“乌云高校版”敦促漏洞修复

文/郑先伟

随着新学期的来临，教育网在线用户数量的增加导致相关的安全投诉事件增多，但未发生重大安全事件。

漏洞多涉及高校二级网站

近期，国内一个著名的安全漏洞共享平台成立了专门针对高校的漏洞发布平台——乌云高校版（http://edu.wooyun.org），用于发布与高校有关的安全漏洞。根据该平台的发布规则，这些漏洞在平台上发布之初会给相关学校一个漏洞确认及修复期（大约30天），也就是在前30天内漏洞的具体细节信息仅会提供给与漏洞有关的学校，而不会对外公布，直到该学校确认已经修补了该漏洞或是忽略该漏洞（超过30天无人应答该漏洞就默认为忽略），这些漏洞的细节才会向大众开放。目前该平台已经发布了几十条与高校网站有关的漏洞信息，主要包括Apache Struts2框架代码执行漏洞、SQL注入漏洞、后台弱密码以及存在暗链等信息。这些漏洞所涉及的网站多数为学校的二级网站。从目前的公开情况看，似乎很多高校对这些漏洞的响应态度并不积极，而平台已经向对公众披露了多个漏洞的细节信息。这些漏洞信息被管理员忽略可能有多方面的原因，一是平台的信息发布者与学校的管理员沟通不畅（今后CCERT将加强这方面的协调联系作用），二是相关管理员并不在意网站存在漏洞或者是没有技术能力进行漏洞修补。笔者建议学校相关的网站管理员能够重视这些漏洞，尽可能通过各种手段对漏洞进行修补，虽然平台上公布的漏洞信息不一定表示该网站已被入侵，但是相关漏洞的存在使得入侵随时可能发生。

2012年8～9月教育网安全投诉事件统计

警惕木马藏身热门下载文件

近期没有新增影响特别严重的木马病毒程序，流行较多的还是通过网页下载进行传播的木马病毒程序。需要提醒用户注意的是要谨慎应对那些自称是热门的文件或软件，如某些艳照门的种子文件或是自动抢购火车票的插件等。

0day漏洞成系统安全焦点

9月，微软仅发布了2个安全公告，这2个安全公告的等级均为重要级别且所涉及的软件也并非系统常用的软件。对于Windows的系统管理员来说，该月是难得的清闲时间。可惜好景不长，在微软安全公告发布仅几天之后，一个IE浏览器的0day漏洞就横空出世。这个0day漏洞覆盖了几乎所有的IE浏览器版本（IE 6、7、8、9）。漏洞的存在是因为IE浏览器的execCommand函数在实现上存在释放后重用漏洞，该函数在执行命令时会先触发相应的事件函数，恶意攻击者可以在事件函数中重写html页面，致使某个对象被释放掉，而此时execCommand函数的操作还没完成，这就可能导致存在释放后重用漏洞。攻击者可以构造特制的页面，并诱使用户访问，利用该漏洞就可以达到在受害用户系统中执行任意指令的目的。该漏洞的攻击程序目前已经在网络上流行。微软针对该漏洞发布了紧急安全通告，并提供了临时修补工具来降低漏洞带来的风险，我们建议用户尽快下载临时修补工具运行，并随时关注厂商的动态，以便及时安装补丁程序：（http://technet.microsoft.com/en-us/security/advisory/2757760）。

8月份被爆出0day漏洞的不仅仅只有微软的产品，Oracle公司的Java Runtime Environment (JRE)运行环境稍早前也被爆出存在0day漏洞。由于Java运行环境被广泛应用于各种系统（包括Windows、苹果IOS和Linux系统等）的各种浏览器中（IE、Firefox、Chrome、Safair等），使得这个漏洞可以在各种平台上通用。目前该漏洞的攻击程序也已经在网络上流传。Oracle公司已经针对该漏洞发布了相应的安全公告和补丁程序，建议用户尽快安装最新版本的JRE来防范风险（http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html）。

除上述两个0day漏洞外，8月份DNS服务程序BIND也被发现存在一个拒绝服务攻击漏洞。当BIND程序处理超过65535字节的RDATA记录时可能导致named后台进程出现异常而退出。根据ISC发布的公告称，递归服务器查询权威服务器提供此类记录时会受到漏洞影响，而权威服务器在区传送包含此类型记录时也会受到影响。攻击者可以通过构造特殊格式的权威服务器记录来对递归查询服务进行拒绝服务攻击。目前ISC已经在新版的BIND程序中修补了该漏洞，域名服务器的管理员及时更新有问题的BIND程序版本。

鉴于近期0day漏洞的安全风险，我们建议用户进行网页浏览时要小心防范，必要时可以选择使用其他浏览器替代IE浏览器，比如Google公司的Chrome浏览器，它是目前对漏洞修补速度最快的浏览器。