近期高校业务系统安全漏洞频出

2015-12-12 11:13郑先伟
中国教育网络 2015年12期
关键词:序列化安全漏洞安全事件

文/郑先伟

近期高校业务系统安全漏洞频出

文/郑先伟

CCERT月报

11月教育网运行平稳,未发现影响严重的安全事件。

11月安全投诉事件比例及规模与往月基本持平。网站安全事件数量依然在高位运行,目前更多的安全事件投诉来源于学校的各种业务系统(如教务、招生、学籍管理等)。这应该引起学校的关注。

11月没有新增影响比较严重的木马蠕虫病毒。

11月需要关注的漏洞有如下这些:

1. 微软11月的例行安全公告数量共12个,其中4个为严重等级,8个为重要等级。这些公告共修补了包括Windows系统、IE浏览器、Office软件、Skype、Lync、Web App、 NETFramework及微软Edge中的53个漏洞。用户应该尽快使用Windows的自动Update功能更新相应补丁程序。漏洞的详细信息请参见:https∶// technet.microsoft.com/zh-CN/library/security/ ms15-nov.aspx1。

2015年10月~11月安全投诉事件统计

2. Adobe公司11月的例行公告中需要关注的是apsb15-028,该公告修补了Flash player软件中的16个安全漏洞,涉及的系统包括目前几乎所有的主流操作系统。用户应该尽快升级自己的Flash版本。相关漏洞的信息请参见:https∶//helpx. adobe.com/security/products/acrobat/apsb15-28.html。

3. Redis 是一个高性能的开源免费key-value数据库软件,被很多研究项目所采用。Redis默认情况下会开启6379端口,并将该端口服务绑定在0.0.0.0上,在未开启认证的情况下,可导致任意用户在可以访问目标服务器的情况下未授权访问Redis,读取Redis的数据。这样的设计最初是为了方便用户访问数据库里的数据,因此这种未授权的访问模式几乎存在大多数Redis数据库中,正常情况下这种未授权的访问只是让用户能够读写Redis数据库,但是近期有攻击者研究了利用该未授权访问的一种新的攻击方式,通过Redis的读写权限将自己的公钥写入目标服务器/root/.ssh 文件夹的authotrized_keys文件中,从而可以直接登录目标服务器。目前厂商还未针对该漏洞发布补丁程序,Redis的管理员可以使用下列临时的方法来降低被攻击的风险:

(1)将Redis的服务绑定到本地地址127.0.0.1上,方法为编辑/etc/redis/redis/ conf配置文件,修改bind参数为如下:`bind127.0.0.1`。

(2)使用防火墙限制外部网络对6379端口的访问。

4.Java反 序 列化漏洞近期在网络上被热炒,该漏洞是因为Apache CommonsCollections组件中对于集合的操作存在可以进行反射调用的方法,并且该方法在相关对象反序列化时并未进行任何校验,远程攻击者利用漏洞可发送特殊的数据给应用程序或给使用包含Java 'InvokerTransformer.class'序列化数据的应用服务器,在目标服务器当前权限环境下执行任意代码。Apache Commons工具集广泛应用于Java技术平台,WebLogic、IBM WebSphere、JBoss、Jenkins和OpenNMS等应用都大量调用了Commons工具集,因此上述软件都可能受此漏洞影响。由于漏洞影响的软件厂商较多,目前官方还未给出完整的补丁,Apache给出临时的解决办法,相关管理员可以参照相关办法来降低风险:http∶//svn.apache.org/viewvc?view=revision &revision=1713307。

(作者单位为中国教育和科研计算机网应急响应组)

猜你喜欢
序列化安全漏洞安全事件
淮安市加强安全事件管理提升风险管控能力
基于FlatBuffers的机车通信数据序列化方法应用研究
2020年度区块链领域安全事件达555起
基于模糊测试技术的软件安全漏洞挖掘方法研究
如何建构序列化阅读教学
探析计算机安全漏洞检测技术
试论安全漏洞检测技术在软件工程中的应用
智能设备安全漏洞知多少
Java 反序列化漏洞研究
北京首钢国际工程公司首创国内重载非接触供电运输车实现产品序列化