“烏云高校版”敦促漏洞修復

文/鄭先偉

隨著新學期的來臨，教育網在線用戶數量的增加導致相關的安全投訴事件增多，但未發生重大安全事件。

漏洞多涉及高校二級網站

近期，國內一個著名的安全漏洞共享平臺成立了專門針對高校的漏洞發布平臺——烏云高校版（http://edu.wooyun.org），用于發布與高校有關的安全漏洞。根據該平臺的發布規則，這些漏洞在平臺上發布之初會給相關學校一個漏洞確認及修復期（大約30天），也就是在前30天內漏洞的具體細節信息僅會提供給與漏洞有關的學校，而不會對外公布，直到該學校確認已經修補了該漏洞或是忽略該漏洞（超過30天無人應答該漏洞就默認為忽略），這些漏洞的細節才會向大眾開放。目前該平臺已經發布了幾十條與高校網站有關的漏洞信息，主要包括Apache Struts2框架代碼執行漏洞、SQL注入漏洞、后臺弱密碼以及存在暗鏈等信息。這些漏洞所涉及的網站多數為學校的二級網站。從目前的公開情況看，似乎很多高校對這些漏洞的響應態度并不積極，而平臺已經向對公眾披露了多個漏洞的細節信息。這些漏洞信息被管理員忽略可能有多方面的原因，一是平臺的信息發布者與學校的管理員溝通不暢（今后CCERT將加強這方面的協調聯系作用），二是相關管理員并不在意網站存在漏洞或者是沒有技術能力進行漏洞修補。筆者建議學校相關的網站管理員能夠重視這些漏洞，盡可能通過各種手段對漏洞進行修補，雖然平臺上公布的漏洞信息不一定表示該網站已被入侵，但是相關漏洞的存在使得入侵隨時可能發生。

2012年8～9月教育網安全投訴事件統計

警惕木馬藏身熱門下載文件

近期沒有新增影響特別嚴重的木馬病毒程序，流行較多的還是通過網頁下載進行傳播的木馬病毒程序。需要提醒用戶注意的是要謹慎應對那些自稱是熱門的文件或軟件，如某些艷照門的種子文件或是自動搶購火車票的插件等。

0day漏洞成系統安全焦點

9月，微軟僅發布了2個安全公告，這2個安全公告的等級均為重要級別且所涉及的軟件也并非系統常用的軟件。對于Windows的系統管理員來說，該月是難得的清閑時間。可惜好景不長，在微軟安全公告發布僅幾天之后，一個IE瀏覽器的0day漏洞就橫空出世。這個0day漏洞覆蓋了幾乎所有的IE瀏覽器版本（IE 6、7、8、9）。漏洞的存在是因為IE瀏覽器的execCommand函數在實現上存在釋放后重用漏洞，該函數在執行命令時會先觸發相應的事件函數，惡意攻擊者可以在事件函數中重寫html頁面，致使某個對象被釋放掉，而此時execCommand函數的操作還沒完成，這就可能導致存在釋放后重用漏洞。攻擊者可以構造特制的頁面，并誘使用戶訪問，利用該漏洞就可以達到在受害用戶系統中執行任意指令的目的。該漏洞的攻擊程序目前已經在網絡上流行。微軟針對該漏洞發布了緊急安全通告，并提供了臨時修補工具來降低漏洞帶來的風險，我們建議用戶盡快下載臨時修補工具運行，并隨時關注廠商的動態，以便及時安裝補丁程序：（http://technet.microsoft.com/en-us/security/advisory/2757760）。

8月份被爆出0day漏洞的不僅僅只有微軟的產品，Oracle公司的Java Runtime Environment (JRE)運行環境稍早前也被爆出存在0day漏洞。由于Java運行環境被廣泛應用于各種系統（包括Windows、蘋果IOS和Linux系統等）的各種瀏覽器中（IE、Firefox、Chrome、Safair等），使得這個漏洞可以在各種平臺上通用。目前該漏洞的攻擊程序也已經在網絡上流傳。Oracle公司已經針對該漏洞發布了相應的安全公告和補丁程序，建議用戶盡快安裝最新版本的JRE來防范風險（http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html）。

除上述兩個0day漏洞外，8月份DNS服務程序BIND也被發現存在一個拒絕服務攻擊漏洞。當BIND程序處理超過65535字節的RDATA記錄時可能導致named后臺進程出現異常而退出。根據ISC發布的公告稱，遞歸服務器查詢權威服務器提供此類記錄時會受到漏洞影響，而權威服務器在區傳送包含此類型記錄時也會受到影響。攻擊者可以通過構造特殊格式的權威服務器記錄來對遞歸查詢服務進行拒絕服務攻擊。目前ISC已經在新版的BIND程序中修補了該漏洞，域名服務器的管理員及時更新有問題的BIND程序版本。

鑒于近期0day漏洞的安全風險，我們建議用戶進行網頁瀏覽時要小心防范，必要時可以選擇使用其他瀏覽器替代IE瀏覽器，比如Google公司的Chrome瀏覽器，它是目前對漏洞修補速度最快的瀏覽器。