接近年底，教育网站的安全类投诉事件有大幅提升

近日，教育部办公厅印发《教育移动互联网应用程序备案管理办法》的通知。通知要求所有目前正在使用中的教育移动APP在2019年12月1日至2020年1月31日期间完成教育移动互联网应用程序备案，并结合本单位的实际情况建立备案信息的动态更新机制，确保备案数据的完整性。

若相关APP系统到2020年2月1日还未完成ICP备案和等级保护备案，APP的备案信息将被撤销并予以通报。建议学校管理员尽快排查自己学校使用的相关APP，在要求的期限内完成备案，避免因未备案导致APP无法使用。

2019年10~11月安全投诉事件统计

网站安全类的投诉事件数量较上月有大幅提升，主要是因为接近年底，各大漏洞平台集中处置之前遗留未及时处置的漏洞信息所导致的。

各类勒索病毒依然是近期新增病毒中需要关注的重点。

近期新增严重漏洞评述

1、微软例行的11月安全更新修补了多个安全漏洞

涉及的系统及软件包括Windows系统、IE浏览器、EDGE浏览器、Office办公软件、Exchange Server、Visual Studio、开源软件、ChakraCore、微软开源软件等。

其中Windows Hyper-V远程代码执行漏洞（CVE-2019-0721）、IE浏览器的引擎内存破坏漏洞（CVE-2019-1429）和Office Excel远程代码执行漏洞（CVE-2019-1448）需要引起用户的额外关注。用户可以使用系统自带的更新功能进行补丁更新。

除补丁程序外，微软还在本次更新中提供了Win10 v1909版本的更新，对应的Win10 v1803版本停止支持服务，使用该版本的用户应该尽快将操作系统版本升级。

2、大部分云存储应用由于配置不当，存在越权访问和文件上传漏洞

云存储是云计算基础上延伸和衍生发展出来的新概念，允许用户通过移动APP、网页版程序、APP小程序（以下简称云存储应用）等访问云存储数据。

近期国内的安全研究机构发现大部分的云存储应用由于配置不当，存在越权访问和文件上传漏洞，攻击者利用上述漏洞，通过云存储应用破解或网络抓包获得永久密钥或临时密钥，从而实现对云存储中的文件数据的篡改和窃取。

目前漏洞的细节还未公布，但从相关研究组织对国内云存储应用客户端的抽样数据来看，受影响的应用高达70%。

建议云存储应用开发者采用如下方式修复漏洞：

采用临时签名上传文件的云存储应用，可根据业务场景将服务端生成的临时密钥权限更新至最小，限定文件的上传路径和上传的目标存储桶，去除读文件、列存储桶、列对象、覆盖文件等非业务必要权限。

采用永久密钥签名上传文件的云存储应用，可更新客户端和服务端上传逻辑，改为用最小权限的临时密钥方式或者PUT方式进行上传。

3、Apache Flink被披露存在远程代码执行漏洞

Apache Flink是由Apache软件基金会开发的开源流处理框架，其核心是用Java和Scala编写的分布式流数据流引擎。

日前Apache Flink被披露存在远程代码执行漏洞。攻击者可利用该漏洞在Apache Flink Dashboard页面中上传任意Jar包，利用Metasploit在Apache Flink服务器中执行任意代码。

目前，厂商尚未发布上述漏洞的修补程序。

教育APP备案相关提示

1.教育移动应用的备案分为提供者备案和使用者备案。提供者指的是公开使用的移动应用产品的开发者，使用者指的是使用相关应用的学校或机构。

2.提供者需完成相关移动应用的ICP备案和等级保护备案后才可进行应用备案。提供者备案实行"一省备案，全国有效"。学校如果采购了外部的应用APP，应该尽快督促应用提供方完成相关备案。

3.自主开发、自主选用和上级部门要求使用的教育移动应用均应进行使用者备案，使用者自主开发，服务于本单位内部管理且不对外单位提供服务的教育移动应用，应在使用者备案时勾选"自研自用"的选项，并提交提供者备案信息。

（全文刊载于《中国教育网络》杂志2019年12月刊，作者：郑先伟，单位为中国教育和科研计算机网应急响应组。责编：项阳，版式：付涵）

声明：本文来自中国教育网络，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。