“隨緣學校管理系統”被曝權限存漏洞

文/鄭先偉

“隨緣學校管理系統”被曝權限存漏洞

文/鄭先偉

6月教育網整體運行平穩，未發現嚴重的安全事件。

6月烏云網絡報來的各類網站漏洞中有兩類需要引起關注。一類是多所高校使用一個叫做隨緣學校管理系統搭建的學校教務系統存在權限繞過漏洞，攻擊者只需偽造相應的cookie參數就能繞過系統限制，直接獲取后臺管理權限而無需用戶名和密碼。隨緣學校管理系統官方已經在3年前就停止對這款產品的更新維護，就是說如果學校現在還在使用這套系統搭建的教務系統，那么只有兩種選擇，一種是自己對相關的代碼進行修補性開發，另一種則是使用其他的CMS重新搭建教務系統。隨緣學校管理系統的特征是網站后臺管理目錄名默認為szwyadmin，如果您發現網站后臺存在該目錄，請盡快更新解決相關問題。

另一類需要關注的漏洞是多個學校使用的北京清元優軟URP綜合教務系統存在文件包含漏洞，該漏洞使得攻擊者可以通過URL的參數輸入繞過安全限制去讀取系統中的任意文件。目前廠商針對該漏洞已經有相應的解決辦法，使用該系統的學校可以盡快聯系廠商進行升級處理。

病毒與木馬

近期沒有新增影響嚴重的木馬病毒程序，需要關注的是那些利用熱點事件進行偽裝傳播的木馬病毒，例如偽裝成世界杯的精彩圖片或是視頻的木馬病毒，用戶在郵件附件或是聊天軟件中收到此類信息時應該謹慎對待，在確認來源可信和安全時才可點擊打開。

2014年5月～6月安全投訴事件統計

近期新增嚴重漏洞評述

微軟6月的例行安全公告共7個（MS14 -030到MS14-036），其中2個為嚴重等級，5個為重要等級，這些公告共修補了包括Windows系統、IE瀏覽器、Office軟件及Lync Server中的66個漏洞，這66個漏洞有59個漏洞與IE瀏覽器有關，其中也包括5月提到的IE8瀏覽器的0day漏洞（CVE-2014-1770）在本次也得到了修補。建議用戶盡快使用自動更新功能修復相關漏洞。漏洞的詳細信息請參見：https://technet.microsoft. com/zh-cn/library/security/ms14-jun。

Adobe公司6月的例行安全公告只有一個（ABSB14-16），該公告主要用于修補Flash player軟件中6個安全漏洞，這些漏洞可能導致遠程任意代碼執行或是拒絕服務攻擊。漏洞詳細信息請參見：http:// helpx.adobe.com/security/ products/flash-player/ apsb14-16.html。

除例行公告外，另外幾個值得關注的漏洞包括：

1.Openssl軟件中存在多個安全漏洞，這些漏洞可能導致實現拒絕服務攻擊、中間人劫持攻擊及任意代碼執行漏洞等。不過這次曝出的漏洞較前段時間曝出的心臟滴血漏洞在利用的前置條件及利用難度上都有所提高，很難利用來進行大規模攻擊。目前廠商已經在新版中修補了這些漏洞，建議管理員盡快升級相關組件到最新版本，詳細信息請參見：http://www.openssl.org/news/。

2.Oracle數據被曝出存在一個遠程代碼執行漏洞，這個漏洞因為Oracle數據對java虛擬機支持過程中存在缺陷，使得攻擊者可以遠程執行java代碼。目前漏洞的細節還未公布，廠商也還未針對這些漏洞發布補丁程序。建議Oracle數據庫管理員隨時關注廠商的動態。漏洞的信息請參見：http:// packetstormsecurity.com/files/127117/Oracle-Database-Java-VM-20-Weaknesses.html。

3.DNS服務常用的BIND的軟件被曝出存在一個拒絕服務攻擊漏洞， 目前廠商已經發布補丁程序修補該漏洞，建議DNS服務的管理員盡快升級到最新版本。漏洞的信息請參見：https://kb.isc.org/ article/AA-01166/0/CVE-2014-3859%3ABIND-named-can-crash-due-to-a-defectin-EDNS-printing-processing.html。

安全提示

需要提醒的是6月微軟的例行安全公告中并未對XP系統的漏洞進行修補，公告中涉及的很多IE瀏覽器漏洞在XP系統中同樣存在。對于那些還在使用XP系統的用戶，需要尋求第三方的安全補丁來保護系統的安全。

（作者單位為中國教育和科研計算機網應急響應組）