文/郑先伟
10月教育网运行平稳,未发现影响严重的安全事件。值得关注的是Oracle公司在9月底刚刚发布了Java 11的版本,并修正了版本更新规则,继Mysql之后,Java开发环境的更新服务也从免费变更成收费模式。对于Java 8商业版jdk从2019年1月开始停止免费更新,个人版则可延续到2020年12月后停止免费更新,而Java 11版jdk则从发布开始就没有免费的版本。这次更新政策的变化,对使用Java语言开发的业务系统会带来较大影响,学校应该提前对可能带来的风险进行评估,如果后续的更新无法维系,应该尽快在期限到达前改用其他开发模式。
10月网站类的安全事件有大幅下降。近期没有新增需要关注的木马病毒。
近期新增严重漏洞评述:
1. 微软10月的例行安全公告修复了其多款产品中存在的118个安全漏洞。受影响的产品包括Windows 10 v1809及WindowsServer 2019(19个)、Windows 10 v1803及Windows Serverv1803(21个)、Windows 10 v1709及Windows Serverv1709(21个 )、Windows 8.1及 Windows Server2012 R2(15个)、Windows Server 2012(14个)、Windows 7及 Windows Server 2008R2(14个)和Windows Server 2008(14个)。建议用户尽快使用系统自带的更新功能进行更新。公告的详细信息可参见:https://support.microsoft.com/en-us/help/20181009/security-updatedeployment-information-october-9-2018。
2018年9~10月安全投诉事件统计
2. Oracle在10月发布了今年第四季度的例行安全公告,本次公告修复了其多款产品中存在的301个安全漏洞,这其中有159个属于高危漏洞,有273个漏洞可被远程利用。受影响的产品包括Oracle Database Server数据库(3个)、Oracle Big Data Graph(1个 )、Oracle GoldenGate(3个)、Oracle Communications Applications(14个)、OracleConstruction and Engineering Suite(10个)、电子商务套装软件Oracle E-Business Suite(16个)、Oracle Enterprise Manager Products Suite(4个)、OracleFinancial Services Applications(2个)、Oracle Food and Beverage Applications(4个)、中间件产品FusionMiddleware(65个)、Oracle Health Sciences Application(1个)、OracleHospitality Applications(9个)、Oracle Hyperion(9 个)、Oracle iLearning(1个)、Oracle Insurance Applications(5个)、OracleJava SE(12个)、Oracle JD Edwards产品(6个)、Oracle MySQL数据库(38个)、Oracle PeopleSoft产品(24个、Oracle Supply Chain Products Suite(6个)、OracleSupport Tools(1个 ) 和Oracle Virtualization(14个)。 这 其中WebLogic Server远程代码执行漏洞(CVE-2018-3245)需要特别关注,漏洞影响WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3等版本攻击者利用该漏洞可以在未授权的情况下将payload封装在T3协议中,通过对T3协议中的payload进行反序列化,从而实现对存在漏洞的WebLogic组件进行远程攻击,执行任意代码,并获取目标系统的所有权限。目前厂商已经针对该漏洞发布了补丁程序,用户应该根据自己的使用情况尽快安装相应的补丁程序。相关的补丁信息请参见:https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html。
3. Mozilla Firefox 63之前的版本中存在多个安全漏洞,这些漏洞可能导致远程代码执行、信息泄漏、权限提升、权限限制绕过及拒绝服务等攻击。厂商已经在最新的63版本中修补了这些漏洞,使用Firefox浏览器的用户应该尽快进行版本更新。漏洞及更新信息可参见:https://www.mozilla.org/en-US/security/advisories/mfsa2018-26/。
安全提示
学校有很多业务系统都是委托第三方公司开发的,这些公司在开发过程中都有可能选择Java作为开发工具,如果开发公司在后续的工作中选择向Oracle公司支付升级费用,则后续运行不会有任何问题。如果开发公司因为成本问题选择GPL模式(免费开源模式),那么它之前开发的很多系统代码就必须遵循GPL协议进行开源(否则将面临法律起诉问题)。因此学校需要根据自己业务系统本身的情况(开发语言)来联系相应的厂商进行确认,以确保系统在免费更新期限后仍能获取可靠的安全服务。