随着 Web 技术的快速演变,近来黑客开始把关注重点转向 Web 应用系统,2013年上半年 Web 应用系统漏洞数量目前占新增漏洞的第二位,Web 应用系统的安全风险达到前所未有的高度。目前,针对院校的专有系统(如电子邮件系统、教务系统登录)的漏洞呈现增长趋势,这些专有系统在开发之初没有考虑安全因素导致存在安全漏洞,而造成用户信息泄露等事件。本刊收集了相关漏洞的详情供各学校参考并警惕以下漏洞,以防信息丢失而造成相应的损失。
1.快客电邮 (quick mail) 远程代码执行漏洞
漏洞类型:命令执行
危害等级:高
快客邮件系统(QuarkMail)存在的一个远程代码执行漏洞(CNVD 编号:CNVD-2013-21254)。攻击者利用漏洞可发起远程攻击,通过执行特定指令逐步渗透控制邮件服务器主机。互联网上已经出现了攻击利用代码,对相关服务器构成信息泄露和运行安全威胁。
根据 CNVD 测试结果,相关版本的快客电邮产品采用了CGI 脚本,存在一处远程代码执行漏洞。攻击者可利用漏洞直接发起恶意 URL 请求,远程执行操作系统指令。通过当前邮件服务器运行用户已有权限,攻击者可逐步渗透并控制邮件服务器主机操作系统。
CNVD 对该漏洞的综合评级为“高危”,该产品广泛应用于我国政府和重要信息系统部门以及军队、电信、新闻、教育机构和科研院所等多个领域。目前,CNVD 通过测试结果还未能确认受影响的产品具体版本号。
目前,互联网上已经披露了攻击利用代码,CNVD 尚未获知厂商对该漏洞的响应情况。CNVD 建议相关用户直接联系厂商,要求提供解决方案。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。