Archive for the '校园网安全' Category

校园网安全相关信息。

关于防范苹果MacOS操作系统蓝牙漏洞的通知

Posted by 王宇 on 29th 三月 2020

各位师生,您好,

近期,苹果公司连续发布两份重要安全通告,公开5个MacOS蓝牙漏洞,苹果官方确认,该漏洞组合属于“零点击无接触”远程利用的高危漏洞,攻击者能够以无感知、无交互的形态,完成远程攻击利用,导致受害目标陷入非法控制。目前,苹果官方已对相关漏洞发布补丁,请广大师生尽快升级MacOS操作系统补丁,降低近距离环境下被恶意入侵风险。漏洞具体情况如下:

0、什么是蓝牙

蓝牙(英语:Bluetooth),是一种无线数据和语音通信开放的通讯技术标准,基于低成本的近距离无线连接,为固定和移动设备建立通信环境的一种特殊的近距离无线技术连接,在电信、计算机、网络与消费性电子产品(鼠标、键盘、耳机、音箱等)等领域被广泛应用。根据不同的发射功率,蓝牙协议可传输最大距离从1米到100米不等

1、漏洞描述

该漏洞可被攻击者通过蓝牙无线连接苹果MacOS操作系统,实现主机远程访问和恶意利用。因为蓝牙进程在所有操作系统上都拥有极高的权限,攻击者可以通过该漏洞获取苹果MacOS系统最高ROOT进程权限,并达到完全控制电脑的程度,对MacOS系统造成严重的安全隐患。

2、影响范围

覆盖macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2版本在内的所有苹果笔记本。(另360 Alpha Lab补充道,CVE-2019-8853漏洞除了上述版本,还将影响macOS Catalina 10.15.3)

3、漏洞类型

远程代码执行

4、漏洞等级

高危

5、防护方案

从苹果MacOS操作系统的菜单中选取“系统偏好设置”,然后点按“软件更新”,升级MacOS的系统安全补丁。

请各位师生保持良好的用网习惯,做好重要数据备份和离线保存,及时更新苹果MacOS操作系统补丁,避免因操作系统漏洞被网络攻击和发生网络安全事件。

信息化建设与网络安全办公室

2020年3月29日

相关信息来源:苹果公司360 Alpha Lab团队

Posted in 校园网安全 | No Comments »

关于Apache ShardingSphere远程代码执行漏洞(CVE-2020-1947)的预警

Posted by 王宇 on 14th 三月 2020

2020年3月10日,网络安全行业监测发现Apache ShardingSphere存在远程代码执行漏洞(CVE-2020-1947)。经过验证,受影响版本为4.0.1以下版本,攻击者可通过提交任意YAML代码实现远程代码执行。另值得注意的是该服务的默认后台管理账号及密码均为弱口令admin。鉴于漏洞危害较大,特提示使用该开源组件的有关单位和师生及时排查风险隐患,做好防范应对,尽快补丁升级,做好网络安全防护工作。

一、Apache ShardingSphere简介

Apache ShardingSphere是一款开源的分布式数据库中间件组成的生态圈。它由京东集团主导,并由多家公司以及整个ShardingSphere社区共同运营参与贡献。其主要的功能模块为:数据分片(分库分表)、分布式事务、数据库治理三大块内容。自从2016年开源以来,不断升级开发新功能、重构稳定微内核,并于2018年11月进入Apache基金会孵化器。

二、漏洞描述

对于Apache ShardingSphere<4.0.1,攻击者可以通过提交任意YAML代码实现远程代码执行。同时,值得注意的是Apache ShardingSphere后台的管理账号密码默认均为admin。

三、漏洞处置建议

1、排查漏洞影响,修复安全隐患。检查所属系统是否使用Apache ShardingSphere服务且版本低于4.0.1。如确认使用则受此漏洞影响,应及时根据如下方式进行修复。

1)升级至官方最新版本

Apache官方已于新版本中修复该漏洞,链接参见:https://github.com/apache/incubator-shardingsphere/releases

