商業CMS再曝零天漏洞 眾多政府政務系統面臨嚴重威脅!
責編:admin |2014-12-10 13:43:43近日,安恒信息安全研究員發現目前在國內政府、教育、公檢法、醫療等部門使用率非常高的政務系統“OHOCMS”的多處漏洞,包括任意文件上傳、任意文件刪除、任意文件讀取、多處SQL注入等高危漏洞可導致遠程攻擊者直接獲取網站服務器控制權限。漏洞影響范圍包含了最新版本的OHOCMS政務系統及以前的所有版本。
電子政務的信息安全,關系到國家安全與公民個人信息安全。經安恒信息的安全工程師進行安全排查發現該系統的漏洞覆蓋了國內眾多城市的政府門戶以及公檢法系統,安恒信息已及時將漏洞詳細信息通報給歐虎官方,并提交給中國國家信息安全漏洞庫CNNVD組織。同時,安恒信息安全研究院在進行多次測試和提煉后,與安恒研發團隊共同完成了歐虎政務系統的產品檢測與防御,目前安恒信息明御Web應用防火墻已經能夠防御歐虎政務系統的SQL注入、文件上傳、文件操作等漏洞,并提供了策略升級包,安恒信息將及時安排工作人員對相關客戶進行升級。同時安恒信息明鑒 WEBSCAN掃描器也能及時探測出該系統這些漏洞。
安恒信息建議其他存在同樣漏洞環境的用戶關注歐虎官方的升級補丁,也可以與安恒信息主動聯系(400-605-9110),隨時協助有需要的客戶解決該問題。
2014年,安恒信息安全研究院發現并協助解決國內外各類商業性質的CMS系統漏洞累計106個,其中嚴重高危漏洞104個,并獲得多個CVE漏洞編號,同時也是國家漏洞庫的重要貢獻者。