文/鄭先偉

由于國內(nèi)疫情的反復(fù)，很多高校都進入了校園封閉管理狀態(tài)。各類信息化管理手段大幅提升了管控的效率，信息系統(tǒng)收集了大量用戶信息進行分析，為精準的防控提供了數(shù)據(jù)依據(jù)。但校園網(wǎng)的管理者在做好防疫工作支持的同時，也要做好數(shù)據(jù)安全防護工作，尤其是與個人身份信息及隱私信息相關(guān)的防護工作。在與第三方公司合作時，需要事先簽署數(shù)據(jù)管理協(xié)議，明確數(shù)據(jù)的收集和使用范圍，保障數(shù)據(jù)安全及個人隱私信息安全。

安全投訴事件數(shù)量整體保持穩(wěn)中有降的趨勢。隨著各類針對挖礦行為的封禁措施生效，各類挖礦木馬的功能也得到了抑制，但木馬傳播途徑還在，需警惕相關(guān)木馬被轉(zhuǎn)換成勒索病毒。

近期新增嚴重漏洞評述：

1. 微軟2022 年4 月的例行安全更新共涉及漏洞數(shù)118 個，其中嚴重等級的漏洞2 個，重要等級的漏洞87 個，中危等級的漏洞29 個。涉及的產(chǎn)品包括Windows 系統(tǒng)和Windows 組件、Microsoft Lightweight Directory Access、微軟DNS 服務(wù)、Microsoft Dynamics 365 和Microsoft Dynamics、Microsoft Windows Local Security Authority Subsystem Service、Microsoft Windows File 等產(chǎn)品。兩個高危漏洞為Windows Network File System 代碼注入漏洞（CVE-2022-24491）和Windows Remote Procedure Call Runtime 代碼注入漏洞（CVE-2022-26809）。鑒于上述漏洞帶來的風險，建議用戶盡快使用Windows 自帶的更新功能進行更新。

2022 年3 月～2022 年4 月CCERT 安全投訴事件統(tǒng)計

2. Oracle 今年二季度的安全公告，修復(fù)了其多款產(chǎn)品存在的520 個安全漏洞，其中包括近300 個可以在沒有身份驗證的情況下遠程利用的漏洞。這些漏洞中有75 個被評為“嚴重程度”，包括三個CVSS 得分為10 的漏洞，其余40 多個漏洞的CVSS 得分在8～9 之間。值得關(guān)注的是，公告里也包含了多個補丁用來修補之前的Spring 框架漏洞（CVE-2022-22965和CVE-2022-22963）。建議用戶根據(jù)使用情況盡快進行補丁更新。

3. 本月Apache 官方發(fā)布了新版本（2.5.30），用于修補一個Apache Struts2中的代碼注入漏洞（CVE-2021-31805），該漏洞是由于前兩年Struts2 代碼注入漏洞（CVE-2020-17530）的修補不夠完整而導致的。攻擊者利用該漏洞可以在目標服務(wù)器上執(zhí)行任意代碼，建議相關(guān)管理員根據(jù)使用情況進行升級，升級的信息可以參見：https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30。

4. VMware 發(fā)布了安全更新，用于修補部分產(chǎn)品中涉及的Spring4Shell 遠程代碼執(zhí)行漏洞（CVE-2022-22965），影響的產(chǎn)品包括WMware TAS，WMware Ops Manager 和VMware TKGI。由于Spring 是嵌入到軟件中的，所以用戶只能通過升級相關(guān)產(chǎn)品才能防范相關(guān)漏洞。建議使用WMware 產(chǎn)品的管理員盡快根據(jù)使用情況進行版本更新。

5. Chrome 瀏覽器發(fā)布最新的版本，用于修補之前版本中存在的多個漏洞，其中包括一個在野被利用的0day 漏洞（CVE-2022-1364）,該漏洞存在于V8 引擎中，這是今年以來Chrome 修補的第三個0day 漏洞。建議用戶開啟Chrome 瀏覽器的自動更新功能及時進行更新，并盡量不要點擊來歷不明的網(wǎng)頁鏈接。