病毒與木馬

近期需要關(guān)注的病毒還是那些偽造成熱點(diǎn)事件（如世界杯）進(jìn)行傳播的木馬病毒。

近期新增嚴(yán)重漏洞評(píng)述

微軟 7月的例行安全公告共6個(gè)，其中2個(gè)為嚴(yán)重等級(jí)，4個(gè)為重要等級(jí)。這些公告共修補(bǔ)了包括Windows 系統(tǒng)、IE瀏覽器及Service Bus for Windows Server中存在的29個(gè)安全漏洞。需要關(guān)注的是29個(gè)漏洞中有24個(gè)跟IE瀏覽器有關(guān)，并且其中有一個(gè)還是Oday漏洞。利用上述漏洞，攻擊者可以遠(yuǎn)程執(zhí)行任意代碼、本地提升權(quán)限及拒絕服務(wù)攻擊，用戶應(yīng)該盡快安裝相應(yīng)的補(bǔ)丁程序。漏洞詳細(xì)信息請(qǐng)參見(jiàn)∶https:// technet.microsoft.com/library/security/ms14-Jul。

Adobe公司7月的安全公告只有一個(gè)，修補(bǔ)了Flash player軟件中的3個(gè)安全漏洞，相關(guān)的信息請(qǐng)參見(jiàn)http://helpx.adobe.com/ security/products/flash-player/apsb14-17.html。

瀏覽器方面除了IE瀏覽器外，F(xiàn)irefox瀏覽器及Chrome瀏覽器均發(fā)布了最新版本修補(bǔ)之前版本中的安全漏洞。

7月Oracle公司也發(fā)布了今年三季度的例行安全公告，本次公告修復(fù)了其多款產(chǎn)品存在的114個(gè)安全漏洞。包括Oracle數(shù)據(jù)庫(kù)5個(gè)、中間件產(chǎn)品Fusion Middleware 29個(gè)、電子商務(wù)套裝軟件Oracle E-Business Suite 5個(gè)、供應(yīng)鏈套裝軟件Oracle Supply Chain Products Suite 3個(gè)、企業(yè)管理器網(wǎng)格控制產(chǎn)品Oracle Enterprise Manager Grid Control 1個(gè)、Oracle Siebel托管型CRM軟件6個(gè)、Virtualization軟件15個(gè)、Hyperion軟件7個(gè)、PeopleSoft產(chǎn)品5個(gè)、Retail Applications 3個(gè)、Communications Applications 1個(gè)、Java SE運(yùn)行環(huán)境20個(gè)、Oracle和Sun系統(tǒng)產(chǎn)品4個(gè)以及MySQL數(shù)據(jù)庫(kù)10個(gè)。這其中需要關(guān)注的是中間件產(chǎn)品存在遠(yuǎn)程執(zhí)行漏洞，可能會(huì)影響數(shù)據(jù)庫(kù)的安全，而MySQL數(shù)據(jù)庫(kù)也存在4個(gè)遠(yuǎn)程代碼執(zhí)行漏洞。所以相關(guān)的數(shù)據(jù)庫(kù)管理員應(yīng)該盡快升級(jí)相關(guān)的產(chǎn)品并用防火墻等安全產(chǎn)品限制遠(yuǎn)程對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)。Oracle公告的詳細(xì)信息請(qǐng)參見(jiàn)∶http://www.oracle.com/technetwork/ topics/security/cpujul2014-1972956.html。

2014年6月～7月安全投訴事件統(tǒng)計(jì)

除上述例行安全公告外，以下教育專用產(chǎn)品也存在安全漏洞∶

1. 多所高校使用的湖南強(qiáng)智科技公司開(kāi)發(fā)的強(qiáng)智科技教務(wù)管理系統(tǒng)存在SQL注入漏洞。綜合利用漏洞，可能導(dǎo)致攻擊者獲取數(shù)據(jù)庫(kù)敏感信息，構(gòu)成信息泄露和運(yùn)行風(fēng)險(xiǎn)。

2. 多所高校使用北京國(guó)人通教育科技有限公司高校管理者培訓(xùn)平臺(tái)存在SQL注入漏洞。利用這些漏洞攻擊者可以控制系統(tǒng)的數(shù)據(jù)庫(kù)，獲取用戶的敏感信息。

3. 多所高校使用的金龍卡金融化一卡通系統(tǒng)存在目錄遍歷、未授權(quán)操作漏洞。綜合利用這些漏洞，可能導(dǎo)致攻擊者獲取敏感信息，執(zhí)行未授權(quán)操作，構(gòu)成信息泄露和安全運(yùn)行風(fēng)險(xiǎn)。

4. 南京先極科技有限公司開(kāi)發(fā)的教育類CMS存在文件包含漏洞。允許攻擊者通過(guò)猜解文件路徑的方式下載并查看web. xml配置文件信息。

（作者單位為中國(guó)教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）