高校网站安全问题多发 管理缺失系主因

文/郑先伟

高校网站安全问题多发 管理缺失系主因

文/郑先伟

5月教育网整体运行平稳，未发现严重的安全事件。从5月开始我们与国内的知名安全平台乌云网开始合作，对该平台上发布的与各高校有关的网站安全事件进行通知处理，到目前为止已经通知处理了389个网站的安全问题。这389个网站中存在的安全问题主要包括SQL注入、XSS跨站脚本攻击、权限控制错误导致的越权访问或是任意文件的上传和下载、网站存在弱口令用户等。其中SQL注入漏洞是存在数量最多的漏洞，其次是权限控制漏洞，存在弱口令的网站数量也不少。这些问题网站涉及的院校既有排名靠前的重点院校，也有一般的职业技术学院，且多为学校的二级网站，其中不少还是计算机系的网站。从这可以看出一个问题，造成这些网站安全问题并不是因为技术上存在瓶颈，更多的是管理上的缺失，是对安全不重视造成的。

5月除通过乌云安全平台投诉过来的网站漏洞数量大增外，其他的事件数量与往常基本持平。

病毒与木马

近期没有新增特别需要关注的木马病毒。

2014年4月～5月安全投诉事件统计

近期新增严重漏洞评述

微软 5月的安全公告，本次公告共9个，其中3个为重要等级，6个为重要等级，该公告共修复了Windows系统、Office软 件、IE浏 览 器、.NET Framework、SharePoint Server、Office Services 和 Web Apps中存在的14个安全漏洞。用户应该尽快安装相应的补丁程序。相关公告的信息请参见：https://technet.microsoft.com/ library/security/ms14-May。

值得提醒的是IE浏览器在4月底曝出一个0day漏洞（CVE-2014-1776），影响IE浏览器全线产品，随后微软在5月1号被迫紧急发布了一个安全公告（MS14 -021）。虽然微软已于4月停止了对Windows XP系统的支持，但是鉴于此漏洞的危害性，微软还是在公告中为XP系统的IE6 和IE7提供了补丁程序。相关公告的详细信息请参见：https://technet.microsoft. com/library/security/ms14-021。

除了上述公告中提到的漏洞外，IE8浏览器在处理CMarkup对象的过程中也存在一个0day安全漏洞，攻击者利用此漏洞可在IE当前进程的上下文中执行任意代码。目前微软还未针对该漏洞发布补丁程序，建议用户随时关注厂商的动态。

Adobe公司在4月28号追加发布了一个安全公告，用于修补其Flash palyer产品中的一个远程代码执行漏洞（CVE-2014-0515）,公告的详细信息请参见公告：https://helpx.adobe.com/security/products/ flash-player/apsb14-13.html。

随后Adobe公司在5月的例行公告发布日又发布了2个(APSB14-14和APSB14-15)安全公告，用于修补Adobe Flash player软 件 及Adobe Acrobat／Reader软件中的17个安全漏洞，其中Flash player涉及6个，Acrobat／Reader软件涉及11个。公告相关信息请参见：http://helpx.adobe.com/security/products/ flash-player/apsb14-14.html；http://helpx. adobe.com/security/products/acrobat/apsb14-15.html。

另一个值得关注的漏洞是Linux内核中存在一个权限提升漏洞（CVE-2014-0196），此漏洞从2009年的2.6.31-rc3版本的内核中开始存在，直到最近才被人发现公布出来。这个漏洞可以使得本地普通权限的用户提升自己的权限到超级用户，从而在系统中执行任意操作。目前漏洞的攻击代码已经被发布，相应的内核修补补丁也已经发布，管理员可以手动升级自己系统内核来防范此漏洞，相关信息请参见：https://git.kernel.org/cgit/linux/kernel/git/ stable/linux-stable.git/commit/?id=4291086b 1f081b869c6d79e5b7441633dc3ace00。

安全提示

5月中旬，小米网2012年8月前注册的用户的信息被泄露，涉及近800万用户。泄露的信息包括用户名、密码、注册IP、邮箱等。虽然用户密码数据经过md5加密，但是由于之前互联网上泄露了太多的用户明文密码，导致一般的md5加密值通过撞库很容易被还原成明文。针对这种情况，我们还是建议用户如果有可能，最好是为每个网站都采用一套单独的用户名和密码。

（作者单位为中国教育和科研计算机网应急响应组）