2)无法及时完成升级的系统

建议通过加强网络访问控制、限制用户访问等技术防护手段,以降低安全威胁及入侵风险。

2、加强密码管理,提高口令安全。应加强密码安全管理,切实保障口令安全,坚决杜绝弱口令、默认口令、空口令等不安全口令使用,提高安全防护水平。

相关信息来源:奇安信CERT

Posted in 校园网安全 | No Comments »

关于防范微软SMBv3远程代码执行漏洞(CVE-2020-0796)和LNK漏洞(CVE-2020-0684)的通知

Posted by 王宇 on 13th 三月 2020

各位师生,您好,

2020年3月11日,微软发布2020年3月安全公告,其中包括“蠕虫型”SMBv3远程代码执行漏洞(CVE-2020-0796)和“震网级”LNK漏洞(CVE-2020-0684)。根据微软漏洞公告和有关安全厂商通报,存在漏洞的主机可被攻击者利用,实现无须权限即可执行远程代码而被入侵,并存在被勒索病毒利用造成更大损失的可能。请广大师生尽快升级系统补丁或采用相应的防护措施,避免被勒索病毒攻击和发生网络安全事件。漏洞具体情况如下:

一、微软SMBv3远程代码执行漏洞(CVE-2020-0796)

1、漏洞描述

微软SMBv3远程代码执行漏洞(SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码)可被攻击者利用,实现无须权限即可执行远程代码,受攻击的目标系统只需开机在线即可能被入侵。该漏洞后果十分接近永恒之蓝系列,存在被WannaCry等勒索蠕虫利用的可能,攻击者可以构造特定的网页、压缩包、共享目录、Offic文档等多种方式触发漏洞进行攻击,对存在该漏洞的Windows主机造成严重威胁。

2、影响范围

该漏洞不影响Windows7,漏洞影响Windows10 1903之后的32位、64位Windows版本,包括家用版、专业版、企业版、教育版。具体列表如下:

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows Server, Version 1903 (Server Core installation)

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows Server, Version 1909 (Server Core installation)

3、漏洞类型

远程代码执行

4、漏洞等级

高危

5、防护方案

1)直接运行Windows更新,完成Windows10 2020年3月累积更新补丁的安装。

操作步骤:设置->更新和安全->Windows更新,点击“检查更新”。

2)也可以访问微软该漏洞官方页面(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796),选择相应Windows版本的安全更新,独立安装该漏洞安全补丁。

3)也可以通过手动修改注册表,防止被黑客远程攻击:

在命令行下运行regedit.exe,打开注册表编辑器,在HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters建立一个名为DisableCompression的DWORD,值为1,禁止SMB的压缩功能。

4)也可以通过安全厂商的漏洞检验和修复工具来检查是否存在漏洞和进行漏洞修复。

如:腾讯电脑管家的漏洞扫描修复功能安装补丁,或单独下载SMB远程代码漏洞修复工具(http://dlied6.qq.com/invc/QQPatch/QuickFix_SMB0796.exe)。

二、微软LNK漏洞(CVE-2020-0684)

1、漏洞描述

如果微软Windows中存在该漏洞,在处理.LNK文件可能会允许远程代码执行,成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。攻击者可以利用该漏洞,通过向用户提供包含恶意.LNK文件和相关恶意二进制文件的可移动驱动器或远程共享,当用户在Windows资源管理器或任何其他解析.LNK文件的应用程序中打开此驱动器或远程共享时,恶意二进制文件将在目标系统上执行攻击者选择的代码。

