亚洲中文字幕无码久久2017,久久AV无码精品人妻系列,国产男女无遮挡猛进猛出,亚洲s码欧洲m码国产AV

安全公告編號:CNTA-2014-0009

近日，國家信息安全漏洞共享平臺（CNVD）對國內(nèi)應(yīng)用廣泛的網(wǎng)站內(nèi)容管理軟件DEDECMS（又稱“織夢”CMS） 存在的一個SQL注入高危漏洞進(jìn)行監(jiān)測后發(fā)現(xiàn)，針對該漏洞的攻擊近期呈現(xiàn)大規(guī)模爆發(fā)趨勢，對網(wǎng)站運行安全和用戶個人信息安全構(gòu)成較為嚴(yán)重的威脅。具體情況通報如下：

一、? 漏洞情況分析

DEDECMS是由上海卓卓網(wǎng)絡(luò)科技有限公司生產(chǎn)的一款網(wǎng)站建站系統(tǒng)軟件，在國內(nèi)政府、高校、企事業(yè)單位以及個人用戶網(wǎng)站中應(yīng)用較為廣泛。2014年2月25日，該軟件被披露存在一個高危漏洞（CNVD收錄編號：CNVD-2014-01382)。至2月28日，針對該漏洞的攻擊利用代碼和相關(guān)利用工具在互聯(lián)網(wǎng)上已經(jīng)被公開傳播。漏洞存在于/plus/recommend.php頁面，由于頁面參數(shù)未進(jìn)行嚴(yán)格過濾，存在SQL注入漏洞。

攻擊者可利用漏洞直接獲得網(wǎng)站數(shù)據(jù)庫信息（包括后臺管理員賬號和口令信息），進(jìn)而取得網(wǎng)站后臺管理權(quán)限，后續(xù)可進(jìn)一步滲透取得網(wǎng)站服務(wù)控制權(quán)。

二、漏洞影響范圍

CNVD對漏洞的綜合評級為“高危”。受漏洞影響的DEDECMS 版本包括V 5.7SP1及以下版本。由于漏洞危害大且易于利用，CNVD聯(lián)合上海交通大學(xué)組織開展對該漏洞攻擊情況的監(jiān)測，并加大對存在漏洞的政府和高校網(wǎng)站的處置通報力度。

根據(jù)CNVD抽樣監(jiān)測結(jié)果，3月3日至9日，互聯(lián)網(wǎng)上有2668個攻擊源IP發(fā)起漏洞攻擊，其中境外攻擊源IP占22%（589個）, 境外攻擊源IP中自中國香港地區(qū)和美國的較多，分別有163個和155個。上述2668個攻擊源IP共嘗試掃描了48661個網(wǎng)站IP主機(jī)，其中474個網(wǎng)站IP因存在漏洞被攻擊成功。從時間周期看，如下圖所示，在一周之內(nèi)被嘗試攻擊的網(wǎng)站數(shù)量呈現(xiàn)上升趨勢并保持在高位，在3月8日達(dá)到峰值，被攻擊成功的網(wǎng)站IP達(dá)到286個。

根據(jù)CNVD成員單位——上海交通大學(xué)網(wǎng)絡(luò)信息中心在華東地區(qū)教育網(wǎng)內(nèi)的監(jiān)測結(jié)果，共有1903個攻擊源IP對9972個網(wǎng)站IP發(fā)起嘗試攻擊。如下圖所示，從2月26日至3月8日，被攻擊網(wǎng)站IP數(shù)量總體呈現(xiàn)遞增趨勢。

針對黑客發(fā)起大規(guī)模漏洞攻擊的情況，CNCERT組織協(xié)調(diào)全國分中心以及教育網(wǎng)應(yīng)急組織（CCERT）加大漏洞通報和處置力度， 3月3日至13日共計通報政府、高校和電信行業(yè)網(wǎng)站存在DEDECMS漏洞事件超過100起。

三、漏洞處置建議

目前，DEDECMS軟件生產(chǎn)廠商已經(jīng)發(fā)布了針對該漏洞的相關(guān)補(bǔ)丁。建議用戶及時到生產(chǎn)廠商官方網(wǎng)站下載補(bǔ)丁程序及時升級。同時，建議禁止外部無關(guān)IP或用戶訪問網(wǎng)站后臺管理地址。

CNVD將持續(xù)跟蹤漏洞處置情況，如需技術(shù)支援，請聯(lián)系CNVD。聯(lián)系電話：010-82990286，郵箱：vreport@cert.org.cn，網(wǎng)站：?www.cnvd.org.cn。

相關(guān)安全公告鏈接參考如下：

http://www.cnvd.org.cn/flaw/show/CNVD-2014-01382

http://www.freebuf.com/tools/27206.html

http://paper.wooyun.org/bugs/wooyun-2014-051950