·教育部办公厅关于印发《教育移动互联网应用程序备案管理办法》的通知
各省、自治区、直辖市教育厅(教委),新疆生产建设兵团教育局,部属各高等学校,各直属单位:
《教育移动互联网应用程序备案管理办法》(以下简称《办法》)已经教育部网络安全和信息化领导小组审定同意。现印发给你们,请遵照执行,并就做好教育移动互联网应用程序(以下简称教育移动应用)备案工作通知。
详情参见《教育移动互联网应用程序备案管理办法》,网页链接如下:
http://www.moe.gov.cn/srcsite/A16/s3342/201911/t20191122409333.html
·教育部:专项治理高校管理服务类教育App泛滥问题
近日,教育部印发《高等院校管理服务类教育移动互联网应用专项治理行动方案》。《方案》要求在2020年3月底前完成管理服务类教育移动应用的清理工作。治理
行动的对象为高等院校服务于学校教育教学和广大师生工作生活的管理服务类教育移动应用。根据中央领导指示批示精神,按照《教育部等八部门关于引导规范教育移动互联网应用有序健康发展的意见》(教技函〔2019〕55号),为促进“互联网+教育”健康发展,切实整治高等院校因形式主义导致管理服务类教育移动互联网应用程序(以下简称教育移动应用)泛滥问题,特制定本方案。
详情参见:http://www.cac.gov.cn/2019-11/27/c_1576389973794304.htm
·双11促销短信密集“轰炸”消费者 律师:涉嫌违法
“双十一”前后,很多人的手机里都不停地收到各种商家的广告短信,其中大部分内容都和各大电商平台的“双十一”优惠促销活动有关。据媒体报道,商家发送广告短信使用的手机号码等个人信息,有部分是商家收集的在自己店铺购买过的消费者的,还有些则是通过其他机构倒卖的。据悉,大
部分此类短信都是通过代理公司发送的,平均花 2000元就可以发送5万条短信,而电话号码则需要买家自己提供。有律师表示:商家未经过用户同意群发广告短信的行为涉嫌违反《广告法》及《通信短信息服务管理规定》中的有关规定。但由于违法的成本过低,广告短信屡禁不止。
【漏洞通告】Apache Shiro Padding Oracle导致远程代码执行漏洞
漏洞描述
Apache Shiro是一个应用面非常广的Java安全框架,主要用于完成身份校验、会话管理的操作。在Apache Shiro cookie中的通过AES-128-CBC模式加密的rememberMe字段存在问题,容易受到Padding Oracle攻击。攻击者可以通过以下步骤完成攻击:
1. 用已经存在的用户登录网站,并从cookie中获得rememberMe字段。
2. 使用rememberMe cookie作为Padding Oracle攻击的前缀。
3. 通过Padding Oracle加密利用ysoserial生成的攻击代码来构造恶意的rememberMe字段。
4. 用刚刚构造的恶意rememberMe重新请求网站,进行反序列化攻击,最终导致任意代码执行。
目前Apache Shiro并未发放官方补丁和缓解方案,建议使用Apache Shiro的用户及时对存在漏洞的资产进行自查,并及时关注官方安全补丁是否发布。
漏洞危害
攻击者可以通过构造的恶意rememberMe请求网站,进行反序列化攻击,最终导致任意代码执行。
漏洞等级
高危
受影响版本
Apache Shiro 1.2.5, 1.2.6, 1.3.0, 1.3.1, 1.3.2, 1.4.0-RC2, 1.4.0, 1.4.1版本。
修复方案
在外部设备尝试拦截爆破流量,及时阻止攻击者进行尝试性攻击。
/
网络安全