2012年6月~7月教育网安全投诉事件统计
7月教育网整体运行平稳,未发生重大安全事件。高招的网上招生工作正在有序进行,目前未发生影响招生的严重安全事件。由于进入高校的暑期,教育网内在线的主机数量大幅减少,导致投诉的安全事件数量也大幅减少。目前被投诉的对象多是那些长期开机且无人定期管理的服务器。
网络安全事件分析
暑期网银木马猖獗
进入暑期,由于放假和天气炎热的原因,学生用户在家网购的几率变大。暑期和春节假期通常都是网络购物钓鱼及网银木马病毒最猖獗的时候。用户应该在拥有足够安全措施的系统上完成网络购物操作,且在操作时一定要看清楚交易是否通过正规的网站发起。不要轻易点击别人从即时聊天工具上发来的网络交易链接,在进行网上支付时一定要仔细查看支付链接的网站域名是否正确,是否使用了数据证书且证书颁发的目标网站与交易网站的域名相同。
互联网用户隐私泄露风险在持续
近期又有多家互联网企业遭遇黑客攻击,从而导致用户隐私泄露,这其中包括老牌的互联网企业Yahoo。此次被黑客公布的Yahoo用户名及明文密码数量达45.3万个。黑客主要是利用Yahoo网站上存在的SQL注入漏洞获取这些用户敏感信息。因此,网站要保护用户的隐私信息不能仅仅依靠一些外围的安全防护手段,最好是把这些信息进行加密后再存储,这样可以有效降低网站系统被入侵后带来的风险。
Struts网站存在命令执行漏洞
Struts框架是Apache基金会资助的一个开源项目。它采用的MVC模式能帮助网络开发者快速利用Java的J2EE来搭建大型Web应用。Struts作为网站的底层开发模版被广泛地应用于各类有大业务需求的网站(如运营商、政府、银行金融机构及学校等的网站)的开发中。Apache Struts2 框架在2010 年被发现存在一个严重的命令执行漏洞(CVE-2010-1870),但是由于Struts架构本身的复杂性,使得漏洞的利用相对复杂。直到今天,网络上依然有大量使用Struts2架构的网站,然而漏洞公布后并没有得到重视。近期一系列用于攻击ApacheStruts架构的自动检测及攻击工具在网络上被公开发布。任何一个不懂Java程序开发的人都可以使用这些工具轻而易举地攻击那些有漏洞的网站。目前Struts的版本已经发布到2.3.4版,建议还在使用低版本Struts的网站管理员尽快升级本网站,以避免漏洞被他人攻击。
近期新增严重漏洞评述
7月份微软发布了9个安全公告,其中3个为严重等级,6个为重要等级。一共修复了Windows系统、IE浏览器、Office软件、系统开发组件中的16个安全漏洞。其中公告MS12-043(http://technet.microsoft.com/zhcn/security/bulletin/ms12-043)用于修补6月出现的XML Core Services 中的0day漏洞(该漏洞已经被用来进行特定的网络攻击)。针对上述公告中的漏洞,用户应该打开Windows的自动更新功能,在系统提示安装补丁时选择安装。另外微软还在7月12日发布了一个安全通告(ht tp: / /s u p p o r t .microsoft.com/kb/2719662),用于提醒用户Vista和Win7系统自带的桌面小工具程序存在安全漏洞,可能会被蠕虫或木马病毒利用。在补丁程序未公布前,建议用户暂时停用系统的小工具功能。微软为此专门提供了自动关闭小工具的脚本程序,用户可以在通告相关的网站上下载。
除微软的安全公告中涉及的漏洞外,一些第三方系统或软件的漏洞也需要用户关注:
1. Oracle公司发布了今年三季度的例行安全公告(h t t p: / /www. o r ac l e . co m /technetwork/topics/security/cpujul2012-392727.html)。原本计划修补的88个漏洞变成了87个,这些漏洞涉及Oracle公司的全线产品。其中与Oracle数据库有关的漏洞有4个,与MySQL数据有关的漏洞6个,与Oracle 数据库中间件产品有关的漏洞22个,与Oracle Sun产品有关的漏洞24个,剩下的漏洞与Oracle公司其他产品有关。而未发布的第88个漏洞补丁一度被传言是为了修补Oracle数据库中存在了4年的0day漏洞。该漏洞允许攻击者劫持客户端和数据库之间的交流信息。内部人士透露,这个0day 漏洞涉及到Oracle 数据的基础架构,无法通过打补丁的模式修补,只能通过重新安装Oracle数据库来修补。因此在没有重大版本变更的前提下,短期内漏洞不会被修补。
2. Mozillo公司发布了Firefox浏览器最新版本14.0,修补了之前版本中的多个安全漏洞(http://www.mozilla.org/security/announce/)。
(作者单位为中国教育和科研计算机网应急响应组)
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。