如何降低PHP 远程代码执行漏洞攻击风险?
10月教育网运行正常,未发现影响严重的安全事件。
近日,最高人民法院、最高人民检察院联合对外发布了《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(下称司法解释),该司法解释对拒不履行信息网络安全管理义务罪、非法利用信息网络罪和帮助信息网络犯罪活动罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定。解释中明确了拒不履行信息网络安全管理义务罪的主体范围、前提要件和入罪标准,并定义七种属于帮助网络犯罪的情形。
学校作为网络服务提供者,需要对该司法解释给予高度重视,组织专项学习并部署后续网络安全工作,因为如果没有做好网络安全工作,很可能就要承担相应的法律责任。
2019年9~10月安全投诉事件统计
近期投诉的安全事件较往年同期呈下降趋势。各类勒索病毒依然是近期新增病毒中需要关注的重点。
近期新增严重漏洞评述
微软例行的10月安全更新修补了59个安全漏洞,其中有8个属于严重等级
涉及的系统和软件包括:MicrosoftWindows系统、MicrosoftXML、MicrosoftExcel、Jet数据库、VBScript、Chakra脚本、Azure App、Windows远程桌面协议等Windows平台下应用软件和组件。
用户应该尽快使用系统自带的更新功能进行更新。需要额外提醒的是Window10v1803普通用户版将于11月停止支持服务,使用该版本的用户应该尽快进行操作系统版本升级。
由于VHOST/VHOST_NET缺少对内核缓冲区的严格访问边界校验,导致存在内核逃逸漏洞
QEMU-KVM是Linux系统中常用的一种虚拟化解决方案,VHOST/VHOST_NET是QEMU-KVM虚拟化平台中VIRTIO(I/O虚拟化框架)Network的后端实现方案,在Linux内核层面负责处理虚拟机的网络包收发功能。
攻击者可通过在虚拟机中更改VIRTIO network前端驱动,在该虚拟机被热迁移时,触发内核缓冲区溢出实现虚拟机逃逸,获得在宿主机内核中任意执行代码的权限,攻击者也可触发宿主机内核崩溃实现拒绝服务攻击。
目前Linux已经在最新的内核版本中修补了该漏洞,如果使用了该虚拟化平台,请尽快对内核进行升级。
泛微e-cologyOA系由于内置SQL语句拼接检测不严格,导致存在SQL注入漏洞
泛微e-cologyOA系统是国内使用较为广泛的办公系统软件,不少高校也在使用该办公系统。
最近有信息显示该系统的WorkflowCenterTreeData接口在使用Oracle数据库时,由于内置SQL语句拼接检测不严格,导致存在SQL注入漏洞。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的SQL语句,从而获取数据库敏感信息。
鉴于漏洞带来的风险,建议使用该系统的用户尽快联系厂商确认自己的系统是否存在风险并进行相应的处置。
Adobe公司10月15日发布了Adobe Acrobat/Reader PDF编辑和阅读软件的最新版本,用于修补之前版本中存在的多个安全漏洞
这些漏洞可能导致远程代码执行、敏感信息泄漏、拒绝服务攻击等。
由于PDF软件漏洞是黑客攻击非常频繁使用的漏洞,建议用户尽快升级自己系统上的Adobe Acrobat/Reader软件。
安全提示
PHP官方在9月26日发布公告称使用Nginx+php-fpm的服务在部分配置下存在远程代码执行漏洞(CVE-2019-11043),如果用户使用了特定的配置(如完全复制Nginx官方给出的php-fpm示例配置)就存在被攻击的风险。10月22日该漏洞的攻击代码已被公开,后续可能会出现大量针对该漏洞的攻击。如果使用了Nginx+php-fpm服务,可以采取如下操作来降低风险:
1.如果不需要php-fpm功能,可在Nginx中暂停该功能;
2.修改nginx配置文件中fastcgi_split_path_info的正则表达式,不允许.php之后传入不可显字符;
3.删除配置文件中如下配置:
fastcgi_split_path_info^(.+?\.php)(/.*)$;
fastcgi_paramPATH_INF $fastcgi_path_info;
(本文作者:郑先伟,单位为中国教育和科研计算机网应急响应组,全文刊载于《中国教育网络》杂志2019年11月刊;版式:付涵)