接近年底,网站安全类投诉事件较上月有大幅提升

近日,教育部办公厅印发《教育移动互联网应用程序备案管理办法》的通知。通知要求所有目前正在使用中的教育移动APP在2019年12月1日至2020年1月31日期间完成教育移动互联网应用程序备案,并结合本单位的实际情况建立备案信息的动态更新机制,确保备案数据的完整性。

若相关APP系统到2020年2月1日还未完成ICP备案和等级保护备案,APP的备案信息将被撤销并予以通报。建议学校管理员尽快排查自己学校使用的相关APP,在要求的期限内完成备案,避免因未备案导致APP无法使用。

2019年10~11月安全投诉事件统计

网站安全类的投诉事件数量较上月有大幅提升,主要是因为接近年底,各大漏洞平台集中处置之前遗留未及时处置的漏洞信息所导致的。

各类勒索病毒依然是近期新增病毒中需要关注的重点。

近期新增严重漏洞评述

1

微软例行的11月安全更新修补了多个安全漏洞

涉及的系统及软件包括Windows系统、IE浏览器、EDGE浏览器、Office办公软件、Exchange Server、Visual Studio、开源软件、ChakraCore、微软开源软件等。

其中Windows Hyper-V远程代码执行漏洞(CVE-2019-0721)、IE浏览器的引擎内存破坏漏洞(CVE-2019-1429)和Office Excel远程代码执行漏洞(CVE-2019-1448)需要引起用户的额外关注。用户可以使用系统自带的更新功能进行补丁更新。

除补丁程序外,微软还在本次更新中提供了Win10 v1909版本的更新,对应的Win10 v1803版本停止支持服务,使用该版本的用户应该尽快将操作系统版本升级。

2

大部分云存储应用由于配置不当,存在越权访问和文件上传漏洞

云存储是云计算基础上延伸和衍生发展出来的新概念,允许用户通过移动APP、网页版程序、APP小程序(以下简称云存储应用)等访问云存储数据。

近期国内的安全研究机构发现大部分的云存储应用由于配置不当,存在越权访问和文件上传漏洞,攻击者利用上述漏洞,通过云存储应用破解或网络抓包获得永久密钥或临时密钥,从而实现对云存储中的文件数据的篡改和窃取。

目前漏洞的细节还未公布,但从相关研究组织对国内云存储应用客户端的抽样数据来看,受影响的应用高达70%。

建议云存储应用开发者采用如下方式修复漏洞:

采用临时签名上传文件的云存储应用,可根据业务场景将服务端生成的临时密钥权限更新至最小,限定文件的上传路径和上传的目标存储桶,去除读文件、列存储桶、列对象、覆盖文件等非业务必要权限。

采用永久密钥签名上传文件的云存储应用,可更新客户端和服务端上传逻辑,改为用最小权限的临时密钥方式或者PUT方式进行上传。

3

Apache Flink被披露存在远程代码执行漏洞

Apache Flink是由Apache软件基金会开发的开源流处理框架,其核心是用Java和Scala编写的分布式流数据流引擎。

日前Apache Flink被披露存在远程代码执行漏洞。攻击者可利用该漏洞在Apache Flink Dashboard页面中上传任意Jar包,利用Metasploit在Apache Flink服务器中执行任意代码。

目前,厂商尚未发布上述漏洞的修补程序。

教育APP备案相关提示

1.教育移动应用的备案分为提供者备案和使用者备案。提供者指的是公开使用的移动应用产品的开发者,使用者指的是使用相关应用的学校或机构。

2.提供者需完成相关移动应用的ICP备案和等级保护备案后才可进行应用备案。提供者备案实行"一省备案,全国有效"。学校如果采购了外部的应用APP,应该尽快督促应用提供方完成相关备案。

3.自主开发、自主选用和上级部门要求使用的教育移动应用均应进行使用者备案,使用者自主开发,服务于本单位内部管理且不对外单位提供服务的教育移动应用,应在使用者备案时勾选"自研自用"的选项,并提交提供者备案信息。

(全文刊载于《中国教育网络》杂志2019年12月刊,作者:郑先伟,单位为中国教育和科研计算机网应急响应组。责编:项阳,版式:付涵)

(0)

相关推荐