站内搜索:

关于2017年第三季度教育系统网络与信息安全情况的通报


    日期:2017-11-21

各市教育局,各高等学校,厅属各单位:

  2017年第三季度,我省教育系统网络与信息系统运行总体稳定,但仍有不少教育行政部门和学校所属的信息系统和网站存在安全漏洞,信息泄露和页面被篡改风险很大。第三季度共发现安全问题143起,比二季度增加54起,其中聊城大学、山东师范大学、日照职业技术学院、山东职业技术学院、济南职业技术学院和淄博市教育局所属系统漏洞较多。对发现的安全问题,我厅已第一时间通知和督促处理。为进一步加强教育系统网络与信息安全管理,现将第三季度发生安全事件的具体情况通报如下:

       一、SQL注入漏洞

  共发生40次。黑客通过把SQL(数据库操作语言)语句插入存在漏洞的页面,欺骗服务器执行恶意命令,取得对数据库的操作权限,以达到获取和篡改数据的目的。涉及单位:聊城大学、山东师范大学、日照职业技术学院、山东职业学院、济南职业学院、青岛理工大学、山东中医药大学、山东农业工程学院、山东交通职业学院、青岛恒星科技学院、临沂大学、曲阜师范大学、鲁东大学、烟台大学、山东外贸职业学院、滨州医学院、山东工商学院、齐鲁工业大学、山东海事职业学院、山东外事翻译职业学院、山东圣翰财贸职业学院、聊城大学东昌学院、青岛理工大学琴岛学院、淄博市教育局。

       二、弱口令漏洞

  共发生27次。弱口令指的是仅包含简单数字和字母的口令,例如“123456”“abc123”等,很容易被破解,黑客可以轻易进入系统获取和篡改数据,而安全设施很难发现。涉及单位:聊城大学、山东师范大学、日照职业技术学院、山东职业学院、聊城职业技术学院、东营职业学院、潍坊护理职业学院、山东中医药大学、山东商业职业技术学院、烟台南山学院、山东科技大学、滨州学院、兖州矿区职工大学、青岛大学、济南护理职业学院。

       三、源码及信息泄露漏洞

  共发生17次。服务器中源代码等信息可以被直接下载利用,源代码中所包含服务器配置、数据库连接等各类敏感信息,会对整个系统的安全造成很大隐患。涉及单位:聊城大学、日照职业技术学院、山东职业学院、青岛理工大学、潍坊工程职业学院、东营职业学院、临沂大学、莱芜职业技术学院、山东外贸职业学院、青岛科技大学、潍坊职业学院、潍坊工商职业学院、济宁医学院、淄博市教育局、山东省教育科学研究院。

       四、Struts2 S2-046漏洞

  共发生13次。远程攻击者可利用该漏洞在受影响服务器上远程执行系统命令,入侵服务器。涉及单位:青岛理工大学、济南大学、山东中医药大学、德州学院、泰山医学院、烟台南山学院、潍坊学院、济宁市教育局、东营市教育局。

       五、未授权访问漏洞

  共发生13次。未授权访问可以理解为需要安全配置或权限认证的授权页面可以直接访问,导致重要权限可被操作、重要信息泄露。涉及单位:聊城大学、济南职业学院、青岛恒星科技学院、临沂大学、曲阜师范大学、山东建筑大学、泰山医学院、滨州医学院、德州职业技术学院、山东药品食品职业学院、青岛职业技术学院 

       六、植入暗链(被篡改)漏洞

  共发生9次。暗链是黑客通过网站漏洞篡改页面源代码,以隐蔽的方式植入不易被觉察的代码链接到其他网站,达到对其他网站的宣传,因此被植入暗链一般说明网站已被攻陷。涉及单位:山东师范大学、聊城职业技术学院、济南大学、鲁东大学、烟台大学、滨州学院、山东财经大学、山东艺术学院、济南幼儿师范高等专科学校。

       七、任意文件读取与下载漏洞

  共发生8次。因系统或网站一般具有下载附件等文件的功能,因这些功能程序设置不当,导致也可用于下载数据库、源程序和服务器配置等文件,致使黑客可获取数据库或侵入系统。涉及单位:聊城大学、山东职业学院、山东财经大学、菏泽家政职业学院、山东力明科技职业学院、淄博市教育局、济宁市教育局。

       八、Struts2 S2-045漏洞

  共发生7次。远程攻击者可通过发送恶意构造的HTTP数据包,利用该漏洞在受影响服务器上执行系统命令,最终可完全控制该服务器,造成拒绝服务、数据泄露、网站遭篡改等后果。涉及单位:济南大学、曲阜师范大学、莱芜职业技术学院、中国石油大学、济宁学院、济宁市教育局、东营市教育局。

       九、Struts2 S2-016漏洞

  共发生3次。远程攻击者可以通过操纵参数远程执行恶意代码,造成拒绝服务、数据泄露等后果。涉及单位:山东师范大学、济南大学、东营市教育局。

       十、DNS域传输漏洞

  共发生3次。DNS域传输指的是备用服务器使用来自主服务器的数据刷新自己的域数据库,其目的是为了防止主域名服务器因意外故障影响整个域名的解析。此操作在有备用域名DNS服务器时才有必要用到,但许多DNS服务器却被错误地配置成只要有用户发出请求,就会向其提供一个域数据库的详细信息,黑客借此得以收集域信息,选择攻击目标,找出未使用的IP地址,绕过基于网络的访问控制。涉及单位:山东职业学院、山东农业工程学院。

       十一、越权访问

  共发生1次。越权漏洞是Web应用程序中一种常见的安全漏洞。它的威胁在于一个账户即可控制全站用户数据,这些数据仅限于存在漏洞功能对应的数据。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定。涉及单位:淄博职业学院。

       十二、目录遍历漏洞

  共发生1次。目录遍历是由于Web服务器或者Web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以是Web根目录以外的文件),甚至执行系统命令。涉及单位:济南职业学院。

       十三、Cookie欺骗漏洞

  共发生1次。Cookies是一个储存于浏览器目录中的文本文件,记录用户访问一个特定站点的信息,许多站点使用Cookies来储存针对私人的数据,如注册口令、用户名、信用卡编号等。Cookies欺骗是在只对用户做Cookies验证的系统中,通过修改Cookies的内容来得到相应的用户权限登录。涉及单位:潍坊工程职业学院。

  请以上安全事件涉及单位确认已修复安全漏洞(具体信息见附件),切实消除安全事件影响。对未及时处理安全事件的单位我厅将再次通知和督促办理。各单位必须加强组织领导和明确主体责任,增强安全防范意识和防护能力,提高发现问题和处置安全事件的能力。

 

        附件:安全事件具体信息(略)     

 

山东省教育厅

2017年10月23日