文/鄭先偉

近期高校業(yè)務(wù)系統(tǒng)安全漏洞頻出

文/鄭先偉

CCERT月報(bào)

11月教育網(wǎng)運(yùn)行平穩(wěn)，未發(fā)現(xiàn)影響嚴(yán)重的安全事件。

11月安全投訴事件比例及規(guī)模與往月基本持平。網(wǎng)站安全事件數(shù)量依然在高位運(yùn)行，目前更多的安全事件投訴來源于學(xué)校的各種業(yè)務(wù)系統(tǒng)(如教務(wù)、招生、學(xué)籍管理等)。這應(yīng)該引起學(xué)校的關(guān)注。

11月沒有新增影響比較嚴(yán)重的木馬蠕蟲病毒。

11月需要關(guān)注的漏洞有如下這些：

1. 微軟11月的例行安全公告數(shù)量共12個(gè)，其中4個(gè)為嚴(yán)重等級(jí)，8個(gè)為重要等級(jí)。這些公告共修補(bǔ)了包括Windows系統(tǒng)、IE瀏覽器、Office軟件、Skype、Lync、Web App、 NETFramework及微軟Edge中的53個(gè)漏洞。用戶應(yīng)該盡快使用Windows的自動(dòng)Update功能更新相應(yīng)補(bǔ)丁程序。漏洞的詳細(xì)信息請(qǐng)參見：https∶// technet.microsoft.com/zh-CN/library/security/ ms15-nov.aspx1。

2015年10月～11月安全投訴事件統(tǒng)計(jì)

2. Adobe公司11月的例行公告中需要關(guān)注的是apsb15-028，該公告修補(bǔ)了Flash player軟件中的16個(gè)安全漏洞，涉及的系統(tǒng)包括目前幾乎所有的主流操作系統(tǒng)。用戶應(yīng)該盡快升級(jí)自己的Flash版本。相關(guān)漏洞的信息請(qǐng)參見：https∶//helpx. adobe.com/security/products/acrobat/apsb15-28.html。

3. Redis 是一個(gè)高性能的開源免費(fèi)key-value數(shù)據(jù)庫軟件，被很多研究項(xiàng)目所采用。Redis默認(rèn)情況下會(huì)開啟6379端口，并將該端口服務(wù)綁定在0.0.0.0上，在未開啟認(rèn)證的情況下，可導(dǎo)致任意用戶在可以訪問目標(biāo)服務(wù)器的情況下未授權(quán)訪問Redis，讀取Redis的數(shù)據(jù)。這樣的設(shè)計(jì)最初是為了方便用戶訪問數(shù)據(jù)庫里的數(shù)據(jù)，因此這種未授權(quán)的訪問模式幾乎存在大多數(shù)Redis數(shù)據(jù)庫中，正常情況下這種未授權(quán)的訪問只是讓用戶能夠讀寫Redis數(shù)據(jù)庫，但是近期有攻擊者研究了利用該未授權(quán)訪問的一種新的攻擊方式，通過Redis的讀寫權(quán)限將自己的公鑰寫入目標(biāo)服務(wù)器/root/.ssh 文件夾的authotrized_keys文件中，從而可以直接登錄目標(biāo)服務(wù)器。目前廠商還未針對(duì)該漏洞發(fā)布補(bǔ)丁程序，Redis的管理員可以使用下列臨時(shí)的方法來降低被攻擊的風(fēng)險(xiǎn)：

（1）將Redis的服務(wù)綁定到本地地址127.0.0.1上，方法為編輯/etc/redis/redis/ conf配置文件，修改bind參數(shù)為如下：`bind127.0.0.1`。

（2）使用防火墻限制外部網(wǎng)絡(luò)對(duì)6379端口的訪問。

4.Java反 序 列化漏洞近期在網(wǎng)絡(luò)上被熱炒，該漏洞是因?yàn)锳pache CommonsCollections組件中對(duì)于集合的操作存在可以進(jìn)行反射調(diào)用的方法,并且該方法在相關(guān)對(duì)象反序列化時(shí)并未進(jìn)行任何校驗(yàn)，遠(yuǎn)程攻擊者利用漏洞可發(fā)送特殊的數(shù)據(jù)給應(yīng)用程序或給使用包含Java 'InvokerTransformer.class'序列化數(shù)據(jù)的應(yīng)用服務(wù)器，在目標(biāo)服務(wù)器當(dāng)前權(quán)限環(huán)境下執(zhí)行任意代碼。Apache Commons工具集廣泛應(yīng)用于Java技術(shù)平臺(tái)，WebLogic、IBM WebSphere、JBoss、Jenkins和OpenNMS等應(yīng)用都大量調(diào)用了Commons工具集，因此上述軟件都可能受此漏洞影響。由于漏洞影響的軟件廠商較多，目前官方還未給出完整的補(bǔ)丁，Apache給出臨時(shí)的解決辦法，相關(guān)管理員可以參照相關(guān)辦法來降低風(fēng)險(xiǎn)：http∶//svn.apache.org/viewvc?view=revision &revision=1713307。

（作者單位為中國教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）