精品三级AV无码一区,欧美人妻精品一区二区三区,天天操夜夜操,亚洲欧美日韩愉拍自拍

安全公告編號:CNTA-2014-0009

近日，國家信息安全漏洞共享平臺（CNVD）對國內應用廣泛的網站內容管理軟件DEDECMS（又稱“織夢”CMS） 存在的一個SQL注入高危漏洞進行監(jiān)測后發(fā)現，針對該漏洞的攻擊近期呈現大規(guī)模爆發(fā)趨勢，對網站運行安全和用戶個人信息安全構成較為嚴重的威脅。具體情況通報如下：

一、? 漏洞情況分析

DEDECMS是由上海卓卓網絡科技有限公司生產的一款網站建站系統軟件，在國內政府、高校、企事業(yè)單位以及個人用戶網站中應用較為廣泛。2014年2月25日，該軟件被披露存在一個高危漏洞（CNVD收錄編號：CNVD-2014-01382)。至2月28日，針對該漏洞的攻擊利用代碼和相關利用工具在互聯網上已經被公開傳播。漏洞存在于/plus/recommend.php頁面，由于頁面參數未進行嚴格過濾，存在SQL注入漏洞。

攻擊者可利用漏洞直接獲得網站數據庫信息（包括后臺管理員賬號和口令信息），進而取得網站后臺管理權限，后續(xù)可進一步滲透取得網站服務控制權。

二、漏洞影響范圍

CNVD對漏洞的綜合評級為“高危”。受漏洞影響的DEDECMS 版本包括V 5.7SP1及以下版本。由于漏洞危害大且易于利用，CNVD聯合上海交通大學組織開展對該漏洞攻擊情況的監(jiān)測，并加大對存在漏洞的政府和高校網站的處置通報力度。

根據CNVD抽樣監(jiān)測結果，3月3日至9日，互聯網上有2668個攻擊源IP發(fā)起漏洞攻擊，其中境外攻擊源IP占22%（589個）, 境外攻擊源IP中自中國香港地區(qū)和美國的較多，分別有163個和155個。上述2668個攻擊源IP共嘗試掃描了48661個網站IP主機，其中474個網站IP因存在漏洞被攻擊成功。從時間周期看，如下圖所示，在一周之內被嘗試攻擊的網站數量呈現上升趨勢并保持在高位，在3月8日達到峰值，被攻擊成功的網站IP達到286個。

根據CNVD成員單位——上海交通大學網絡信息中心在華東地區(qū)教育網內的監(jiān)測結果，共有1903個攻擊源IP對9972個網站IP發(fā)起嘗試攻擊。如下圖所示，從2月26日至3月8日，被攻擊網站IP數量總體呈現遞增趨勢。

針對黑客發(fā)起大規(guī)模漏洞攻擊的情況，CNCERT組織協調全國分中心以及教育網應急組織（CCERT）加大漏洞通報和處置力度， 3月3日至13日共計通報政府、高校和電信行業(yè)網站存在DEDECMS漏洞事件超過100起。

三、漏洞處置建議

目前，DEDECMS軟件生產廠商已經發(fā)布了針對該漏洞的相關補丁。建議用戶及時到生產廠商官方網站下載補丁程序及時升級。同時，建議禁止外部無關IP或用戶訪問網站后臺管理地址。

CNVD將持續(xù)跟蹤漏洞處置情況，如需技術支援，請聯系CNVD。聯系電話：010-82990286，郵箱：vreport@cert.org.cn，網站：?www.cnvd.org.cn。

相關安全公告鏈接參考如下：

http://www.cnvd.org.cn/flaw/show/CNVD-2014-01382

http://www.freebuf.com/tools/27206.html

http://paper.wooyun.org/bugs/wooyun-2014-051950