7月教育网整体运行平稳，高招工作正在有序进行，未发现影响严重的安全事件。近期我们接到其他安全组织的信息通报，教育网内仍然有多达近千网站中存在安全漏洞，漏洞主要集中在SQL注入类，也包括其他一些弱密码或是上传权限控制问题。这些网站很多已经被黑客控制注入了木马后门程序或者在网页中加入了六合彩赌博的暗链等。统计发现，其中很大一部分网站实际上之前已经被检测出问题，并且已经通知了相关学校处理，但是不知是因为技术原因还是管理原因这些问题依然存在。所以建议学校的信息部门如果技术及管理能力允许，最好是把这些网站重新开发并统一进行管理。统一开发及管理的网站虽然不能完全杜绝漏洞的存在，但是可以在发现漏洞时及时地修补。
　　7月从其他安全组织转过来的针对教育网内网站安全扫描的结果导致网站安全事件的数量增多。
　　病毒与木马
　　近期需要关注的病毒还是那些伪造成热点事件（如世界杯）进行传播的木马病毒。

2014 年6 月~7 月安全投诉事件统计

　　近期新增严重漏洞评述
　　微软７月的例行安全公告共６个，其中２个为严重等级，４个为重要等级。这些公告共修补了包括Windows系统、IE浏览器及Service Bus for Windows Server中存在的29个安全漏洞。需要关注的是29个漏洞中有24个跟IE浏览器有关，并且其中有一个还是Oday漏洞。利用上述漏洞，攻击者可以远程执行任意代码、本地提升权限及拒绝服务攻击，用户应该尽快安装相应的补丁程序。漏洞详细信息请参见：https://technet.microsoft.com/library/security/ms14-Jul。
　　Adobe公司7月的安全公告只有一个，修补了Flash player软件中的３个安全漏洞，相关的信息请参见http://helpx.adobe.com/security/products/flash-player/apsb14-17.html。
　　浏览器方面除了IE浏览器外，Firefox浏览器及Chrome浏览器均发布了最新版本修补之前版本中的安全漏洞。
　　７月Oracle公司也发布了今年三季度的例行安全公告，本次公告修复了其多款产品存在的114个安全漏洞。包括Oracle数据库5个、中间件产品Fusion Middleware 29个、电子商务套装软件Oracle E-Business Suite 5个、供应链套装软件Oracle Supply Chain Products Suite 3个、企业管理器网格控制产品Oracle Enterprise Manager Grid Control 1个、Oracle Siebel托管型CRM软件6个、Virtualization软件15个、Hyperion软件7个、PeopleSoft产品5个、Retail Applications 3个、Communications Applications 1个、Java SE运行环境20个、Oracle和Sun系统产品4个以及MySQL数据库10个。这其中需要关注的是中间件产品存在远程执行漏洞，可能会影响数据库的安全，而MySQL数据库也存在４个远程代码执行漏洞。所以相关的数据库管理员应该尽快升级相关的产品并用防火墙等安全产品限制远程对数据库的访问。Oracle公告的详细信息请参见：http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html。
　　除上述例行安全公告外，以下教育专用产品也存在安全漏洞：
　　1.多所高校使用的湖南强智科技公司开发的强智科技教务管理系统存在SQL注入漏洞。综合利用漏洞，可能导致攻击者获取数据库敏感信息，构成信息泄露和运行风险。
　　2.多所高校使用北京国人通教育科技有限公司高校管理者培训平台存在SQL注入漏洞。利用这些漏洞攻击者可以控制系统的数据库，获取用户的敏感信息。
　　3.多所高校使用的金龙卡金融化一卡通系统存在目录遍历、未授权操作漏洞。综合利用这些漏洞，可能导致攻击者获取敏感信息，执行未授权操作，构成信息泄露和安全运行风险。
　　4.南京先极科技有限公司开发的教育类CMS存在文件包含漏洞。允许攻击者通过猜解文件路径的方式下载并查看web.xml 配置文件信息。
　　（作者单位为中国教育和科研计算机网应急响应组）