文/鄭先偉

（作者單位為中國教育和科研計算機網應急響應組）

10 月教育網運行正常，未發(fā)現影響嚴重的安全事件。近日，最高人民法院、最高人民檢察院聯合對外發(fā)布了《關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》（下稱司法解釋），該司法解釋對拒不履行信息網絡安全管理義務罪、非法利用信息網絡罪和幫助信息網絡犯罪活動罪的定罪量刑標準和有關法律適用問題作了全面、系統(tǒng)的規(guī)定。解釋中明確了拒不履行信息網絡安全管理義務罪的主體范圍、前提要件和入罪標準，并定義七種屬于幫助網絡犯罪的情形。學校作為網絡服務提供者，需要對該司法解釋給予高度重視，組織專項學習并部署后續(xù)網絡安全工作，因為如果沒有做好網絡安全工作，很可能就要承擔相應的法律責任。

近期投訴的安全事件較往年同期呈下降趨勢。各類勒索病毒依然是近期新增病毒中需要關注的重點。

近期新增嚴重漏洞評述：

1.微軟例行的10 月安全更新修補了59 個安全漏洞，其中有8 個屬于嚴重等級。涉及的系統(tǒng)和軟件包括：Microsoft Windows 系統(tǒng) 、Microsoft XML、Microsoft Excel、Jet 數據庫、VBScript、Chakra 腳本、Azure App、Windows 遠程桌面協(xié)議等Windows 平臺下應用軟件和組件。用戶應該盡快使用系統(tǒng)自帶的更新功能進行更新。需要額外提醒的是Window 10 v1803普通用戶版將于11 月停止支持服務，使用該版本的用戶應該盡快進行操作系統(tǒng)版本升級。

2.QEMU-KVM 是Linux 系統(tǒng)中常用的一種虛擬化解決方案，VHOST/VHOST_NET 是QEMU-KVM 虛 擬 化 平 臺 中VIRTIO（I/O 虛擬化框架）Network 的后端實現方案，在Linux 內核層面負責處理虛擬機的網絡包收發(fā)功能。由于VHOST/VHOST_NET 缺少對內核緩沖區(qū)的嚴格訪問邊界校驗，導致存在內核逃逸漏洞。攻擊者可通過在虛擬機中更改VIRTIO network 前端驅動，在該虛擬機被熱遷移時，觸發(fā)內核緩沖區(qū)溢出實現虛擬機逃逸，獲得在宿主機內核中任意執(zhí)行代碼的權限，攻擊者也可觸發(fā)宿主機內核崩潰實現拒絕服務攻擊。目前Linux 已經在最新的內核版本中修補了該漏洞，如果使用了該虛擬化平臺，請盡快對內核進行升級。

2019 年9～10 月安全投訴事件統(tǒng)計

3.泛微e-cologyOA 系統(tǒng)是國內使用較為廣泛的辦公系統(tǒng)軟件，不少高校也在使用該辦公系統(tǒng)。最近有信息顯示該系統(tǒng)的WorkflowCenterTreeData 接口在使用Oracle 數據庫時，由于內置SQL 語句拼接檢測不嚴格，導致存在SQL 注入漏洞。攻擊者利用該漏洞，可在未授權的情況下，遠程發(fā)送精心構造的SQL 語句，從而獲取數據庫敏感信息。鑒于漏洞帶來的風險，建議使用該系統(tǒng)的用戶盡快聯系廠商確認自己的系統(tǒng)是否存在風險并進行相應的處置。

4.10 月15 日，Adobe 公 司 發(fā) 布 了Adobe Acrobat/Reader PDF 編輯和閱讀軟件的最新版本，用于修補之前版本中存在的多個安全漏洞，這些漏洞可能導致遠程代碼執(zhí)行、敏感信息泄漏、拒絕服務攻擊等。由于PDF 軟件漏洞是黑客攻擊非常頻繁使用的漏洞，建議用戶盡快升級自己系統(tǒng)上的Adobe Acrobat/Reader 軟件。

安全提示

PHP 官方在9 月26 日發(fā)布公告稱使用Nginx+php-fpm 的服務在部分配置下存在遠程代碼執(zhí)行漏洞（CVE-2019-11043），如果用戶使用了特定的配置（如完全復制Nginx 官方給出的php-fpm 示例配置）就存在被攻擊的風險。10 月22 日該漏洞的攻擊代碼已被公開，后續(xù)可能會出現大量針對該漏洞的攻擊。如果使用了Nginx+php-fpm 服務，可以采取如下操作來降低風險：

1. 如果不需要php-fpm 功能，可在Nginx 中暫停該功能；

2.修改 nginx 配置文件中fastcgi_split_path_info 的正則表達式，不允許.php 之后傳入不可顯字符；

3.刪除配置文件中如下配置：

fastcgi_split_path_info ^(.+?.php)(/.★)$；

fastcgi_param PATH_INFO $fastcgi_path_info；