近日，最高人民法院、最高人民检察院联合对外发布了《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》（下称司法解释），该司法解释对拒不履行信息网络安全管理义务罪、非法利用信息网络罪和帮助信息网络犯罪活动罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定。解释中明确了拒不履行信息网络安全管理义务罪的主体范围、前提要件和入罪标准，并定义七种属于帮助网络犯罪的情形。

　　学校作为网络服务提供者，需要对该司法解释给予高度重视，组织专项学习并部署后续网络安全工作，因为如果没有做好网络安全工作，很可能就要承担相应的法律责任。

　　近期投诉的安全事件较往年同期呈下降趋势。各类勒索病毒依然是近期新增病毒中需要关注的重点。

　　1.微软例行的10月安全更新修补了59个安全漏洞，其中有8个属于严重等级

　　用户应该尽快使用系统自带的更新功能进行更新。需要额外提醒的是Window10v1803普通用户版将于11月停止支持服务，使用该版本的用户应该尽快进行操作系统版本升级。

　　2.由于VHOST/VHOST_NET缺少对内核缓冲区的严格访问边界校验，导致存在内核逃逸漏洞

　　QEMU-KVM是Linux系统中常用的一种虚拟化解决方案，VHOST/VHOST_NET是QEMU-KVM虚拟化平台中VIRTIO（I/O虚拟化框架）Network的后端实现方案，在Linux内核层面负责处理虚拟机的网络包收发功能。

　　攻击者可通过在虚拟机中更改VIRTIO network前端驱动，在该虚拟机被热迁移时，触发内核缓冲区溢出实现虚拟机逃逸，获得在宿主机内核中任意执行代码的权限，攻击者也可触发宿主机内核崩溃实现拒绝服务攻击。

　　目前Linux已经在最新的内核版本中修补了该漏洞，如果使用了该虚拟化平台，请尽快对内核进行升级。

　　3.泛微e-cologyOA系由于内置SQL语句拼接检测不严格，导致存在SQL注入漏洞

　　泛微e-cologyOA系统是国内使用较为广泛的办公系统软件，不少高校也在使用该办公系统。

　　最近有信息显示该系统的WorkflowCenterTreeData接口在使用Oracle数据库时，由于内置SQL语句拼接检测不严格，导致存在SQL注入漏洞。攻击者利用该漏洞，可在未授权的情况下，远程发送精心构造的SQL语句，从而获取数据库敏感信息。

　　鉴于漏洞带来的风险，建议使用该系统的用户尽快联系厂商确认自己的系统是否存在风险并进行相应的处置。

　　4.Adobe公司10月15日发布了Adobe Acrobat/ReaderPDF编辑和阅读软件的最新版本，用于修补之前版本中存在的多个安全漏洞

　　由于PDF软件漏洞是黑客攻击非常频繁使用的漏洞，建议用户尽快升级自己系统上的Adobe Acrobat/Reader软件。

　　PHP官方在9月26日发布公告称使用Nginx+php-fpm的服务在部分配置下存在远程代码执行漏洞（CVE-2019-11043），如果用户使用了特定的配置（如完全复制Nginx官方给出的php-fpm示例配置）就存在被攻击的风险。10月22日该漏洞的攻击代码已被公开，后续可能会出现大量针对该漏洞的攻击。如果使用了Nginx+php-fpm服务，可以采取如下操作来降低风险：

　　（本文作者：郑先伟，单位为中国教育和科研计算机网应急响应组，全文刊载于《中国教育网络》杂志2019年11月刊。）

　　特别声明：本站注明稿件来源为其他媒体的文/图等稿件均为转载稿，本站转载出于非商业性的教育和科研之目的，并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题，请作者在两周内速来电或来函联系。

　　过去20多年，高校信息化建设快速发展，并在实践中发挥重要作用、产生了巨大影响...

　　停课不停学，高校信息化应用将分享部分企业学院的课程，为有需求的院校师生提供免费教学平台....

　　CERNET建设发展的25年，见证了互联网进入中国发展历程，支撑了我国教育和科研重大应用...青岛SEO，