文/鄭先偉

私搭無線已成校園網(wǎng)安全重大隱患

文/鄭先偉

2016年12月教育網(wǎng)運(yùn)行平穩(wěn)，未發(fā)現(xiàn)影響嚴(yán)重得安全事件。安全投訴事件呈下降趨勢。

近期沒有新增影響嚴(yán)重的蠕蟲及木馬病毒爆發(fā)。

近期新增嚴(yán)重漏洞評述：

12月需要關(guān)注的漏洞有如下這些：

1. 微軟12月的例行安全公告共12個(gè)，其中6個(gè)為嚴(yán)重等級，6個(gè)為重要等級。這些公告共修補(bǔ)了包括Windows系統(tǒng)、IE瀏覽器、Edge瀏覽器、Office辦公軟件、Office Services、.NET Framework和WEB APPs中存在的41個(gè)安全漏洞。用戶應(yīng)該盡快使用系統(tǒng)自帶的更新功能安裝相應(yīng)的補(bǔ)丁程序。相關(guān)漏洞的詳細(xì)信息請參見：https://technet.microsoft.com/zh-cn/library/ security/ms16-dec.aspx

2. OpenSSH軟件發(fā)布了最新版本7.4，用于修補(bǔ)之前版本中存在的多個(gè)安全漏洞。其中包括一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2016-10009），當(dāng)多主機(jī)之間啟用了免密碼登錄時(shí)，攻擊者可以控制轉(zhuǎn)發(fā)的agent-socket（在運(yùn)行Sshd服務(wù)的主機(jī)上），如果該進(jìn)程有Client主機(jī)文件系統(tǒng)的寫入權(quán)時(shí)，攻擊者可以在Client主機(jī)上執(zhí)行任意代碼。該漏洞利用的前提條件是系統(tǒng)啟用了ssh-agent密鑰管理器進(jìn)程，默認(rèn)情況下該服務(wù)器不啟動(dòng)。管理員要盡快更新自己系統(tǒng)上Openssh服務(wù)版本，可以使用系統(tǒng)自帶的更新服務(wù)更新，也可以手動(dòng)到Openssh官方網(wǎng)站下載最新版本安裝。http://www.openssh.com/

3. 美國網(wǎng)件（Netgear）的多款路由器產(chǎn)品存在任意命令注入漏洞，攻擊者可以引誘該路由器底下的用戶點(diǎn)擊特定的網(wǎng)頁鏈接，惡意的鏈接可以以Root的權(quán)限在路由器系統(tǒng)上執(zhí)行任意命令，從而讓攻擊者控制相關(guān)路由器。目前廠商已經(jīng)確認(rèn)了漏洞的存在，但是還未發(fā)布補(bǔ)丁程序。由于Netgear的路由器允許用戶自己更新系統(tǒng)固件（刷機(jī)），所以相關(guān)的產(chǎn)品深受學(xué)生用戶的喜歡，建議使用該款路由器的用戶隨時(shí)關(guān)注廠商的動(dòng)態(tài)，盡快為自己的路由器更新最新版的操作系統(tǒng)。

2016年11月～12月安全投訴事件統(tǒng)計(jì)

4. ImageMagick是用C語言編寫的圖形處理插件軟件，可用來顯示、轉(zhuǎn)換以及編輯圖形，支持超過200種圖像文件格式，并且可以跨平臺(tái)運(yùn)行。ImageMagick軟件被許多編程語言所支持，包括Perl，C++，PHP，Python和Ruby等，該軟件被部署在數(shù)以百萬計(jì)的網(wǎng)站，博客，社交媒體平臺(tái)和流行的內(nèi)容管理系統(tǒng)(CMS)中用來對圖像進(jìn)行處理。由于在ImageMagicks的轉(zhuǎn)換實(shí)用程序中，TIFF圖像壓縮處理存在一個(gè)寫邊界的問題。攻擊者利用一個(gè)精心編制的TIFF文件，可以導(dǎo)致邊界溢出，發(fā)起遠(yuǎn)程命令執(zhí)行攻擊。使用相關(guān)插件的網(wǎng)站需要盡快升級自己的ImageMagick插件到最新版本。下載地址：http://www. imagemagick.org/script/binary-releases. php

安全提示

目前校園網(wǎng)內(nèi)學(xué)生自己搭建的無線路由器數(shù)量眾多，它們的安全已經(jīng)成為了影響校園網(wǎng)安全運(yùn)行的隱患。這些路由器很多都缺乏專門的安全防護(hù)，很容易被入侵控制，一旦被控制就可能會(huì)被用來發(fā)起大規(guī)模的DOS攻擊或者是直接竊取用戶的隱私。因此加強(qiáng)對學(xué)生的網(wǎng)絡(luò)使用安全教育是今后學(xué)校安全工作的一個(gè)重點(diǎn)。

（作者單位為中國教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）