“烏云高校版”敦促漏洞修復(fù)

文/鄭先偉

隨著新學期的來臨，教育網(wǎng)在線用戶數(shù)量的增加導致相關(guān)的安全投訴事件增多，但未發(fā)生重大安全事件。

漏洞多涉及高校二級網(wǎng)站

近期，國內(nèi)一個著名的安全漏洞共享平臺成立了專門針對高校的漏洞發(fā)布平臺——烏云高校版（http://edu.wooyun.org），用于發(fā)布與高校有關(guān)的安全漏洞。根據(jù)該平臺的發(fā)布規(guī)則，這些漏洞在平臺上發(fā)布之初會給相關(guān)學校一個漏洞確認及修復(fù)期（大約30天），也就是在前30天內(nèi)漏洞的具體細節(jié)信息僅會提供給與漏洞有關(guān)的學校，而不會對外公布，直到該學校確認已經(jīng)修補了該漏洞或是忽略該漏洞（超過30天無人應(yīng)答該漏洞就默認為忽略），這些漏洞的細節(jié)才會向大眾開放。目前該平臺已經(jīng)發(fā)布了幾十條與高校網(wǎng)站有關(guān)的漏洞信息，主要包括Apache Struts2框架代碼執(zhí)行漏洞、SQL注入漏洞、后臺弱密碼以及存在暗鏈等信息。這些漏洞所涉及的網(wǎng)站多數(shù)為學校的二級網(wǎng)站。從目前的公開情況看，似乎很多高校對這些漏洞的響應(yīng)態(tài)度并不積極，而平臺已經(jīng)向?qū)娕读硕鄠€漏洞的細節(jié)信息。這些漏洞信息被管理員忽略可能有多方面的原因，一是平臺的信息發(fā)布者與學校的管理員溝通不暢（今后CCERT將加強這方面的協(xié)調(diào)聯(lián)系作用），二是相關(guān)管理員并不在意網(wǎng)站存在漏洞或者是沒有技術(shù)能力進行漏洞修補。筆者建議學校相關(guān)的網(wǎng)站管理員能夠重視這些漏洞，盡可能通過各種手段對漏洞進行修補，雖然平臺上公布的漏洞信息不一定表示該網(wǎng)站已被入侵，但是相關(guān)漏洞的存在使得入侵隨時可能發(fā)生。

2012年8～9月教育網(wǎng)安全投訴事件統(tǒng)計

警惕木馬藏身熱門下載文件

近期沒有新增影響特別嚴重的木馬病毒程序，流行較多的還是通過網(wǎng)頁下載進行傳播的木馬病毒程序。需要提醒用戶注意的是要謹慎應(yīng)對那些自稱是熱門的文件或軟件，如某些艷照門的種子文件或是自動搶購火車票的插件等。

0day漏洞成系統(tǒng)安全焦點

9月，微軟僅發(fā)布了2個安全公告，這2個安全公告的等級均為重要級別且所涉及的軟件也并非系統(tǒng)常用的軟件。對于Windows的系統(tǒng)管理員來說，該月是難得的清閑時間?？上Ш镁安婚L，在微軟安全公告發(fā)布僅幾天之后，一個IE瀏覽器的0day漏洞就橫空出世。這個0day漏洞覆蓋了幾乎所有的IE瀏覽器版本（IE 6、7、8、9）。漏洞的存在是因為IE瀏覽器的execCommand函數(shù)在實現(xiàn)上存在釋放后重用漏洞，該函數(shù)在執(zhí)行命令時會先觸發(fā)相應(yīng)的事件函數(shù)，惡意攻擊者可以在事件函數(shù)中重寫html頁面，致使某個對象被釋放掉，而此時execCommand函數(shù)的操作還沒完成，這就可能導致存在釋放后重用漏洞。攻擊者可以構(gòu)造特制的頁面，并誘使用戶訪問，利用該漏洞就可以達到在受害用戶系統(tǒng)中執(zhí)行任意指令的目的。該漏洞的攻擊程序目前已經(jīng)在網(wǎng)絡(luò)上流行。微軟針對該漏洞發(fā)布了緊急安全通告，并提供了臨時修補工具來降低漏洞帶來的風險，我們建議用戶盡快下載臨時修補工具運行，并隨時關(guān)注廠商的動態(tài)，以便及時安裝補丁程序：（http://technet.microsoft.com/en-us/security/advisory/2757760）。

8月份被爆出0day漏洞的不僅僅只有微軟的產(chǎn)品，Oracle公司的Java Runtime Environment (JRE)運行環(huán)境稍早前也被爆出存在0day漏洞。由于Java運行環(huán)境被廣泛應(yīng)用于各種系統(tǒng)（包括Windows、蘋果IOS和Linux系統(tǒng)等）的各種瀏覽器中（IE、Firefox、Chrome、Safair等），使得這個漏洞可以在各種平臺上通用。目前該漏洞的攻擊程序也已經(jīng)在網(wǎng)絡(luò)上流傳。Oracle公司已經(jīng)針對該漏洞發(fā)布了相應(yīng)的安全公告和補丁程序，建議用戶盡快安裝最新版本的JRE來防范風險（http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html）。

除上述兩個0day漏洞外，8月份DNS服務(wù)程序BIND也被發(fā)現(xiàn)存在一個拒絕服務(wù)攻擊漏洞。當BIND程序處理超過65535字節(jié)的RDATA記錄時可能導致named后臺進程出現(xiàn)異常而退出。根據(jù)ISC發(fā)布的公告稱，遞歸服務(wù)器查詢權(quán)威服務(wù)器提供此類記錄時會受到漏洞影響，而權(quán)威服務(wù)器在區(qū)傳送包含此類型記錄時也會受到影響。攻擊者可以通過構(gòu)造特殊格式的權(quán)威服務(wù)器記錄來對遞歸查詢服務(wù)進行拒絕服務(wù)攻擊。目前ISC已經(jīng)在新版的BIND程序中修補了該漏洞，域名服務(wù)器的管理員及時更新有問題的BIND程序版本。

鑒于近期0day漏洞的安全風險，我們建議用戶進行網(wǎng)頁瀏覽時要小心防范，必要時可以選擇使用其他瀏覽器替代IE瀏覽器，比如Google公司的Chrome瀏覽器，它是目前對漏洞修補速度最快的瀏覽器。