文/鄭先偉

近期教育網(wǎng)運(yùn)行平穩(wěn)，未發(fā)生嚴(yán)重的安全事件。近期多個(gè)相關(guān)部門對(duì)教育網(wǎng)內(nèi)的網(wǎng)站進(jìn)行安全掃描時(shí)發(fā)現(xiàn)，仍然有大量的網(wǎng)站存在嚴(yán)重的安全漏洞。最突出的還是我們之前多次提到的Apache Struts遠(yuǎn)程命令執(zhí)行漏洞。存在該漏洞的網(wǎng)站很多都是學(xué)校的信息系統(tǒng)，如學(xué)校的迎新系統(tǒng)、貧困生資助管理系統(tǒng)等。這些信息系統(tǒng)可能是委托第三方公司開發(fā)的，而第三方公司在開發(fā)過(guò)程中使用Apache Struts xwork框架而導(dǎo)致漏洞存在。管理員因?yàn)閷?duì)信息系統(tǒng)的內(nèi)部構(gòu)架不清楚而忽略了漏洞，使安全風(fēng)險(xiǎn)長(zhǎng)期存在。我們建議相關(guān)信息系統(tǒng)的管理員盡快檢查自己的系統(tǒng)是否存在漏洞（如需技術(shù)幫助可以聯(lián)系CCERT），發(fā)現(xiàn)問(wèn)題，及時(shí)修補(bǔ)。目前不存在相關(guān)漏洞的Struts應(yīng)用組件為2.3.1.1之后的版本（包括2.3.1.1）。近期安全投訴事件數(shù)量與往期基本持平。

近四年計(jì)算機(jī)病毒感染率連續(xù)下降

近期沒(méi)有新增危害特別嚴(yán)重的木馬病毒程序。

11月13日國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心發(fā)布2011年度全國(guó)信息網(wǎng)絡(luò)安全狀況和計(jì)算機(jī)移動(dòng)終端病毒疫情調(diào)查。結(jié)果顯示，2011年計(jì)算機(jī)病毒感染率為48.87%，已經(jīng)連續(xù)4年呈現(xiàn)下降趨勢(shì)。感染率的下降，一方面得益于用戶安全意識(shí)提高及防病毒軟件的普及，另一方面也因?yàn)椴《灸抉R程序已經(jīng)放棄了大規(guī)模無(wú)目的性傳播的方式，改為更隱蔽、精準(zhǔn)的定向傳播方式。隨著木馬病毒制造、銷售及傳播產(chǎn)業(yè)鏈的逐漸成熟，病毒木馬的目標(biāo)將越來(lái)越多地傾向于獲取實(shí)際經(jīng)濟(jì)利益。如竊取用戶網(wǎng)絡(luò)銀行賬號(hào)或是其他能夠轉(zhuǎn)變?yōu)殄X的網(wǎng)絡(luò)賬號(hào)。用戶一旦感染這類木馬病毒就可能帶來(lái)經(jīng)濟(jì)損失。因此，雖然病毒木馬感染的絕對(duì)數(shù)量下降，但是用戶面臨安全威脅形勢(shì)依然不容樂(lè)觀。

近期新增嚴(yán)重漏洞評(píng)述

微軟11月份的例行安全公告共6個(gè)（MS12－071至MS12－076），其中4個(gè)為嚴(yán)重等級(jí)，1個(gè)為重要等級(jí)，1個(gè)為警告等級(jí)。這些安全公告共修復(fù)了Windows系統(tǒng)、IE瀏覽器、Office軟件、IIS服務(wù)程序以及.NET Framework組件中的19個(gè)安全漏洞。這些漏洞多數(shù)都是通過(guò)秘密途徑報(bào)告給微軟的，因此相應(yīng)的攻擊代碼還未在網(wǎng)絡(luò)上公布。

需要關(guān)注的是，IIS服務(wù)程序中的一個(gè)信息泄露漏洞（MS12－073）。這個(gè)漏洞被微軟定義為警告等級(jí)，能夠用來(lái)獲取IIS服務(wù)器上的目錄信息，相關(guān)的漏洞利用掃描程序在網(wǎng)絡(luò)上已經(jīng)被公開了一段時(shí)間。值得慶幸的是，這個(gè)漏洞僅能用來(lái)瀏覽目錄信息，而不能用來(lái)執(zhí)行指令。

Mozilla公司對(duì)Firefox瀏覽器進(jìn)行了大版本更新，最新版本是Firefox 17。本次更新修補(bǔ)之前版本中的大量安全漏洞（https://www.mozilla.org/security/announce/2012/mfsa2012-101.html）。用戶應(yīng)該盡快使用軟件自帶的安全更新功能升級(jí)到最新版本。

Adobe公司發(fā)布了針對(duì)Flash Player的安全公告和補(bǔ)丁程序（http://www.adobe.com/support/security/bulletins/apsb12-24.html），修補(bǔ)了之前版本中的多個(gè)遠(yuǎn)程代碼執(zhí)行漏洞。有消息稱，為了更好地配合系統(tǒng)更新，Adobe公司決定今后每月與微軟同步發(fā)布安全公告和補(bǔ)丁程序，發(fā)布時(shí)間為每個(gè)月的第2個(gè)星期二。

Exim電子郵件軟件遠(yuǎn)程代碼執(zhí)行漏洞

Linux系統(tǒng)下的開源電子郵件軟件Exim存在一個(gè)高危漏洞，需要引起我們關(guān)注。

影響系統(tǒng)

Exim 4.7x、Exim 4.8.0。

漏洞信息

Exim是由英國(guó)劍橋大學(xué)的研究組織開發(fā)的一款開源郵件服務(wù)軟件，主要用于搭建郵件服務(wù)器或用作接收和發(fā)送郵件的客戶端代理程序。目前多數(shù)的類UNIX系統(tǒng)默認(rèn)都安裝了此軟件，由于其配置簡(jiǎn)單且與sendmail兼容，因此被越來(lái)越多的管理員選用。

Exim 默認(rèn)安裝下集成啟用的用于支持 DKIM (域名密鑰識(shí)郵件標(biāo)準(zhǔn))的功能模塊中，由于其未能正確處理相應(yīng)參數(shù)，存在堆緩沖區(qū)溢出漏洞。

漏洞危害

攻擊者可以向服務(wù)器發(fā)起遠(yuǎn)程攻擊，成功的攻擊可以獲得服務(wù)器主機(jī)管理權(quán)限。目前漏洞的詳細(xì)細(xì)節(jié)還未公布，暫時(shí)未發(fā)現(xiàn)有攻擊代碼出現(xiàn)。

解決辦法

Exim開發(fā)組織在披露信息的同時(shí)提供了用于修復(fù)漏洞的軟件升級(jí)版本——Exim 4.80.1。使用Exim的管理員應(yīng)該及時(shí)下載最新版本更新自己的郵件系統(tǒng)。如果因業(yè)務(wù)不能中斷，可臨時(shí)禁用Exim的DKIM模塊功能來(lái)降低漏洞帶來(lái)的風(fēng)險(xiǎn)。