文/鄭先偉

上千高校網(wǎng)站存安全漏洞

文/鄭先偉

4個教育軟件產(chǎn)品曝信息泄露風(fēng)險

7月教育網(wǎng)整體運行平穩(wěn)，高招工作正在有序進行，未發(fā)現(xiàn)影響嚴(yán)重的安全事件。近期我們接到其他安全組織的信息通報，教育網(wǎng)內(nèi)仍然有多達近千網(wǎng)站中存在安全漏洞，漏洞主要集中在SQL注入類，也包括其他一些弱密碼或是上傳權(quán)限控制問題。這些網(wǎng)站很多已經(jīng)被黑客控制注入了木馬后門程序或者在網(wǎng)頁中加入了六合彩賭博的暗鏈等。統(tǒng)計發(fā)現(xiàn)，其中很大一部分網(wǎng)站實際上之前已經(jīng)被檢測出問題，并且已經(jīng)通知了相關(guān)學(xué)校處理，但是不知是因為技術(shù)原因還是管理原因這些問題依然存在。所以建議學(xué)校的信息部門如果技術(shù)及管理能力允許，最好是把這些網(wǎng)站重新開發(fā)并統(tǒng)一進行管理。統(tǒng)一開發(fā)及管理的網(wǎng)站雖然不能完全杜絕漏洞的存在，但是可以在發(fā)現(xiàn)漏洞時及時地修補。

7月從其他安全組織轉(zhuǎn)過來的針對教育網(wǎng)內(nèi)網(wǎng)站安全掃描的結(jié)果導(dǎo)致網(wǎng)站安全事件的數(shù)量增多。

病毒與木馬

近期需要關(guān)注的病毒還是那些偽造成熱點事件（如世界杯）進行傳播的木馬病毒。

近期新增嚴(yán)重漏洞評述

微軟 7月的例行安全公告共6個，其中2個為嚴(yán)重等級，4個為重要等級。這些公告共修補了包括Windows 系統(tǒng)、IE瀏覽器及Service Bus for Windows Server中存在的29個安全漏洞。需要關(guān)注的是29個漏洞中有24個跟IE瀏覽器有關(guān)，并且其中有一個還是Oday漏洞。利用上述漏洞，攻擊者可以遠程執(zhí)行任意代碼、本地提升權(quán)限及拒絕服務(wù)攻擊，用戶應(yīng)該盡快安裝相應(yīng)的補丁程序。漏洞詳細信息請參見∶https:// technet.microsoft.com/library/security/ms14-Jul。

Adobe公司7月的安全公告只有一個，修補了Flash player軟件中的3個安全漏洞，相關(guān)的信息請參見http://helpx.adobe.com/ security/products/flash-player/apsb14-17.html。

瀏覽器方面除了IE瀏覽器外，F(xiàn)irefox瀏覽器及Chrome瀏覽器均發(fā)布了最新版本修補之前版本中的安全漏洞。

7月Oracle公司也發(fā)布了今年三季度的例行安全公告，本次公告修復(fù)了其多款產(chǎn)品存在的114個安全漏洞。包括Oracle數(shù)據(jù)庫5個、中間件產(chǎn)品Fusion Middleware 29個、電子商務(wù)套裝軟件Oracle E-Business Suite 5個、供應(yīng)鏈套裝軟件Oracle Supply Chain Products Suite 3個、企業(yè)管理器網(wǎng)格控制產(chǎn)品Oracle Enterprise Manager Grid Control 1個、Oracle Siebel托管型CRM軟件6個、Virtualization軟件15個、Hyperion軟件7個、PeopleSoft產(chǎn)品5個、Retail Applications 3個、Communications Applications 1個、Java SE運行環(huán)境20個、Oracle和Sun系統(tǒng)產(chǎn)品4個以及MySQL數(shù)據(jù)庫10個。這其中需要關(guān)注的是中間件產(chǎn)品存在遠程執(zhí)行漏洞，可能會影響數(shù)據(jù)庫的安全，而MySQL數(shù)據(jù)庫也存在4個遠程代碼執(zhí)行漏洞。所以相關(guān)的數(shù)據(jù)庫管理員應(yīng)該盡快升級相關(guān)的產(chǎn)品并用防火墻等安全產(chǎn)品限制遠程對數(shù)據(jù)庫的訪問。Oracle公告的詳細信息請參見∶http://www.oracle.com/technetwork/ topics/security/cpujul2014-1972956.html。

2014年6月～7月安全投訴事件統(tǒng)計

除上述例行安全公告外，以下教育專用產(chǎn)品也存在安全漏洞∶

1. 多所高校使用的湖南強智科技公司開發(fā)的強智科技教務(wù)管理系統(tǒng)存在SQL注入漏洞。綜合利用漏洞，可能導(dǎo)致攻擊者獲取數(shù)據(jù)庫敏感信息，構(gòu)成信息泄露和運行風(fēng)險。

2. 多所高校使用北京國人通教育科技有限公司高校管理者培訓(xùn)平臺存在SQL注入漏洞。利用這些漏洞攻擊者可以控制系統(tǒng)的數(shù)據(jù)庫，獲取用戶的敏感信息。

3. 多所高校使用的金龍卡金融化一卡通系統(tǒng)存在目錄遍歷、未授權(quán)操作漏洞。綜合利用這些漏洞，可能導(dǎo)致攻擊者獲取敏感信息，執(zhí)行未授權(quán)操作，構(gòu)成信息泄露和安全運行風(fēng)險。

4. 南京先極科技有限公司開發(fā)的教育類CMS存在文件包含漏洞。允許攻擊者通過猜解文件路徑的方式下載并查看web. xml配置文件信息。

（作者單位為中國教育和科研計算機網(wǎng)應(yīng)急響應(yīng)組）