隨著Web技術(shù)的快速演變,近來黑客開始把關(guān)注重點轉(zhuǎn)向Web應(yīng)用系統(tǒng),2013年上半年Web應(yīng)用系統(tǒng)漏洞數(shù)量目前占新增漏洞的第二位,Web應(yīng)用系統(tǒng)的安全風(fēng)險達到前所未有的高度。目前,針對院校的專有系統(tǒng)(如電子郵件系統(tǒng)、教務(wù)系統(tǒng)登錄)的漏洞呈現(xiàn)增長趨勢,這些專有系統(tǒng)在開發(fā)之初沒有考慮安全因素導(dǎo)致存在安全漏洞,而造成用戶信息泄露等事件。本刊收集了相關(guān)漏洞的詳情供各學(xué)校參考并警惕以下漏洞,以防信息丟失而造成相應(yīng)的損失。
漏洞類型:命令執(zhí)行
危害等級:高
快客郵件系統(tǒng)(QuarkMail)存在的一個遠(yuǎn)程代碼執(zhí)行漏洞(CNVD編號:CNVD-2013-21254)。攻擊者利用漏洞可發(fā)起遠(yuǎn)程攻擊,通過執(zhí)行特定指令逐步滲透控制郵件服務(wù)器主機?;ヂ?lián)網(wǎng)上已經(jīng)出現(xiàn)了攻擊利用代碼,對相關(guān)服務(wù)器構(gòu)成信息泄露和運行安全威脅。
根據(jù)CNVD測試結(jié)果,相關(guān)版本的快客電郵產(chǎn)品采用了CGI腳本,存在一處遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者可利用漏洞直接發(fā)起惡意URL請求,遠(yuǎn)程執(zhí)行操作系統(tǒng)指令。通過當(dāng)前郵件服務(wù)器運行用戶已有權(quán)限,攻擊者可逐步滲透并控制郵件服務(wù)器主機操作系統(tǒng)。
CNVD對該漏洞的綜合評級為“高?!?,該產(chǎn)品廣泛應(yīng)用于我國政府和重要信息系統(tǒng)部門以及軍隊、電信、新聞、教育機構(gòu)和科研院所等多個領(lǐng)域。目前,CNVD通過測試結(jié)果還未能確認(rèn)受影響的產(chǎn)品具體版本號。
目前,互聯(lián)網(wǎng)上已經(jīng)披露了攻擊利用代碼,CNVD尚未獲知廠商對該漏洞的響應(yīng)情況。CNVD建議相關(guān)用戶直接聯(lián)系廠商,要求提供解決方案。
漏洞類型:用戶資料大量泄漏
危害等級:高
eYou是目前國內(nèi)機構(gòu)(高校、政府、企業(yè))使用率最高的郵箱系統(tǒng)之一。今發(fā)現(xiàn)eYou郵件系統(tǒng)、eYou郵件網(wǎng)關(guān)系統(tǒng)有多處嚴(yán)重的安全隱患,攻擊者可入侵服務(wù)器和盜取任意郵箱信息。
影響版本:
2007年以后所有版本,包括最新版。目前主要有默認(rèn)配置漏洞、舊版網(wǎng)關(guān)漏洞與新版網(wǎng)關(guān)漏洞、郵箱系統(tǒng)遠(yuǎn)程執(zhí)行漏洞。利用以上幾個漏洞,只要是使用eYou的郵箱系統(tǒng),就99%會被入侵。
修復(fù)方案:
更新到最新版本。
詳情參見:
h t t p://w w w.w o o y u n.o r g/b u g s/wooyun-2012-016448#
漏洞類型: 設(shè)計缺陷/邏輯錯誤危害等級: 中
銀校通是建立在銀行和學(xué)校的網(wǎng)絡(luò)互聯(lián)基礎(chǔ)上,方便學(xué)生或?qū)W生家長的網(wǎng)上即時動態(tài)繳費管理系統(tǒng),是銀行綜合金融服務(wù)產(chǎn)品的重要組成部分,是學(xué)校和銀行的便捷資金結(jié)算通道。
只要進入學(xué)校的銀校通登錄頁面,知道學(xué)生銀校通的賬號,就可以輕松進入系統(tǒng)。但不可以直接修改密碼,從而利用其進入到其他系統(tǒng)中去。
目前該漏洞已交由第三方(CNCERT國家互聯(lián)網(wǎng)應(yīng)急中心)處理 。
而廠商方面答復(fù),CNVD確認(rèn)并復(fù)現(xiàn)所述情況,對于繞過情況有一個前提條件,即知曉學(xué)號,在近期的測試中復(fù)現(xiàn)一個實例。該問題已由中國教育和科研計算機網(wǎng)應(yīng)急響應(yīng)組通知相關(guān)學(xué)校處理。
漏洞類型: 未授權(quán)訪問/權(quán)限繞過危害等級: 中
URP高校教務(wù)管理系統(tǒng)(University Educational Administration System,簡稱UEAS),數(shù)字化校園核心業(yè)務(wù)系統(tǒng)之一,集Client/Server和Browser/Web Server技術(shù)于一體,涉及教務(wù)、教學(xué)管理各環(huán)節(jié),面向?qū)W校各部門以及各層次用戶的大型集成教務(wù)管理信息系統(tǒng)。
北京清元優(yōu)軟的URP教務(wù)系統(tǒng)用于國內(nèi)的各大高校的教務(wù)系統(tǒng),但是系統(tǒng)存在一個頁面,可以非授權(quán)查詢?nèi)魏螌W(xué)生的成績,只要知道學(xué)生的學(xué)號,就可以查詢學(xué)生成績、身份證、頭像等敏感信息。漏洞通用于所有URP系統(tǒng)。
修復(fù)方案:
刪除頁面,或者對頁面訪問進行一個session驗證等。