“隨緣學(xué)校管理系統(tǒng)”被曝權(quán)限存漏洞

文/鄭先偉

“隨緣學(xué)校管理系統(tǒng)”被曝權(quán)限存漏洞

文/鄭先偉

6月教育網(wǎng)整體運行平穩(wěn)，未發(fā)現(xiàn)嚴重的安全事件。

6月烏云網(wǎng)絡(luò)報來的各類網(wǎng)站漏洞中有兩類需要引起關(guān)注。一類是多所高校使用一個叫做隨緣學(xué)校管理系統(tǒng)搭建的學(xué)校教務(wù)系統(tǒng)存在權(quán)限繞過漏洞，攻擊者只需偽造相應(yīng)的cookie參數(shù)就能繞過系統(tǒng)限制，直接獲取后臺管理權(quán)限而無需用戶名和密碼。隨緣學(xué)校管理系統(tǒng)官方已經(jīng)在3年前就停止對這款產(chǎn)品的更新維護，就是說如果學(xué)校現(xiàn)在還在使用這套系統(tǒng)搭建的教務(wù)系統(tǒng)，那么只有兩種選擇，一種是自己對相關(guān)的代碼進行修補性開發(fā)，另一種則是使用其他的CMS重新搭建教務(wù)系統(tǒng)。隨緣學(xué)校管理系統(tǒng)的特征是網(wǎng)站后臺管理目錄名默認為szwyadmin，如果您發(fā)現(xiàn)網(wǎng)站后臺存在該目錄，請盡快更新解決相關(guān)問題。

另一類需要關(guān)注的漏洞是多個學(xué)校使用的北京清元優(yōu)軟URP綜合教務(wù)系統(tǒng)存在文件包含漏洞，該漏洞使得攻擊者可以通過URL的參數(shù)輸入繞過安全限制去讀取系統(tǒng)中的任意文件。目前廠商針對該漏洞已經(jīng)有相應(yīng)的解決辦法，使用該系統(tǒng)的學(xué)?？梢员M快聯(lián)系廠商進行升級處理。

病毒與木馬

近期沒有新增影響嚴重的木馬病毒程序，需要關(guān)注的是那些利用熱點事件進行偽裝傳播的木馬病毒，例如偽裝成世界杯的精彩圖片或是視頻的木馬病毒，用戶在郵件附件或是聊天軟件中收到此類信息時應(yīng)該謹慎對待，在確認來源可信和安全時才可點擊打開。

2014年5月～6月安全投訴事件統(tǒng)計

近期新增嚴重漏洞評述

微軟6月的例行安全公告共7個（MS14 -030到MS14-036），其中2個為嚴重等級，5個為重要等級，這些公告共修補了包括Windows系統(tǒng)、IE瀏覽器、Office軟件及Lync Server中的66個漏洞，這66個漏洞有59個漏洞與IE瀏覽器有關(guān)，其中也包括5月提到的IE8瀏覽器的0day漏洞（CVE-2014-1770）在本次也得到了修補。建議用戶盡快使用自動更新功能修復(fù)相關(guān)漏洞。漏洞的詳細信息請參見：https://technet.microsoft. com/zh-cn/library/security/ms14-jun。

Adobe公司6月的例行安全公告只有一個（ABSB14-16），該公告主要用于修補Flash player軟件中6個安全漏洞，這些漏洞可能導(dǎo)致遠程任意代碼執(zhí)行或是拒絕服務(wù)攻擊。漏洞詳細信息請參見：http:// helpx.adobe.com/security/ products/flash-player/ apsb14-16.html。

除例行公告外，另外幾個值得關(guān)注的漏洞包括：

1.Openssl軟件中存在多個安全漏洞，這些漏洞可能導(dǎo)致實現(xiàn)拒絕服務(wù)攻擊、中間人劫持攻擊及任意代碼執(zhí)行漏洞等。不過這次曝出的漏洞較前段時間曝出的心臟滴血漏洞在利用的前置條件及利用難度上都有所提高，很難利用來進行大規(guī)模攻擊。目前廠商已經(jīng)在新版中修補了這些漏洞，建議管理員盡快升級相關(guān)組件到最新版本，詳細信息請參見：http://www.openssl.org/news/。

2.Oracle數(shù)據(jù)被曝出存在一個遠程代碼執(zhí)行漏洞，這個漏洞因為Oracle數(shù)據(jù)對java虛擬機支持過程中存在缺陷，使得攻擊者可以遠程執(zhí)行java代碼。目前漏洞的細節(jié)還未公布，廠商也還未針對這些漏洞發(fā)布補丁程序。建議Oracle數(shù)據(jù)庫管理員隨時關(guān)注廠商的動態(tài)。漏洞的信息請參見：http:// packetstormsecurity.com/files/127117/Oracle-Database-Java-VM-20-Weaknesses.html。

3.DNS服務(wù)常用的BIND的軟件被曝出存在一個拒絕服務(wù)攻擊漏洞， 目前廠商已經(jīng)發(fā)布補丁程序修補該漏洞，建議DNS服務(wù)的管理員盡快升級到最新版本。漏洞的信息請參見：https://kb.isc.org/ article/AA-01166/0/CVE-2014-3859%3ABIND-named-can-crash-due-to-a-defectin-EDNS-printing-processing.html。

安全提示

需要提醒的是6月微軟的例行安全公告中并未對XP系統(tǒng)的漏洞進行修補，公告中涉及的很多IE瀏覽器漏洞在XP系統(tǒng)中同樣存在。對于那些還在使用XP系統(tǒng)的用戶，需要尋求第三方的安全補丁來保護系統(tǒng)的安全。

（作者單位為中國教育和科研計算機網(wǎng)應(yīng)急響應(yīng)組）