APP下载

“随缘学校管理系统”被曝权限存漏洞

2014-03-14郑先伟

中国教育网络 2014年7期
关键词:随缘教务浏览器

文/郑先伟

“随缘学校管理系统”被曝权限存漏洞

文/郑先伟

6月教育网整体运行平稳,未发现严重的安全事件。

6月乌云网络报来的各类网站漏洞中有两类需要引起关注。一类是多所高校使用一个叫做随缘学校管理系统搭建的学校教务系统存在权限绕过漏洞,攻击者只需伪造相应的cookie参数就能绕过系统限制,直接获取后台管理权限而无需用户名和密码。随缘学校管理系统官方已经在3年前就停止对这款产品的更新维护,就是说如果学校现在还在使用这套系统搭建的教务系统,那么只有两种选择,一种是自己对相关的代码进行修补性开发,另一种则是使用其他的CMS重新搭建教务系统。随缘学校管理系统的特征是网站后台管理目录名默认为szwyadmin,如果您发现网站后台存在该目录,请尽快更新解决相关问题。

另一类需要关注的漏洞是多个学校使用的北京清元优软URP综合教务系统存在文件包含漏洞,该漏洞使得攻击者可以通过URL的参数输入绕过安全限制去读取系统中的任意文件。目前厂商针对该漏洞已经有相应的解决办法,使用该系统的学校可以尽快联系厂商进行升级处理。

病毒与木马

近期没有新增影响严重的木马病毒程序,需要关注的是那些利用热点事件进行伪装传播的木马病毒,例如伪装成世界杯的精彩图片或是视频的木马病毒,用户在邮件附件或是聊天软件中收到此类信息时应该谨慎对待,在确认来源可信和安全时才可点击打开。

2014年5月~6月安全投诉事件统计

近期新增严重漏洞评述

微软6月的例行安全公告共7个(MS14 -030到MS14-036),其中2个为严重等级,5个为重要等级,这些公告共修补了包括Windows系统、IE浏览器、Office软件及Lync Server中的66个漏洞,这66个漏洞有59个漏洞与IE浏览器有关,其中也包括5月提到的IE8浏览器的0day漏洞(CVE-2014-1770)在本次也得到了修补。建议用户尽快使用自动更新功能修复相关漏洞。漏洞的详细信息请参见:https://technet.microsoft. com/zh-cn/library/security/ms14-jun。

Adobe公司6月的例行安全公告只有一个(ABSB14-16),该公告主要用于修补Flash player软件中6个安全漏洞,这些漏洞可能导致远程任意代码执行或是拒绝服务攻击。漏洞详细信息请参见:http:// helpx.adobe.com/security/ products/flash-player/ apsb14-16.html。

除例行公告外,另外几个值得关注的漏洞包括:

1.Openssl软件中存在多个安全漏洞,这些漏洞可能导致实现拒绝服务攻击、中间人劫持攻击及任意代码执行漏洞等。不过这次曝出的漏洞较前段时间曝出的心脏滴血漏洞在利用的前置条件及利用难度上都有所提高,很难利用来进行大规模攻击。目前厂商已经在新版中修补了这些漏洞,建议管理员尽快升级相关组件到最新版本,详细信息请参见:http://www.openssl.org/news/。

2.Oracle数据被曝出存在一个远程代码执行漏洞,这个漏洞因为Oracle数据对java虚拟机支持过程中存在缺陷,使得攻击者可以远程执行java代码。目前漏洞的细节还未公布,厂商也还未针对这些漏洞发布补丁程序。建议Oracle数据库管理员随时关注厂商的动态。漏洞的信息请参见:http:// packetstormsecurity.com/files/127117/Oracle-Database-Java-VM-20-Weaknesses.html。

3.DNS服务常用的BIND的软件被曝出存在一个拒绝服务攻击漏洞, 目前厂商已经发布补丁程序修补该漏洞,建议DNS服务的管理员尽快升级到最新版本。漏洞的信息请参见:https://kb.isc.org/ article/AA-01166/0/CVE-2014-3859%3ABIND-named-can-crash-due-to-a-defectin-EDNS-printing-processing.html。

安全提示

需要提醒的是6月微软的例行安全公告中并未对XP系统的漏洞进行修补,公告中涉及的很多IE浏览器漏洞在XP系统中同样存在。对于那些还在使用XP系统的用户,需要寻求第三方的安全补丁来保护系统的安全。

(作者单位为中国教育和科研计算机网应急响应组)

猜你喜欢

随缘教务浏览器
不刻意自随缘
画与理
高校教务管理工作的现状分析与优化研究
教务排课对高等院校教学运行的作用分析
随缘
微软发布新Edge浏览器预览版下载换装Chrome内核
反浏览器指纹追踪
浅析新时期高校教务管理工作创新探讨
必 要
写在最后