各校内师生:
一、开源代码管理平台Gitblit未授权访问漏洞
近日,发现开源代码管理平台Gitblit存在未授权访问漏洞,默认配置下,未经身份认证的用户可查看、下载存储在该平台的系统源代码,同时该平台默认的管理员账号密码是弱口令,也可导致存储的源代码泄露。鉴于漏洞高危且可能有较多软件开发相关企业采用Gitblit平台进行源代码管理,请各单位排查自身以及信息系统维护商或软件提供商是否使用了Gitblit,是否因默认配置而受漏洞影响,并组织及时开展漏洞修补、风险防范工作,以免发生源代码等信息系统重要数据泄密事件。
处置建议(以下3项措施需全部实施):
1.修改admin/用户的默认密码为强口令;
2.修改GitBlit平台默认访问权限,设置为经认证用户才可访问;
3.在GitBlit上创建代码仓库时将访问策略配置为“限制查看,克隆和推送”,只向授权的用户或团队开放相关权限。
二、向日葵远程运维软件存在高危漏洞
近日发现,上海贝锐信息科技股份有限公司研发的远程运维软件“向日葵”存在命令执行高危漏洞(CNVD-2022-10270)。“向日葵”是一款集远程桌面、远程开机、远程管理、内网穿透于一体的网络管理控制工具,在远程运维、远程协助等工作场景中应用广泛。攻击者可利用此漏洞,获取安装了“向日葵”软件的主机密钥,进而获取主机控制权。目前,已知受影响的版本是“向日葵个人版for Windows 11.0.0.33”及以下版本。
处置建议:
目前无法通过向日葵远程控制软件中自动升级,请手动下载安装包并安装更新,目前官方最新版本为12.5.1.44969。地址https://sunlogin.oray.com/download/。
三、钉钉软件命令执行高危漏洞
近日发现,钉钉存在命令执行高危漏洞。经分析研判:“钉钉”是一款办公软件,在企业工作场景中应用广泛。攻击者可利用此漏洞,精心构造的恶意脚本,并发送给安装了“钉钉”软件的主机管理员一段代码,当管理员点击时立即执行恶意脚本中的相关命令,进而获取主机控制权。目前,已知受影响的版本是6.3.5-Release.10278702及以下版本。
处置建议:
1.官方已发布漏洞修复版本。
手动更新方法:打开钉钉点击左上方头像——关于钉钉——立即升级。
2.同时应当提高安全意识,对于未知链接或代码引起注意,谨慎点击。
联系人及电话:移动前台 5288017
薛 磊 5288022
网络中心
2022年2月21日
