CCERT月報Struts2曝高危漏洞 高校修補速度明顯提升

文/鄭先偉

CCERT月報Struts2曝高危漏洞 高校修補速度明顯提升

文/鄭先偉

3月教育網(wǎng)運行平穩(wěn)，未發(fā)現(xiàn)影響嚴(yán)重的攻擊事件。2月有兩個事件值得關(guān)注，一是Apche的Struts2又曝出兩個高危漏洞，不過得益于廣大院校對網(wǎng)絡(luò)信息安全的重視，這次有該漏洞的網(wǎng)站的修補速度較之前有了明顯提升，這是好現(xiàn)象，說明只要重視安全工作，漏洞本身就沒那么可怕了。另一個需要關(guān)注的事件是Cisco公司發(fā)布了一個安全預(yù)警，用于向用戶預(yù)警其存在于IOS／IOS XE系統(tǒng)之中的漏洞，這個漏洞影響Cisco公司旗下300多款不同型號的交換機。如果管理員開放了相關(guān)設(shè)備的TELNET遠程登錄服務(wù)，那么攻擊者無需用戶名和密碼就可以登錄并控制交換機。目前官方還沒給出修補的補丁程序，廠商建議用戶使用SSH協(xié)議服務(wù)替代原有的TELNET服務(wù)。

由于Struts2漏洞的出現(xiàn)，相關(guān)的網(wǎng)站漏洞事件數(shù)量有所上升。

近期沒有新增影響比較嚴(yán)重的木馬蠕蟲病毒。

3月需要關(guān)注的漏洞有如下這些：

1.微軟3月的公告共18個，其中9個為嚴(yán)重等級，9個為重要等級，這些公告共修補了Windows系統(tǒng)、IE瀏覽器、EDGE瀏覽器、office辦公軟件、Skype for Business、Microsoft Lync、Microsoft Silverlight、Server軟件、Microsoft 通信平臺和軟件、Adobe Flash Player、Office Services 和 Web 應(yīng)用中存在的146個安全漏洞。利用這些漏洞攻擊者可以遠程執(zhí)行代碼、權(quán)限提升及獲得敏感信息等。用戶應(yīng)該盡快使用自動更新功能安裝補丁。公告的詳情請參見：https://technet.microsoft. com/zh-cn/library/security/ms17-jan.aspx

2.Windows 2003系統(tǒng)上的IIS6最近被曝出存在一個遠程溢出漏洞，如果攻擊者向服務(wù)器發(fā)送較長Header頭的PROPFIND請求，就可能導(dǎo)致漏洞被利用。成功利用該漏洞攻擊者可以以IIS運行權(quán)限在服務(wù)器上執(zhí)行任意命令。由于微軟已經(jīng)停止支持Windows2003及IIS6的版本，所以漏洞沒有補丁程序。用戶能選擇的就是使用更高版本的IIS替代原有的IIS6。

3.Adobe公司發(fā)布了3月的例行公告APSB17-07，用于修補Flash player軟件中的7個安全漏洞，這些漏洞可能導(dǎo)致遠程代碼執(zhí)行，敏感信息泄漏等。用戶應(yīng)該盡快升級您所使用的Flash產(chǎn)品。漏洞的詳情請參見：https://helpx.adobe.com/security/ products/flash-player/apsb17-07.html

4.Struts2是第二代基于Model-View-Controller(MVC)模型的Java企業(yè)級Web應(yīng)用框架，并成為當(dāng)時國內(nèi)外較為流行的容器軟件中間件。Jakarta是Apache組織下的一套Java解決方案的開源軟件的名稱，包括很多子項目。Struts就是jakarta的緊密關(guān)聯(lián)項目。此次Struts2被曝出存在兩個遠程代碼執(zhí)行漏洞（CVE-2017-5638、CVE-2017-5638），為此Apache發(fā)布了兩個安全公告（S2-046、S2-046），這兩個漏洞都是因為Struts2框架中基于JakartaMultipart parser的文件上傳模塊在處理文件上傳(Multipart)的請求時沒有正確處理導(dǎo)致的，只不過漏洞是出在兩個不同的函數(shù)中。雖然Apache分兩次為這兩個漏洞發(fā)布安全公告，但是卻在一次版本更新中同時修復(fù)了這兩個漏洞，所以管理員只需將自己Struts2升級到最新版（Struts2 2.3.2、Struts2 2.5.10.1）即可。

（責(zé)編：高錦）

2017年2月~3月安全投訴事件統(tǒng)計

安全提示

Struts2漏洞是一直讓各學(xué)校頭疼的問題，因為Struts2作為底層的Web開發(fā)框架，只有開發(fā)人員才能接觸，系統(tǒng)一旦開發(fā)完成就會移交給系統(tǒng)管理員來維護，如果移交過程中相關(guān)的文檔并不完善，那么系統(tǒng)管理員很可能根本不知道網(wǎng)站使用了Strtus2框架，也就不會想起來需要更新補丁，這種情況在一些開源的WEB系統(tǒng)中尤為突出。要應(yīng)對這種問題，學(xué)校下一步需要對自己的信息系統(tǒng)進行摸底統(tǒng)計，建立起資產(chǎn)管理制度，這樣在出現(xiàn)問題時就能夠及時快速地解決了。

（作者單位為中國教育和科研計算機網(wǎng)應(yīng)急響應(yīng)組）