4月教育网整体运行平稳，未发现严重的安全事件。需要关注的安全事件有两个，一个是微软在4 月停止了对WindowsXP 系统的安全支持，虽然国内有很多厂商宣称会继续为XP 系统提供安全技术支持，但是XP 系统毕竟是十几年前的产物，它在安全性上已经无法满足现今网络环境的需求。所以我们还是建议有条件的用户尽快使用更新版本的操作系统替代XP 系统。另一件需要关注的事是OpenSSL 的心脏流血漏洞，由OpenSSL 使用的广泛性使得这个漏洞影响各类加密服务。我们对教育网内受此漏洞影响的网站和系统进行统计发现, 教育网内受影响较大的主要有学校使用SSL VPN 服务器、邮件服务器以及一些自主开发的认证登录系统等。

2014 年3~4 月安全投诉事件统计

　　由于4 月起我们与乌云网站合作，因此处理的网站漏洞及入侵事件的数量有所增多，涉及的网站均为各高校的二级网站，也有部分为主页。

　　病毒与木马

　　近期需要关注的病毒和木马是那些针对家用路由器攻击的代码。由于大部分现在所使用的家用路由器和家用无线设备都存在配置或是系统软件上的安全漏洞，导致这些设备成为木马攻击的对象。这类攻击一般有两种途径，一种是将攻击木马放置在网页中，然后引诱用户访问该网页，通过浏览器运行脚本来攻击路由器。另一种方式则是直接接入该无线设备的内网，然后通过管理地址进行攻击。这类木马一旦成功攻击路由器后就会篡改路由器上的DNS 设置，从而达到劫持用户访问的目的。

　　近期新增严重漏洞评述

　　微软4月的例行安全公告数量较少，只有4 个（MS14-017 至MS14-020) 个, 其中2个为严重等级，2个为重要等级，这些公告共修补了Windows 系统、Office 软件、IE 浏览器、SharePoint Server 和OfficeWeb Apps 中的11个安全漏洞。相关的漏洞信息请参见： http://technet.microsoft.com/zh-cn/security/bulletin/ms14-Apr。

　　Adobe 公司4 月的安全公告有2 个(APSB14-09 和APSB14-12)，其中APSB14-09 修补了Flash player 软件中的4 个安全漏洞，APSB14-12 修补了Adobe Reader 移动版里的1 个安全漏洞。相关公告详细信息请参见：https://www.adobe.com/support/security。

　　Oracle 公司今年第二季度的安全公告共修复了其公司多款产品中存在的104个安全漏洞，其中高危漏洞24 个，可直接远程利用的97 个。漏洞的详细信息请参见：http://www.oracle.com/technetwork/topics/security/cpuapr2014-1972952.html。

　　除上述例行安全公告外，以下产品的漏洞需要特别关注：

　　OpenSSL 是TLS/SSL 协议最流行的实现，在许多商业化的系统中广为采用。心跳（HeartBeat）是TLS/SSL 协议中的一个扩展选项（RFC6520），它允许SSL 连接双方中的一端向另一端发送一条消息以确认对方是否仍然在线，验证的过程如下：

　　1、请求方会发送一个心跳查询包，此数据包含以下信息：

　　（1）包的类型type1（查询）

　　（2）验证数据的大小length1（最大可设为64k）

　　（3）验证数据data1（最大64k）

　　2、应答方则会根据查询包的信息，生成心跳应答包，包含以下信息：

　　（1）包的类型tpye2（应答包）

　　（2）数据段的大小length2（根据查询包的length1 生成）

　　（3）验证数据data2（包含完整的data1 内容）

　　OpenSSL 的某些版本（1.0.1、1.0.1a、1.0.1b、1.0.1c、1.0.1d、1.0.1e、1.0.1f）在实现Heartbeat 模块功能时存在漏洞，该模块没有有效的验证查询包中的data1 的实际大小，而直接按照查询包中length1的大小生成length2 并按此大小去申请内存空间。当攻击者将length1 设置为64k，并且将data1 设置为1 个字节时，heartbeat 模块会按照lenght1 的大小生成length2 并申请内存空间并去内存中读取数据，但是由于没有足够多的data1 数据，该模块就会直接读取内存中data1 后面的其他数据去填充data2 生成应答包返回给攻击者。这个漏洞导致攻击者可以直接获取服务器内存中的数据，理论上攻击者每次最多能获取64K 的内存内容，这些内存信息中可能包括明文的用户登录信息（用户名/ 口令）、电子邮件登录信息和邮件内容、网站cookie、以及其它一些原本需要加密的明文信息。

　　（作者单位为中国教育和科研计算机网应急响应组）