2、影响范围

Windows 10

Windows 10 Version 1607

Windows 10 Version 1709

Windows 10 Version 1803

Windows 10 Version 1809

Windows 10 Version 1903

Windows 10 Version 1909

Windows 7 Service Pack 1

Windows 8.1

Windows RT 8.1

Windows Server 2008 Service Pack 2

Windows Server 2008 R2 Service Pack 1

Windows Server 2012

Windows Server 2012 R2

Windows Server 2016

Windows Server 2019

Windows Server, version 1803

Windows Server, version 1903

Windows Server, version 1909

3、漏洞类型

远程代码执行

4、漏洞等级

高危

5、防护方案

1)直接运行Windows更新,完成Windows10 2020年3月累积更新补丁的安装。

操作步骤:设置->更新和安全->Windows更新,点击“检查更新”。

2)也可以访问微软该漏洞官方页面(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0684),选择相应Windows版本的安全更新,独立安装该漏洞安全补丁。

3)未下载补丁的用户应尽量避免接收他人发送过来的LNK文件或打开存有LNK文件的存储设备,如打开陌生人提供的U盘。

请各位师生保持良好的用网习惯,不下载、打开、运行未知软件和Office文档,做好重要数据备份和离线保存,及时更新Windows操作系统补丁,避免被勒索病毒攻击和发生网络安全事件。

信息化建设与网络安全办公室

2020年3月13日

      相关信息来源:腾讯御见威胁情报中心CNVD国家信息安全漏洞共享平台启明星辰ADLab

Posted in 校园网安全 | No Comments »

关于Apache Tomcat存在文件包含漏洞的漏洞预警

Posted by 王宇 on 21st 二月 2020

信息来源:https://www.cnvd.org.cn/webinfo/show/5415

2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录和发布了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件。目前,漏洞细节尚未公开,Tomcat厂商已发布新版本完成漏洞修复。建议二级单位和师生关注,如果有基于Tomcat部署和发布的应用,请一方面参考下边的漏洞处置建议,另一方面及时升级适合的Tomcat版本,避免出现网络安全事件。

一、漏洞情况分析

Tomcat是Apache软件基金会Jakarta 项目中的一个核心项目,作为目前比较流行的Web应用服务器,深受Java爱好者的喜爱,并得到了部分软件开发商的认可。Tomcat服务器是一个免费的开放源代码的Web应用服务器,被普遍使用在轻量级Web应用服务的构架中。

2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞。Tomcat AJP协议由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步实现远程代码的执行。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本包括:

Tomcat 6

Tomcat 7

Tomcat 8

Tomcat 9

CNVD平台对Apache Tomcat AJP协议在我国境内的分布情况进行统计,结果显示我国境内的IP数量约为55.5万,通过技术检测发现我国境内共有43197台服务器受此漏洞影响,影响比例约为7.8%。

三、漏洞处置建议

目前,Apache官方已发布9.0.31、8.5.51及7.0.100版本对此漏洞进行修复,CNVD建议用户尽快升级新版本或采取临时缓解措施:

1.   如未使用Tomcat AJP协议

如未使用 Tomcat AJP 协议,可以直接将 Tomcat 升级到 9.0.31、8.5.51或 7.0.100 版本进行漏洞修复。

无法立即进行版本更新、或者是更老版本的用户,建议直接关闭AJPConnector,或将其监听地址改为仅监听本机localhost。

具体操作:

(1)编辑 <CATALINA_BASE>/conf/server.xml,找到如下行(<CATALINA_BASE> 为 Tomcat 的工作目录):

<Connector port=8009protocol=AJP/1.3 redirectPort=8443 />

(2)将此行注释掉(也可删掉该行):

<!–<Connectorport=8009 protocol=AJP/1.3redirectPort=8443 />–>

(3)保存后需重新启动,规则方可生效。

2.   如果使用了Tomcat AJP协议

建议将Tomcat立即升级到9.0.31、8.5.51或7.0.100版本进行修复,同时为AJP Connector配置secret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):

<Connector port=8009protocol=AJP/1.3 redirectPort=8443address=YOUR_TOMCAT_IP_ADDRESS secret=YOUR_TOMCAT_AJP_SECRET/>

如无法立即进行版本更新、或者是更老版本的用户,建议为AJPConnector配置requiredSecret来设置AJP协议认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):

