高校網站安全問題多發 管理缺失系主因

文/鄭先偉

高校網站安全問題多發 管理缺失系主因

文/鄭先偉

5月教育網整體運行平穩，未發現嚴重的安全事件。從5月開始我們與國內的知名安全平臺烏云網開始合作，對該平臺上發布的與各高校有關的網站安全事件進行通知處理，到目前為止已經通知處理了389個網站的安全問題。這389個網站中存在的安全問題主要包括SQL注入、XSS跨站腳本攻擊、權限控制錯誤導致的越權訪問或是任意文件的上傳和下載、網站存在弱口令用戶等。其中SQL注入漏洞是存在數量最多的漏洞，其次是權限控制漏洞，存在弱口令的網站數量也不少。這些問題網站涉及的院校既有排名靠前的重點院校，也有一般的職業技術學院，且多為學校的二級網站，其中不少還是計算機系的網站。從這可以看出一個問題，造成這些網站安全問題并不是因為技術上存在瓶頸，更多的是管理上的缺失，是對安全不重視造成的。

5月除通過烏云安全平臺投訴過來的網站漏洞數量大增外，其他的事件數量與往常基本持平。

病毒與木馬

近期沒有新增特別需要關注的木馬病毒。

2014年4月～5月安全投訴事件統計

近期新增嚴重漏洞評述

微軟 5月的安全公告，本次公告共9個，其中3個為重要等級，6個為重要等級，該公告共修復了Windows系統、Office軟 件、IE瀏 覽 器、.NET Framework、SharePoint Server、Office Services 和 Web Apps中存在的14個安全漏洞。用戶應該盡快安裝相應的補丁程序。相關公告的信息請參見：https://technet.microsoft.com/ library/security/ms14-May。

值得提醒的是IE瀏覽器在4月底曝出一個0day漏洞（CVE-2014-1776），影響IE瀏覽器全線產品，隨后微軟在5月1號被迫緊急發布了一個安全公告（MS14 -021）。雖然微軟已于4月停止了對Windows XP系統的支持，但是鑒于此漏洞的危害性，微軟還是在公告中為XP系統的IE6 和IE7提供了補丁程序。相關公告的詳細信息請參見：https://technet.microsoft. com/library/security/ms14-021。

除了上述公告中提到的漏洞外，IE8瀏覽器在處理CMarkup對象的過程中也存在一個0day安全漏洞，攻擊者利用此漏洞可在IE當前進程的上下文中執行任意代碼。目前微軟還未針對該漏洞發布補丁程序，建議用戶隨時關注廠商的動態。

Adobe公司在4月28號追加發布了一個安全公告，用于修補其Flash palyer產品中的一個遠程代碼執行漏洞（CVE-2014-0515）,公告的詳細信息請參見公告：https://helpx.adobe.com/security/products/ flash-player/apsb14-13.html。

隨后Adobe公司在5月的例行公告發布日又發布了2個(APSB14-14和APSB14-15)安全公告，用于修補Adobe Flash player軟 件 及Adobe Acrobat／Reader軟件中的17個安全漏洞，其中Flash player涉及6個，Acrobat／Reader軟件涉及11個。公告相關信息請參見：http://helpx.adobe.com/security/products/ flash-player/apsb14-14.html；http://helpx. adobe.com/security/products/acrobat/apsb14-15.html。

另一個值得關注的漏洞是Linux內核中存在一個權限提升漏洞（CVE-2014-0196），此漏洞從2009年的2.6.31-rc3版本的內核中開始存在，直到最近才被人發現公布出來。這個漏洞可以使得本地普通權限的用戶提升自己的權限到超級用戶，從而在系統中執行任意操作。目前漏洞的攻擊代碼已經被發布，相應的內核修補補丁也已經發布，管理員可以手動升級自己系統內核來防范此漏洞，相關信息請參見：https://git.kernel.org/cgit/linux/kernel/git/ stable/linux-stable.git/commit/?id=4291086b 1f081b869c6d79e5b7441633dc3ace00。

安全提示

5月中旬，小米網2012年8月前注冊的用戶的信息被泄露，涉及近800萬用戶。泄露的信息包括用戶名、密碼、注冊IP、郵箱等。雖然用戶密碼數據經過md5加密，但是由于之前互聯網上泄露了太多的用戶明文密碼，導致一般的md5加密值通過撞庫很容易被還原成明文。針對這種情況，我們還是建議用戶如果有可能，最好是為每個網站都采用一套單獨的用戶名和密碼。

（作者單位為中國教育和科研計算機網應急響應組）