高招期间高校网站成漏洞重灾区

文/郑先伟

高招期间高校网站成漏洞重灾区

文/郑先伟

CCERT月报

近期有媒体报道了近千所高校的网站存在严重的安全问题，可能导致大量的学生及教师信息被泄漏。高校网站存在安全漏洞这事其实已经不算是新闻了，如果我们翻看以往的新闻记录就会发现，相似内容的新闻在每年高考的前夕都会出现。这一方面说明每年高招期间都是高校网站最引人关注的时候，另一方面也说明那些有安全问题的网站其实一直都存在，正如新闻中提到的一个数据，这些有问题的网站在获知漏洞存在后的修补率不足百分之五。至于漏洞为什么迟迟得不到修补，多数管理员将其归咎为技术水平不够的原因，但是在笔者看来技术水平只是其中很小的一部分原因，网络信息安全管理工作在高校网络建设中长期得不到重视导致的人员和经费配置不足才是主因。

近期又有多所高校发生了网站系统被入侵并在页面上放置了敏感的带有政治色彩的标语攻击事件，给相关的学校带来了很不好的影响。我们对多起攻击事件分析后发现攻击者是利用了学校的业务系统网站（如教务、一卡通系统）的漏洞进行攻击的，这些专有业务系统中存在的漏洞多数很早就被曝光出来了，但是并未引起厂商和学校的重视，导致相关漏洞长期存在直到被人利用。

2015年4月～5月安全投诉事件统计

病毒与木马

病毒方面需要关注的是三大国际知名的反病毒软件认证机构在五月初联合发表声明，取消了国内多款反病毒软件的认证成绩，取消的原因是这些软件在评测过程中存在违规的作弊行为。我们在此不去讨论国产杀毒软件的技术，仅从事件本身来看就能感觉出国内反病毒软件的生态环境并不是一个积极向上的状态，如果这种状态不改变，用户很可能最终要被迫选择那些国外的产品。

漏洞信息

本期需要关注的漏洞有：

1. 微软2015年5月的例行安全公告，本次公告共13个，其中3个为严重等级，10个为重要等级。这些公告共修补了Windows系统、IE浏览器、Office软件、.NET开发组件、Lync、Silverlight和Server软件中的48个安全漏洞。用户应该尽快使用系统自动更新功能来安装相应的补丁程序，相关公告及漏洞的详细信息请参见：https://technet. microsoft.com/zh-CN/library/security/ms15-May。

2. Adobe公司5月的安全公告有两个，其中apsb15-09用于修补Flash player软件中的18个安全漏洞，apsb15-10用于修补Adobe Acrobat／Reader软件中的34个漏洞。鉴于Acrobat／Reader软件中涉及的漏洞利用相对频繁，我们建议用户应该尽快升级相关的软件到最新版本。漏洞的详细信息请参见：

Flash player https://helpx.adobe.com/ security/products/flash-player/apsb15-09.html

Adobe Acrobat／Reader https://helpx.adobe. com/security/products/reader/apsb15-10.html。

3. QEMU是一套由Fabrice Bellard所编写的模拟处理器的自由软件，它被广泛应用于Linux系统上对虚机进行管理。QEMU的虚拟软盘驱动器（FDC）代码实现中存在一个安全漏洞。导致攻击者可以从虚拟机中越权访问宿主机器及其他虚机，并执行任意代码。FDC代码被广泛应用于众多虚拟化平台和设备中，那些使用了FDC代码的虚拟机程序如Xen、KVM以及本地QEMU客户端受此漏洞影响。而VMware、微软的hyper-V和Bochs管理程序则不受此漏洞的影响。目前各版本的Linux都针对该漏洞发布了相应的补丁程序，管理员可以根据自己系统的情况选择安装，尤其是那些建立了云服务平台的系统，要特别关注底层是否使用了QEMU的FDC代码。相关漏洞的详细信息请参见：http://cve.mitre.org/cgi-bin/cvename. cgi?name=CVE-2015-3456。

安全提示

近期依然是高校网站的高风险期，建议学校加强对各级网站的管理，对于那些无法保障安全的网站必要时可以选择关闭。而对于那些必须要开放的网站一定要加强管理及技术防护。不要存在任何侥幸心理。随着互联网上安全众测模式的普及，有安全隐患的系统会迅速地被找出来并攻破，即便是你把它放置在很隐蔽的地方。

（作者单位为中国教育和科研计算机网应急响应组）