<Connector port=8009protocol=AJP/1.3 redirectPort=8443address=YOUR_TOMCAT_IP_ADDRESSrequiredSecret=YOUR_TOMCAT_AJP_SECRET />

附:参考链接:

https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.html

https://tomcat.apache.org/tomcat-8.0-doc/config/ajp.html

https://stackoverflow.com/questions/21757694/what-is-ajp-protocol-used-for

Posted in 校园网安全 | No Comments »

共同战“疫”-加强网络安全保护 筑牢网络安全防线

Posted by 王宇 on 14th 二月 2020

来源:https://mp.weixin.qq.com/s/4srR1FXbBiFyYYwhr0sBKw

新型冠状病毒肺炎疫情发生以来,网络在疫情防控中发挥着重要作用,广大师生开展居家办公及在线学习,直接引发手机、电脑的使用率大大提升,邮件、社交媒体或将继续成为高频的网络攻击途径。为了做好疫情期间的网络安全保障工作,小编梳理了近期网络安全防范的重点工作,希望大家切实提高网络安全意识,消除网络安全隐患。

划重点01 防范与疫情热点词汇有关的网络攻击风险

近期发现黑客借新型冠状病毒感染肺炎疫情防控之机,以疫情有关词汇或信息为诱饵,通过社交网络、钓鱼邮件等渠道传播计算机病毒,进行网络攻击,可能造成主机被远程控制,信息被窃取等危害。大家要提高警惕、加强防范,安装和更新必要的杀毒软件,对于含有“冠状病毒” “疫情”等热点词汇的可执行文件、不明来源的疫情有关文档、邮件、压缩包等切勿轻易下载点击。

划重点02 防范服务器 路由器和物联网设备的Telnet账号密码泄露

近期从网络安全有关渠道获知某论坛泄露51万台互联网服务器、交换机、路由器和物联网等设备的Telnet账号密码,部分密码可以正常登陆。为避免因设备后台账号密码泄露而出现恶意登陆和发生网络安全事件,在日常工作生活中,应加强自查,修改暴露在互联网上或校园网上的服务器、交换机、物联网相关设备的初始密码、弱密码,查看设备网络安全状况。

划重点03 加强视频监控系统安全防护

近期有境外组织扬言对我国视频监控系统实施网络攻击破坏活动,同时有“匿名者”黑客声称已掌握我境内大量摄像头监控权限。为了避免此类安全事件发生,大家应做好视频监控系统的安全管理,关闭不必要的网络服务和端口,系统设置强密码,加强登录审计和认证,及时升级系统,实时检测并修复系统安全漏洞,降低入侵风险。

划重点04 加强个人信息保护 确保信息安全

在疫情防控过程中,大家要注意个人信息保护。对于人信息采集应参照国家标准《个人信息安全规范》坚持最小范围原则,未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,如因信息公开等工作需要,须经过脱敏处理。在填报个人信息时,应明确信息收集机构,谨慎提交个人信息。在线教学时,应提高安全意识,加强数据隐私保护和数据安全防保护。

划重点05 加强在线办公 在线教学网络安全防护

为了有效防控疫情,在线办公和在线课堂成为了大家工作、学习的最佳选择。面对网络设备和网络环境的改变,大家应做好相应的准备,通过自查以及主动防范来降低不同场景下的网络安全风险。

做好设备安全检查

(1)卸载各类垃圾流氓软件,以及奇怪的程序;

(2)检查Windows安全中心是否完整开启;

(3)检查系统的自动更新是否开启,及时安装补丁;

(4)根据使用习惯装一款安全卫士类软件。

做好WI-FI网络安全防范

(1)确保路由器升级到最新的版本;

(2)查看当前已连接的设备情况,确认无陌生设备连接;

(3)通过路由器关联的手机APP实时监控新接入设备情况,发现陌生设备及时拉黑;

