上千高校網站存安全漏洞

文/鄭先偉

上千高校網站存安全漏洞

文/鄭先偉

4個教育軟件產品曝信息泄露風險

7月教育網整體運行平穩，高招工作正在有序進行，未發現影響嚴重的安全事件。近期我們接到其他安全組織的信息通報，教育網內仍然有多達近千網站中存在安全漏洞，漏洞主要集中在SQL注入類，也包括其他一些弱密碼或是上傳權限控制問題。這些網站很多已經被黑客控制注入了木馬后門程序或者在網頁中加入了六合彩賭博的暗鏈等。統計發現，其中很大一部分網站實際上之前已經被檢測出問題，并且已經通知了相關學校處理，但是不知是因為技術原因還是管理原因這些問題依然存在。所以建議學校的信息部門如果技術及管理能力允許，最好是把這些網站重新開發并統一進行管理。統一開發及管理的網站雖然不能完全杜絕漏洞的存在，但是可以在發現漏洞時及時地修補。

7月從其他安全組織轉過來的針對教育網內網站安全掃描的結果導致網站安全事件的數量增多。

病毒與木馬

近期需要關注的病毒還是那些偽造成熱點事件（如世界杯）進行傳播的木馬病毒。

近期新增嚴重漏洞評述

微軟 7月的例行安全公告共6個，其中2個為嚴重等級，4個為重要等級。這些公告共修補了包括Windows 系統、IE瀏覽器及Service Bus for Windows Server中存在的29個安全漏洞。需要關注的是29個漏洞中有24個跟IE瀏覽器有關，并且其中有一個還是Oday漏洞。利用上述漏洞，攻擊者可以遠程執行任意代碼、本地提升權限及拒絕服務攻擊，用戶應該盡快安裝相應的補丁程序。漏洞詳細信息請參見∶https:// technet.microsoft.com/library/security/ms14-Jul。

Adobe公司7月的安全公告只有一個，修補了Flash player軟件中的3個安全漏洞，相關的信息請參見http://helpx.adobe.com/ security/products/flash-player/apsb14-17.html。

瀏覽器方面除了IE瀏覽器外，Firefox瀏覽器及Chrome瀏覽器均發布了最新版本修補之前版本中的安全漏洞。

7月Oracle公司也發布了今年三季度的例行安全公告，本次公告修復了其多款產品存在的114個安全漏洞。包括Oracle數據庫5個、中間件產品Fusion Middleware 29個、電子商務套裝軟件Oracle E-Business Suite 5個、供應鏈套裝軟件Oracle Supply Chain Products Suite 3個、企業管理器網格控制產品Oracle Enterprise Manager Grid Control 1個、Oracle Siebel托管型CRM軟件6個、Virtualization軟件15個、Hyperion軟件7個、PeopleSoft產品5個、Retail Applications 3個、Communications Applications 1個、Java SE運行環境20個、Oracle和Sun系統產品4個以及MySQL數據庫10個。這其中需要關注的是中間件產品存在遠程執行漏洞，可能會影響數據庫的安全，而MySQL數據庫也存在4個遠程代碼執行漏洞。所以相關的數據庫管理員應該盡快升級相關的產品并用防火墻等安全產品限制遠程對數據庫的訪問。Oracle公告的詳細信息請參見∶http://www.oracle.com/technetwork/ topics/security/cpujul2014-1972956.html。

2014年6月～7月安全投訴事件統計

除上述例行安全公告外，以下教育專用產品也存在安全漏洞∶

1. 多所高校使用的湖南強智科技公司開發的強智科技教務管理系統存在SQL注入漏洞。綜合利用漏洞，可能導致攻擊者獲取數據庫敏感信息，構成信息泄露和運行風險。

2. 多所高校使用北京國人通教育科技有限公司高校管理者培訓平臺存在SQL注入漏洞。利用這些漏洞攻擊者可以控制系統的數據庫，獲取用戶的敏感信息。

3. 多所高校使用的金龍卡金融化一卡通系統存在目錄遍歷、未授權操作漏洞。綜合利用這些漏洞，可能導致攻擊者獲取敏感信息，執行未授權操作，構成信息泄露和安全運行風險。

4. 南京先極科技有限公司開發的教育類CMS存在文件包含漏洞。允許攻擊者通過猜解文件路徑的方式下載并查看web. xml配置文件信息。

（作者單位為中國教育和科研計算機網應急響應組）