各校内师生：

一、开源代码管理平台Gitblit未授权访问漏洞

近日，发现开源代码管理平台Gitblit存在未授权访问漏洞，默认配置下，未经身份认证的用户可查看、下载存储在该平台的系统源代码，同时该平台默认的管理员账号密码是弱口令，也可导致存储的源代码泄露。鉴于漏洞高危且可能有较多软件开发相关企业采用Gitblit平台进行源代码管理，请各单位排查自身以及信息系统维护商或软件提供商是否使用了Gitblit，是否因默认配置而受漏洞影响，并组织及时开展漏洞修补、风险防范工作，以免发生源代码等信息系统重要数据泄密事件。

处置建议（以下3项措施需全部实施）：

1．修改admin/用户的默认密码为强口令；

2．修改GitBlit平台默认访问权限，设置为经认证用户才可访问；

3．在GitBlit上创建代码仓库时将访问策略配置为“限制查看，克隆和推送”，只向授权的用户或团队开放相关权限。

二、向日葵远程运维软件存在高危漏洞

近日发现，上海贝锐信息科技股份有限公司研发的远程运维软件“向日葵”存在命令执行高危漏洞（CNVD-2022-10270）。“向日葵”是一款集远程桌面、远程开机、远程管理、内网穿透于一体的网络管理控制工具，在远程运维、远程协助等工作场景中应用广泛。攻击者可利用此漏洞，获取安装了“向日葵”软件的主机密钥，进而获取主机控制权。目前，已知受影响的版本是“向日葵个人版for Windows 11.0.0.33”及以下版本。

处置建议：

目前无法通过向日葵远程控制软件中自动升级，请手动下载安装包并安装更新，目前官方最新版本为12.5.1.44969。地址https://sunlogin.oray.com/download/。

三、钉钉软件命令执行高危漏洞

近日发现，钉钉存在命令执行高危漏洞。经分析研判:“钉钉”是一款办公软件，在企业工作场景中应用广泛。攻击者可利用此漏洞，精心构造的恶意脚本，并发送给安装了“钉钉”软件的主机管理员一段代码，当管理员点击时立即执行恶意脚本中的相关命令，进而获取主机控制权。目前，已知受影响的版本是6.3.5-Release.10278702及以下版本。

处置建议：

1．官方已发布漏洞修复版本。

手动更新方法：打开钉钉点击左上方头像——关于钉钉——立即升级。

2．同时应当提高安全意识，对于未知链接或代码引起注意，谨慎点击。

联系人及电话：移动前台 5288017

薛 磊 5288022

网络中心

2022年2月21日