(4)尽量避免连接公共场合Wi-Fi,可以共享手机热点来满足网络需求。

做好软件安全检查

(1)必备的软件和工具应确保在各大软件官网下载,避免为了图省事直接在第三方应用市场去下载;

(2)保持软件始终处于比较新的版本。

Posted in 校园网安全 | No Comments »

关于防范服务器、路由器和物联网设备的Telnet账号密码泄露的安全通报

Posted by 王宇 on 11th 二月 2020

来源:http://security.neu.edu.cn/2020/0211/c6443a164610/page.htm

各位师生,您好,
近期,从网络安全有关渠道获知某论坛泄露51万互联网服务器、交换机、路由器和物联网等设备的Telnet账号密码,部分密码可以正常登陆。
为避免因设备后台账号密码泄露而出现恶意登陆和发生网络安全事件,请各二级单位和师生尽快开展自查,修改暴露在互联网上或校园网上的服务器、交换机、物联网相关设备的初始密码、弱密码,查看设备网络安全状况。具体建议如下:
1. 如果不影响系统运行,可关闭Telent服务,禁止Telnet登录,远程访问可以使用SSH协议登陆。
2. 建议修改设备出厂时的初始账户密码(如admin/admin,root/root,root:klv123,root:12345,root:1234567890,user/user,test/test等)。
3. 自查设备上是否其他账户存在弱口令,如果有尽快修改,建议密码至少包含大小写字母、数字和特殊符号,密码长度不低于8位。
4. 查看系统登录日志,是否有异常登录行为或攻击行为,关闭不需要的服务,及时升级防病毒软件系统的病毒和木马特征库,主动查杀后门程序,及时发现和清理恶意程序。
5. 加强设备管理和使用人员的网络安全意识,防止因口令密码保管不善造成不良后果,消除安全隐患。

信息化建设与网络安全办公室
2020年2月11日

 

 

Posted in 校园网安全 | 2 Comments »

关于防范微软IE浏览器0day漏洞(CVE-2020-0674)的通知

Posted by 王宇 on 21st 一月 2020

来源:http://security.neu.edu.cn/2020/0121/c6443a164490/page.htm

各位师生,您好,

2020年1月17日,微软发布安全公告(ADV200001,1月19日更新)称,一个IE浏览器的0day ( CVE-2020-0674 ) 已遭利用,而且暂无补丁,仅有应变措施和缓解措施。微软表示正在推出解决方案,将在后续发布。该漏洞评级为“高危”,利用难度低,容易对主机安全造成严重风险,建议做好临时防护措施(参见本文后续说明)的同时,尽量不使用Windows系统内置的IE(Internet Explorer)浏览器访问网络,可以在Windows10中使用Edge浏览器或者安装Chrome、Firefox等非IE内核浏览器访问互联网,避免被恶意入侵影响主机安全

目前该漏洞的具体情况如下:

一、IE浏览器介绍

IE浏览器是自1995年开始内置在各个版本的Windows操作系统中的默认浏览器,是Windows操作系统中的重要组成部分。

2015年3月微软确认放弃IE品牌,在Windows 10 中使用Edge代替了IE,并在2015年10月宣布2016年1月起停止支持老版本IE浏览器。

二、漏洞描述

        CVE-2020-0674,IE浏览器远程代码执行漏洞,漏洞触发点位于IE的脚本引擎Jscript.dll中。攻击者可以使用IE加载特定的js代码来触发漏洞,成功利用此漏洞的攻击者可以在当前用户的上下文中执行任意代码。如果当前用户使用管理员权限登陆,攻击者可以完全控制受影响的系统,任意安装程序、查看/更改或删除数据、创建具有完全用户权限的新账户。该漏洞攻击成本低,容易利用。目前已发现在野利用,但微软官方表示这些利用只发生在有限的目标攻击中,并未遭到大规模利用。

