CERNET之窗 | CCERT月报:高校公示信息泄露隐私 建议校方用图片格式存储敏感信息

11月教育网运行平稳,未发现影响严重的安全事件。

近期有媒体连续报道高校网站中存在公示信息时,泄露用户的身份证号码等隐私信息的情况,这需要引起各高校的关注。在相关公示中公布用户身份证信息是保障公示透明的重要环节。

如何在公示过程中,既能保障公示信息透明,又能有效保护个人用户的隐私信息不被泄露,是高校业务与法务部门后期需要探讨解决的问题。

现阶段,建议学校优先排查相关网站中公示信息,对于已经过了公示期的用户信息,应尽快删除,避免被不法份子收集利用。

安全投诉事件统计

虽然重点保障时期已经结束,但是很多高校依然沿袭了原有的封禁措施,因此投诉的安全事件依然在低位徘徊。

病毒与木马

近期需要关注的病毒木马还是各类比特币敲诈病毒,因为比特币价格的疯涨以及相关交易的不可监控性,基于比特币的敲诈攻击只会愈演愈烈,直到政府能够对其进行有效的监管为止。

近期新增严重漏洞评述

1、微软11月的例行安全公告中共修补了129个安全漏洞,涉及的产品包括Windows 10 v1709(11个)、Windows 10 v1703(11个)、Windows 10 v1607和 WindowsServer 2016(11个)、Windows 10 RTM(11个)、Windows 8.1和Windows Server2012 R2(10个)、Windows Server 2012(11个)、Windows 7 和 Windows Server 2008R2(11个)、Windows Server 2008(10个)、IE浏览器 (12个)、Edge浏览器(25个)、Office软件(6个)。

其中Office组件内存破坏漏洞(CVE-2017-11882)需要引起用户格外关注,该漏洞位于负责在文档中插入和编辑公式 (OLE 对象) 的Office组件EQNEDT32.EXE中。由于内存操作不正确, 该组件无法正确处理内存中的对象, 从而使攻击者可以在登录用户的上下文中执行恶意代码。从Office 2000版本起被引入了EQNEDT32.EXE,并保存在之后所有的Office软件版本中,因此该漏洞影响Office 2000之后的所有版本。目前已经有信息显示该漏洞正在网络上被利用,建议用户尽快使用系统的自动更新功能安装所有需要安装的补丁程序。

2、WordPress是一款使用非常广泛的网站内容管理系统,WordPress 4.8.2(包括4.8.2)之前的版本中存在一个SQL注入漏洞,由于WordPress的$wpdb->prepare()函数可以接收和执行不安全的查询,攻击者可利用漏洞执行任意的SQL命令。不过由于调用该函数需要通过合法用户的编辑功能,因此该漏洞对于那些不开放注册的WordPress网站的影响较小,而对那些提供了用户注册功能的网站则影响较大。建议使用了WordPress搭建网站的管理员尽快将自己的WordPress升级到4.8.3以上版本。

3、GNU Wget是一个免费的软件包,用于使用HTTP、HTTPS和FTP协议检索文件,它被内置在大部分的Linux系统中。Wget 1.19.2之前的版本被爆出存在两个缓冲溢出漏洞,攻击者可以构建恶意的WEB文件引诱用户使用Wget来检索访问,一旦漏洞利用成功,攻击者可以以当前用户的权限执行任意命令。目前厂商已经在1.19.2版本中修补了该漏洞,建议用户下载安装或是使用相关系统的自动更新功能进行更新。

安全提示

对于公示活动中需要公示的用户身份证等敏感信息,我们可以采取一些临时的技术手段来降低信息被收集滥用的风险,比如将相关敏感信息用图片格式进行显示,这样可以避免程序自动收集。对于大部分的公示材料应明确公示周期,一旦公示期结束就尽快删除。

(0)

相关推荐