文/郑先伟

近期高校业务系统安全漏洞频出

文/郑先伟

CCERT月报

11月教育网运行平稳，未发现影响严重的安全事件。

11月安全投诉事件比例及规模与往月基本持平。网站安全事件数量依然在高位运行，目前更多的安全事件投诉来源于学校的各种业务系统(如教务、招生、学籍管理等)。这应该引起学校的关注。

11月没有新增影响比较严重的木马蠕虫病毒。

11月需要关注的漏洞有如下这些：

1. 微软11月的例行安全公告数量共12个，其中4个为严重等级，8个为重要等级。这些公告共修补了包括Windows系统、IE浏览器、Office软件、Skype、Lync、Web App、 NETFramework及微软Edge中的53个漏洞。用户应该尽快使用Windows的自动Update功能更新相应补丁程序。漏洞的详细信息请参见：https∶// technet.microsoft.com/zh-CN/library/security/ ms15-nov.aspx1。

2015年10月～11月安全投诉事件统计

2. Adobe公司11月的例行公告中需要关注的是apsb15-028，该公告修补了Flash player软件中的16个安全漏洞，涉及的系统包括目前几乎所有的主流操作系统。用户应该尽快升级自己的Flash版本。相关漏洞的信息请参见：https∶//helpx. adobe.com/security/products/acrobat/apsb15-28.html。

3. Redis 是一个高性能的开源免费key-value数据库软件，被很多研究项目所采用。Redis默认情况下会开启6379端口，并将该端口服务绑定在0.0.0.0上，在未开启认证的情况下，可导致任意用户在可以访问目标服务器的情况下未授权访问Redis，读取Redis的数据。这样的设计最初是为了方便用户访问数据库里的数据，因此这种未授权的访问模式几乎存在大多数Redis数据库中，正常情况下这种未授权的访问只是让用户能够读写Redis数据库，但是近期有攻击者研究了利用该未授权访问的一种新的攻击方式，通过Redis的读写权限将自己的公钥写入目标服务器/root/.ssh 文件夹的authotrized_keys文件中，从而可以直接登录目标服务器。目前厂商还未针对该漏洞发布补丁程序，Redis的管理员可以使用下列临时的方法来降低被攻击的风险：

（1）将Redis的服务绑定到本地地址127.0.0.1上，方法为编辑/etc/redis/redis/ conf配置文件，修改bind参数为如下：`bind127.0.0.1`。

（2）使用防火墙限制外部网络对6379端口的访问。

4.Java反 序 列化漏洞近期在网络上被热炒，该漏洞是因为Apache CommonsCollections组件中对于集合的操作存在可以进行反射调用的方法,并且该方法在相关对象反序列化时并未进行任何校验，远程攻击者利用漏洞可发送特殊的数据给应用程序或给使用包含Java 'InvokerTransformer.class'序列化数据的应用服务器，在目标服务器当前权限环境下执行任意代码。Apache Commons工具集广泛应用于Java技术平台，WebLogic、IBM WebSphere、JBoss、Jenkins和OpenNMS等应用都大量调用了Commons工具集，因此上述软件都可能受此漏洞影响。由于漏洞影响的软件厂商较多，目前官方还未给出完整的补丁，Apache给出临时的解决办法，相关管理员可以参照相关办法来降低风险：http∶//svn.apache.org/viewvc?view=revision &revision=1713307。

（作者单位为中国教育和科研计算机网应急响应组）