三、影响范围

Internet Explorer 9 Windows Server 2008 x64/x32 sp2
Internet Explorer 10 Windows Server 2012
Internet Explorer 11 Windows 7 x64/x32 sp1
Internet Explorer 11 Windows 8.1 x64/x32
Internet Explorer 11 Windows RT 8.1
Internet Explorer 11 Windows 10 x64/x32
Internet Explorer 11 Windows 10 Version 1607 x64/x32
Internet Explorer 11 Windows 10 Version 1709 x64/x32/arm64
Internet Explorer 11 Windows 10 Version 1803 x64/x32/arm64
Internet Explorer 11 Windows 10 Version 1809 x64/x32/arm64
Internet Explorer 11 Windows 10 Version 1903 x64/x32/arm64
Internet Explorer 11 Windows 10 Version 1909 x64/x32/arm64
Internet Explorer 11 Windows Server 2008 R2 x64 sp1
Internet Explorer 11 Windows Server 2012
Internet Explorer 11 Windows Server 2012 R2
Internet Explorer 11 Windows Server 2016
Internet Explorer 11 Windows Server 2019

四、修复建议

微软尚未发布针对此漏洞的安全补丁,但其宣称正在积极开发中。短时间内用户可根据以下缓解措施最大程度在安全补丁发布之前进行一定程度的防护:

禁用JScript.dll

备注:禁用JScript.dll会导致依赖 js 的页面无法正常工作,目前的互联网页面内容大部分都依赖于 js 进行渲染。禁用可能会严重影响正常页面的显示。微软官方建议仅当有迹象表明您处于较高风险中时,才考虑使用这些缓解措施。采用以下缓解措施后,在安全补丁更新时,需要先还原原来的配置再进行补丁安装。

针对32位操作系统,禁用JScript.dll 的操作方式如下:

takeown /f %windir%\system32\jscript.dll

cacls %windir%\system32\jscript.dll /E /P everyone:N

针对64位操作系统,禁用JScript.dll 的操作方式如下:

takeown /f %windir%\syswow64\jscript.dll

cacls %windir%\syswow64\jscript.dll /E /P everyone:N

takeown /f %windir%\system32\jscript.dll

cacls %windir%\system32\jscript.dll /E /P everyone:N

撤销禁用JScript.dll:

针对32位操作系统,撤销禁用JScript.dll 的操作方式如下:

cacls %windir%\system32\jscript.dll /E /R everyone

针对64位操作系统,撤销禁用JScript.dll 的操作方式如下:

cacls %windir%\system32\jscript.dll /E /R everyone

cacls %windir%\syswow64\jscript.dll /E /R everyone

请各位师生根据后续微软发布补丁进展,及时通过Windows操作系统更新补丁或从微软官方渠道下载补丁更新。

 

信息化建设与网络安全办公室

2020年1月21日

相关信息来源:

深信服安全团队 深信服千里目安全实验室360CERT

Posted in 校园网安全 | No Comments »

关于防范Microsoft远程代码执行等多个漏洞的通知

Posted by 王宇 on 18th 一月 2020

来源:http://security.neu.edu.cn/2020/0118/c6443a164460/page.htm

各位师生,您好,

根据国家信息安全漏洞共享平台(CNVD)《Microsoft发布2020年1月安全更新》(https://www.cnvd.org.cn/webinfo/show/5375),1月14日,微软发布了2020年1月份的月度例行安全公告,修复了其多款产品存在的204个安全漏洞。利用漏洞,攻击者可以提升权限,欺骗,绕过安全功能限制,获取敏感信息,执行远程代码或发起拒绝服务攻击等。请各位师生尽快通过Windows操作系统更新补丁或从微软官方渠道下载升级补丁(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv990001),具体情况如下:

一、漏洞情况

CVE-2020-0609 Windows Remote Desktop Gateway (RD Gateway) 远程代码执行漏洞

CVE-2020-0601 Windows CryptoAPI欺骗漏洞

CVE-2020-0625 Windows Search  Indexer权限提升漏洞

CVE-2020-0611 Remote Desktop Client远程代码执行漏洞

CVE-2020-0640 Internet Explorer内存破坏漏洞

CVE-2020-0650 Microsoft Excel远程代码执行漏洞

二、影响范围

受影响的产品包括:

