随着Web技术的快速演变,近来黑客开始把关注重点转向Web应用系统,2013年上半年Web应用系统漏洞数量目前占新增漏洞的第二位,Web应用系统的安全风险达到前所未有的高度。目前,针对院校的专有系统(如电子邮件系统、教务系统登录)的漏洞呈现增长趋势,这些专有系统在开发之初没有考虑安全因素导致存在安全漏洞,而造成用户信息泄露等事件。本刊收集了相关漏洞的详情供各学校参考并警惕以下漏洞,以防信息丢失而造成相应的损失。
漏洞类型:命令执行
危害等级:高
快客邮件系统(QuarkMail)存在的一个远程代码执行漏洞(CNVD编号:CNVD-2013-21254)。攻击者利用漏洞可发起远程攻击,通过执行特定指令逐步渗透控制邮件服务器主机。互联网上已经出现了攻击利用代码,对相关服务器构成信息泄露和运行安全威胁。
根据CNVD测试结果,相关版本的快客电邮产品采用了CGI脚本,存在一处远程代码执行漏洞。攻击者可利用漏洞直接发起恶意URL请求,远程执行操作系统指令。通过当前邮件服务器运行用户已有权限,攻击者可逐步渗透并控制邮件服务器主机操作系统。
CNVD对该漏洞的综合评级为“高危”,该产品广泛应用于我国政府和重要信息系统部门以及军队、电信、新闻、教育机构和科研院所等多个领域。目前,CNVD通过测试结果还未能确认受影响的产品具体版本号。
目前,互联网上已经披露了攻击利用代码,CNVD尚未获知厂商对该漏洞的响应情况。CNVD建议相关用户直接联系厂商,要求提供解决方案。
漏洞类型:用户资料大量泄漏
危害等级:高
eYou是目前国内机构(高校、政府、企业)使用率最高的邮箱系统之一。今发现eYou邮件系统、eYou邮件网关系统有多处严重的安全隐患,攻击者可入侵服务器和盗取任意邮箱信息。
影响版本:
2007年以后所有版本,包括最新版。目前主要有默认配置漏洞、旧版网关漏洞与新版网关漏洞、邮箱系统远程执行漏洞。利用以上几个漏洞,只要是使用eYou的邮箱系统,就99%会被入侵。
修复方案:
更新到最新版本。
详情参见:
h t t p://w w w.w o o y u n.o r g/b u g s/wooyun-2012-016448#
漏洞类型: 设计缺陷/逻辑错误危害等级: 中
银校通是建立在银行和学校的网络互联基础上,方便学生或学生家长的网上即时动态缴费管理系统,是银行综合金融服务产品的重要组成部分,是学校和银行的便捷资金结算通道。
只要进入学校的银校通登录页面,知道学生银校通的账号,就可以轻松进入系统。但不可以直接修改密码,从而利用其进入到其他系统中去。
目前该漏洞已交由第三方(CNCERT国家互联网应急中心)处理 。
而厂商方面答复,CNVD确认并复现所述情况,对于绕过情况有一个前提条件,即知晓学号,在近期的测试中复现一个实例。该问题已由中国教育和科研计算机网应急响应组通知相关学校处理。
漏洞类型: 未授权访问/权限绕过危害等级: 中
URP高校教务管理系统(University Educational Administration System,简称UEAS),数字化校园核心业务系统之一,集Client/Server和Browser/Web Server技术于一体,涉及教务、教学管理各环节,面向学校各部门以及各层次用户的大型集成教务管理信息系统。
北京清元优软的URP教务系统用于国内的各大高校的教务系统,但是系统存在一个页面,可以非授权查询任何学生的成绩,只要知道学生的学号,就可以查询学生成绩、身份证、头像等敏感信息。漏洞通用于所有URP系统。
修复方案:
删除页面,或者对页面访问进行一个session验证等。