10月份教育网整体运行平稳，未发生重大安全事件。11月，十八大将在京召开，各学校的管理员应该在此期间加强对学校网络和信息的安全监控，避免学校的信息系统被黑客入侵而给学校带来不必要的麻烦和影响。

　　近期投诉事件依然以垃圾邮件居多，这些垃圾邮件的发送者很大一部分是因为感染病毒而被动发送垃圾邮件的。

　　警惕“毒”附件

　　近期未新增影响较为严重的蠕虫、木马病毒程序。用户需要关注的是那些利用社会工程学进行传播的病毒，这些病毒通常会伪装成用户的朋友发送一些用户感兴趣的东西（如“我国庆期间出游的照片”），来引诱用户点击运行病毒程序。这些包含病毒程序的压缩包会通过即时聊天工具的文件传输功能或者是电子邮件的附件发送给用户，用户一旦点击这些带病毒程序的附件就可能中毒。因此，建议用户在收到不能完全确认来源的压缩包或者是程序时一定要谨慎。

　　新增严重漏洞评述

2012年9～10月教育网安全投诉事件统计

　　对于9月底暴露出来的IE浏览器0day漏洞（MS12－063）和Java运行环境0day漏洞，目前厂商都发了紧急修补程序。用户只需安装相应的补丁就可防范风险。

　　10月份，微软的例行安全公告一共发布了7个(MS12-064到MS12-070)，共修补了Windows系统、Office软件、Kerberos服务及SQL服务程序中的8个安全漏洞。其中，Word 中可能允许远程执行代码漏洞（MS12－064）为严重等级，其他为重要等级。MS12－067公告修补的漏洞与Windows软件无关，它修补的是O r a c l e 公司的Oracle Outside In库中的安全漏洞，这种帮其他厂商修补安全漏洞的做法在以往的微软安全公告中是少见的。

　　除微软的安全公告外，Adobe公司也发布了针对Fl ash Player 软件的安全公告（http://www.adobe.com/support/security/bulletins/apsb1222.html）。新版本的FlashPlayer 修补了之前版本中的25 个安全漏洞，这些漏洞有很大一部分属于远程代码执行漏洞，用户应该使用Flash Player的自动更新功能进行更新。

　　另一个需要引起用户关注的安全公告是Oracle公司今年四季度的例行安全公告（http://www.oracle.com/technetwork/topics/security/cpuoct2012-1515893.html）。本次公告修复了多达13 9 个安全漏洞。产品涉及Oracle数据库（5个）、中间件产品Fusion Middleware（26个）、供应链套装软件Oracle Supply Chain Products Suite（9个）、电子商务套装软件Oracle E-Business Suite（9个）；Industry Applications（2个）、Financial Services（13个）、Virtualization（2个）、PeopleSoft产品（9 个）、Java SE（30 个）、Oracle Siebel托管型CRM软件（2个）、Sun系列产品（18个）和MySQL数据库（14个）。

　　其中Oracle Database身份验证协议离线口令破解漏洞（CVE-2012-3137）特别需要数据管理员关注。这个漏洞存在于Oracle数据库用户登录过程的数据加密机制中，在数据库用户试图登录数据时，加密程序会调用用户的密码hash值生成临时密钥去加密一个随机数生成会话密码发送给登录程序，由于加密程序的随机数生成机制上有缺陷，交互的数据中存在部分加密不完全的明文，通过这部分明文可以破解出用来加密的初始密钥，也就是包含用户密码hash值的数据。由于程序调用用户密码hash来生成密码是发生在用户成功登录之前，因此攻击者无需登录成功数据库就能获取这段包含明文的信息并进行离线破解，对于那些弱密码用户来说，hash值非常容易被还原成明文密码。建议所有使用Oracle数据库的管理员应尽快安装相应的补丁程序。

　　在第三方软件中，Real Networks公司的Realplayer软件的最新版本中存在远程代码执行的0 d a y 漏洞。虽然当下使用Realplayer软件的用户数量大大减少，但需要注意的是一些软件中集成的播放器很可能使用的是Realplayer的内核，这种情况下漏洞也可能存在该软件中。

　　安全提示

　　鉴于Oracle数据库的安全风险，我们建议数据库管理员尽快升级数据。如果不能及时升级，数据库可以使用以下临时措施来缓解风险：

　　1.尽可能将数据库的登录来源限制在本地，如果必须远程登录，请在主机或边界防火墙设备上只允许可信任的IP访问Oracle数据库主机和端口(TCP/1521)。

　　2.要求Oracle数据库中各个用户使用强度较高的口令，避免被轻易破解。

　　（作者单位为中国教育和科研计算机网应急响应组）