Windows 10 1909 & WindowsServer v1909(29个)

Windows 10 1903 & WindowsServer v1903(29个)

Windows 10 1809 & WindowsServer 2019(33个)

Windows 8.1 & Server 2012 R2(26个)

Windows Server 2012(23个)

Windows RT 8.1(22个)

Windows 7 and Windows Server 2008R2(19个)

Windows Server 2008(16个)

Internet Explorer(6个)

Microsoft Office-related software(6个)

三、处置方式

请各位师生在确保安全的前提下,尽快通过Windows操作系统更新补丁或从微软官方渠道下载补丁更新(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv990001),避免引发漏洞相关的网络安全事件。同时,由于微软1月14日停止了Windows 7、Windows Server 2008、Windows Server 2008R2的系统更新服务和技术支持服务,建议Windows系统用户使用Windows10及后续版本,以获取最新安全功能并防御恶意软件。

信息化建设与网络安全办公室

2020年1月18日

Posted in 校园网安全 | No Comments »

关于对IE浏览器远程代码执行高危漏洞开展安全加固的紧急通报

Posted by 王宇 on 27th 九月 2019

据国家网络与信息安全信息通报中心监测发现,IE浏览器存在远程代码执行高危漏洞(CVE-2019-1367)。受影响的系统版本包括:Windows 10、Windows 8.1、Windows 7、Windows Server 2012/R2、Windows Server 2008、Windows Server 2016、Windows Server 2019的IE11版本,Windows Server 2012的IE10版本以及Windows Server 2008的IE9等版本。

经分析研判,攻击者可利用该漏洞诱使用户访问恶意网页触发漏洞从而获得当前用户的所有权限,进而安装恶意程序,增加、删除、更改或查看数据,可造成业务瘫痪、敏感数据泄漏等。

鉴于漏洞危害较大,一旦被不法人员利用,可能对我网络安全造成较大的危害和影响,建议学校各部门和各位师生结合自身相关主机、服务器等实际情况,认真自查自排,及时采取整改加固措施,尽量减少使用IE浏览器访问未知网站页面,消除安全隐患,提高安全防范能力。

漏洞修复地址为:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1367

 

信息化建设与网络安全办公室

2019年9月27日

Posted in 校园网安全 | 6 Comments »

关于对部分重要漏洞进行安全加固的预警通报

Posted by 王宇 on 20th 九月 2019

近期,相关部门对近两年曝光且影响广泛的重要漏洞进行了梳理。截至目前,此类漏洞仍在各重要信息系统中普遍存在。
建议学校各部门和各位师生结合自身相关主机、服务器等实际情况,认真自查自排,及时采取整改加固措施,确保国庆70周年期间网络安全。

主要漏洞有:
一、Windows远程桌面服务远程代码执行漏洞(CVE-2019-0708)
二、微软远程桌面服务远程代码执行漏洞(CVE-2019-1181/1182)
三、Windows认证漏洞(CVE-2019-1040)
四、Exchange SSRF漏洞(CVE-2018-8581)
五、Oracle WebLogic远程代码执行漏洞(CVE-2019-2729)
六、ThinkPHP 5.x 远程代码执行漏洞
七、FastJson远程代码执行漏洞
八、VxWorks多个高危漏洞

一、Windows远程桌面服务远程代码执行漏洞(CVE-2019-0708)
漏洞介绍:
未经身份认证的攻击者可通过RDP协议链接到目标系统并发送精心构造的请求可触发此漏洞。成功利用此漏洞时可执行任意代码。此漏洞易被蠕虫病毒制造者利用。
影响范围:
主要影响Windows7、Window Server 2008、Windows2003、WindowXP操作系统。
漏洞修复方案:
请参考以下官方安全通告下载并安装最新补丁:
https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

