教育网站与信息系统安全监测周报-东南大学网络中心.PDFVIP

教育网站与信息系统 安全监测周报 2014 年第28 期（总第82 期） 教育部教育管理信息中心 编制 2014 年12 月24 日 教育信息安全等级保护测评中心 经教育部教育信息安全等级保护测评中心远程监测及分 析研判，上周教育行业主要门户网站及部分重要信息系统运行 基本正常，未发生重大网络安全事件，网络安全威胁程度为中 度。 一、本期监测情况 含高危漏洞的网站及信息系统占比 21.26%，中危占比 19.22%，低危占比35.67%，安全的网站及信息系统占比23.84%。 各风险级别网站数量占比表明本周安全风险态势与上周相比 高危降低2.68%，中危降低1.1%，低危上升4.28%。 二、近期安全提示 近期需要引起重视的安全威胁有: 某大学图书馆网站存 在SQL注入漏洞；IBM DB2 中存在拒绝服务漏洞；Microsoft Excel存在无效指针远程执行代码漏洞。 1、监测发现某大学图书馆网站存在SQL注入漏洞。攻击者 可以利用该漏洞对网站数据库进行SQL注入攻击，导致服务器 敏感信息泄漏。建议用户联系厂商对图书馆网站重新编码，使 用参数化的过滤性语句防范攻击。 2、监测发现IBM DB2 中存在拒绝服务漏洞，远程攻击者 可借助特制的XML查询利用该漏洞消耗CPU资源造成拒绝服务。 受该漏洞影响的版本有：IBM DB2 9.5、IBM DB2 9.7、IBM DB2 9.8、IBM DB2 10.1、IBM DB2 10.5 等。建议使用以上版本的 用户通过官方网站下载补丁程序修复此漏洞。（下载地址： /support/docview.wss?uid=swg2700 7053） 3、监测发现Microsoft Excel存在无效指针远程执行代码 漏洞，攻击者可利用该漏洞执行任意代码，导致系统内存损坏。 受到该漏洞影响的版本有：Microsoft Excel 2007 SP3 版本、 Excel 2010 SP2 版本、Excel 2013 Gold SP1 版本、Excel 2013 RT Gold SP1 版本。建议使用以上版本的用户通过Windows Update程序或官方网站下载补丁程序修复此漏洞。（下载地址： /library/security/ms14-0 83） 以上信息主要来源于网站安全监测平台和权威互联网安 全机构所发布的信息。有关信息安全技术资料，请访问 。如需具体了解本单位网站安全状况， 或有其他信息安全咨询和服务需求，请与我中心联系。 联系电话：010-6609 7376 联系人：王永琦 邮箱：dengbao@ 送：教育部办公厅，教育信息化推进办公室，各司局，各直属 事业单位 发：各省、自治区、直辖市教育厅（教委），各计划单列市教 育局，新疆生产建设兵团教育局，部属各高等学校