文/鄭先偉

暑期安全事件呈現(xiàn)下降趨勢

文/鄭先偉

7月教育網(wǎng)運行平穩(wěn)，未發(fā)現(xiàn)影響嚴重的安全事件。

進入暑期，網(wǎng)絡(luò)安全事件的數(shù)量呈下降趨勢，眾測平臺向我們推送的有問題的網(wǎng)站數(shù)量也呈下降趨勢，這從側(cè)面也可以說明在安全平臺上對學(xué)校網(wǎng)站進行測試的很多可能是學(xué)校的在校生。

7月沒有新增影響比較嚴重的木馬蠕蟲病毒。

7月需要關(guān)注的漏洞有如下這些：

1. 微軟發(fā)布了7月的例行安全公告，本次公告共11個，其中6個為嚴重等級，5個為重要等級。這些公告共修補了Windows系統(tǒng)、IE瀏覽器、Office軟件、EDGE、. NET Framework、Web App及Flash Player軟件中的40個安全漏洞。建議用戶盡快使用系統(tǒng)的自動更新功能更新相關(guān)的系統(tǒng)及程序。公告的詳細信息：https://technet. microsoft.com/zh-cn/library/security/ms16-jul. aspx。

2. Adobe公司發(fā)布了今年7月的例行安全公告，用于更新Flash Player軟件中存在的52個安全漏洞，這些漏洞可能導(dǎo)致遠程任意代碼執(zhí)行，用戶應(yīng)該盡快更新自己Flash Player的版本。相關(guān)公告的信息請參見；https://helpx.adobe.com/security/ products/flash-player/apsb16-25.html。

2016年6月～7月安全投訴事件統(tǒng)計

3. Oracle公司發(fā)布了今年3季度的例行安全公告，本次公告共修補了Oracle公司各類產(chǎn)品中的276個安全漏洞，包括Oracle數(shù)據(jù)庫（9個）、中間件產(chǎn)品Fusion Middleware（40個）；企業(yè)管理器網(wǎng)格控制產(chǎn)品Oracle Enterprise Manager Grid Control（10個）、電子商務(wù)套裝軟件OracleEBusiness Suite（23個）、供應(yīng)鏈套裝軟件Oracle Supply Chain Products Suite（25個）、OracleSiebel托管型CRM軟件（16個）；Hyperion（1個）、PeopleSoft產(chǎn)品（7個）、JD Edwards產(chǎn)品（1個）、Policy Automation（4個）等；Java SE（13個）、Oracle Sun系統(tǒng)產(chǎn)品（34個）和MySQL數(shù)據(jù)庫（22個）。用戶應(yīng)該盡快根據(jù)自己的使用情況升級相關(guān)產(chǎn)品的版本。漏洞的詳細信息請參見：http:// www.oracle.com/technetwork/security-advisory/ cpujul2016-2881720.html。

4. Apache Struts2的漏洞最近頻繁出現(xiàn)，7月初Apache開發(fā)組發(fā)布了Struts2的最新版本2.3.29及2.5.1，用于解決之前版本中存在的多個安全漏洞，包括跨站腳本、拒絕服務(wù)和遠程代碼執(zhí)行漏洞。相關(guān)的公告涉及（s2-037到s2-041），詳細信息請參見https://struts.apache.org/docs/ security-bulletins.html。近期Struts2的漏洞頻繁出現(xiàn)，源于安全研究者對Struts2的漏洞不斷研究，很多安全漏洞在官方提供修補補丁后仍然可以利用一些方式繞過補丁限制繼續(xù)執(zhí)行漏洞，因此使用Struts2作為Web容器的網(wǎng)站開發(fā)人員這段時間要密切注意官方的公告，并關(guān)閉Struts2所有使用不到的模塊及功能。

5. Juniper公司的Juniper Pulse Secure網(wǎng)關(guān)設(shè)備是國內(nèi)很多高校的VPN解決方案，它允許用戶使用VPN通道從校外訪問的校內(nèi)資源，提供網(wǎng)頁和客戶端兩種認證模式，如果使用客戶端訪問需要用戶在自己的系統(tǒng)上安裝Pulse Secure Desktop Client插件。最近國內(nèi)的安全研究室研究發(fā)現(xiàn)這個客戶端插件存在嚴重的安全漏洞，可能導(dǎo)致本地權(quán)限提升及執(zhí)行任意代碼。漏洞產(chǎn)生的原因是Pulse Secure Desktop Client安裝的系統(tǒng)服務(wù)dsAccessService.exe會創(chuàng)建一個名為NeoterisSetupService的命名管道。該命名管道的訪問控制列表被設(shè)置為Everyone完全控制，所有用戶均具有讀寫權(quán)限。管道服務(wù)端使用了自定義的加密算法，該管道用于安裝新的系統(tǒng)服務(wù)，可以作為自動升級機制的一部分。當(dāng)有新數(shù)據(jù)寫入管道時，這段數(shù)據(jù)會被當(dāng)作文件路徑解密，指向的文件會被復(fù)制到C:WindowsTemp并執(zhí)行。服務(wù)安裝邏輯在dsInstallService. dll中實現(xiàn)，它首先讀入路徑并從路徑中切出文件名。這個實現(xiàn)邏輯存在一個漏洞：只切出了路徑中“”字符之后的部分，但忽略了“/”字符。攻擊者可以傳入一個惡意構(gòu)造的路徑，再通過DLL劫持的方式即可實現(xiàn)權(quán)限提升和任意代碼執(zhí)行。目前廠商已經(jīng)在最新版的客戶端程序中修正了這個漏洞，相關(guān)管理員需要盡快到官網(wǎng)下載最新的版本推送用戶，下載地址：https://kb.pulsesecure.net/articles/Pulse_ Security_Advisories/SA40241。

（作者單位為中國教育和科研計算機網(wǎng)應(yīng)急響應(yīng)組）