二、微软远程桌面服务远程代码执行漏洞(CVE-2019-1181/1182)
漏洞介绍:
攻击者可通过RDP向目标系统远程桌面服务发送精心构造的请求,成功利用该漏洞时可以在目标系统上执行任意代码。
影响范围:
此漏洞影响版本较多,请查看官方说明。
漏洞修复方案:
请参考以下官方安全通告下载并安装最新补丁:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181

三、Windows认证漏洞(CVE-2019-1040)
漏洞介绍:
此漏洞可造成多种不同的危害,严重时攻击者可以在仅有一个普通域账号的情况下远程控制Windows域内的任何机器,包括域控服务器。
影响范围:
此漏洞影响版本较多,请查看官方说明。
漏洞修复方案:
请在所有受影响的Windows客户端、服务器下载安装更新,安装完毕后需重启服务器。:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040

四、Exchange SSRF漏洞(CVE-2018-8581)
漏洞介绍:
攻击者在拥有目标网络内任意邮箱权限或者已控制目标网络内的任意一台与域内机器在同一网段的机器,并成功针对域内机器发起windows name resolution spoofing 攻击时可触发此漏洞时,可直接控制目标网络内所有的Windows机器。
影响范围:
Microsoft Exchange Server 2010、2013、2016、2019
漏洞修复方案:
请参考以下官方安全通告下载并安装最新补丁:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0686

五、Oracle WebLogic远程代码执行漏洞(CVE-2019-2729)
漏洞介绍:
攻击者可利用此漏洞绕过CVE-2019-2725的补丁,造成远程任意代码执行漏洞。并且此漏洞不受JDK版本的影响。
影响范围:
Oracle WebLogic 10.3.6、12.1.3、12.2.1.3
漏洞修复方案:
官方已发布相关更新补丁,请安装更新进行修复。

六、ThinkPHP 5.x 远程代码执行漏洞
漏洞介绍:
ThinkPHP对控制器没有做到足够的检测,导致Pathinfo在访问模式时,可能Getshell。
影响范围:
ThinkPHP 5.1.x < 5.1.31
ThinkPHP 5.0.x < 5.0.23
漏洞修复方案:
更新 ThinkPHP 5.0.X 到 ThinkPHP 5.0.23
http://www.thinkphp.cn/down/1278.html
更新 ThinkPHP 5.1.x 到 ThinkPHP 5.1.31
https://github.com/top-think/framework/commit/adde39c236cfeda454fe725d999d89abf67b8caf

七、FastJson远程代码执行漏洞
漏洞介绍:
攻击者可以通过提交精心构造的JSON数据实现远程代码执行。
影响范围:
FastJson < 1.2.48
漏洞修复方案:
FastJson 升级到1.2.51
FastJson 升级到1.2.58

八、VxWorks多个高危漏洞
漏洞介绍:
VxWorks系统(广泛用于工业、医疗和企业设备中,使用量超过20亿)存在6个严重漏洞可远程执行代码:CVE-2019-12255、CVE-2019-12256、CVE-2019-12257、CVE-2019-12260、CVE-2019-12261、CVE-2019-12263。
影响范围:
漏洞影响版本较多,请参考修复方案。
漏洞修复方案:
下载安装补丁或更新到最新版本:
https://support2.windriver.com/index.php?page=cve&on=view&id=CVE-2019-12255

https://support2.windriver.com/index.php?page=cve&on=view&id=CVE-2019-12256

https://support2.windriver.com/index.php?page=cve&on=view&id=CVE-2019-12257

https://support2.windriver.com/index.php?page=cve&on=view&id=CVE-2019-12260

https://support2.windriver.com/index.php?page=cve&on=view&id=CVE-2019-12261

https://support2.windriver.com/index.php?page=cve&on=view&id=CVE-2019-12263

信息化建设与网络安全办公室
2019年9月20日

Posted in 校园网安全 | No Comments »