文/鄭先偉

CCERT月報(bào)Struts2曝高危漏洞 高校修補(bǔ)速度明顯提升

文/鄭先偉

3月教育網(wǎng)運(yùn)行平穩(wěn)，未發(fā)現(xiàn)影響嚴(yán)重的攻擊事件。2月有兩個(gè)事件值得關(guān)注，一是Apche的Struts2又曝出兩個(gè)高危漏洞，不過(guò)得益于廣大院校對(duì)網(wǎng)絡(luò)信息安全的重視，這次有該漏洞的網(wǎng)站的修補(bǔ)速度較之前有了明顯提升，這是好現(xiàn)象，說(shuō)明只要重視安全工作，漏洞本身就沒(méi)那么可怕了。另一個(gè)需要關(guān)注的事件是Cisco公司發(fā)布了一個(gè)安全預(yù)警，用于向用戶(hù)預(yù)警其存在于IOS／IOS XE系統(tǒng)之中的漏洞，這個(gè)漏洞影響Cisco公司旗下300多款不同型號(hào)的交換機(jī)。如果管理員開(kāi)放了相關(guān)設(shè)備的TELNET遠(yuǎn)程登錄服務(wù)，那么攻擊者無(wú)需用戶(hù)名和密碼就可以登錄并控制交換機(jī)。目前官方還沒(méi)給出修補(bǔ)的補(bǔ)丁程序，廠商建議用戶(hù)使用SSH協(xié)議服務(wù)替代原有的TELNET服務(wù)。

由于Struts2漏洞的出現(xiàn)，相關(guān)的網(wǎng)站漏洞事件數(shù)量有所上升。

近期沒(méi)有新增影響比較嚴(yán)重的木馬蠕蟲(chóng)病毒。

3月需要關(guān)注的漏洞有如下這些：

1.微軟3月的公告共18個(gè)，其中9個(gè)為嚴(yán)重等級(jí)，9個(gè)為重要等級(jí)，這些公告共修補(bǔ)了Windows系統(tǒng)、IE瀏覽器、EDGE瀏覽器、office辦公軟件、Skype for Business、Microsoft Lync、Microsoft Silverlight、Server軟件、Microsoft 通信平臺(tái)和軟件、Adobe Flash Player、Office Services 和 Web 應(yīng)用中存在的146個(gè)安全漏洞。利用這些漏洞攻擊者可以遠(yuǎn)程執(zhí)行代碼、權(quán)限提升及獲得敏感信息等。用戶(hù)應(yīng)該盡快使用自動(dòng)更新功能安裝補(bǔ)丁。公告的詳情請(qǐng)參見(jiàn)：https://technet.microsoft. com/zh-cn/library/security/ms17-jan.aspx

2.Windows 2003系統(tǒng)上的IIS6最近被曝出存在一個(gè)遠(yuǎn)程溢出漏洞，如果攻擊者向服務(wù)器發(fā)送較長(zhǎng)Header頭的PROPFIND請(qǐng)求，就可能導(dǎo)致漏洞被利用。成功利用該漏洞攻擊者可以以IIS運(yùn)行權(quán)限在服務(wù)器上執(zhí)行任意命令。由于微軟已經(jīng)停止支持Windows2003及IIS6的版本，所以漏洞沒(méi)有補(bǔ)丁程序。用戶(hù)能選擇的就是使用更高版本的IIS替代原有的IIS6。

3.Adobe公司發(fā)布了3月的例行公告APSB17-07，用于修補(bǔ)Flash player軟件中的7個(gè)安全漏洞，這些漏洞可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行，敏感信息泄漏等。用戶(hù)應(yīng)該盡快升級(jí)您所使用的Flash產(chǎn)品。漏洞的詳情請(qǐng)參見(jiàn)：https://helpx.adobe.com/security/ products/flash-player/apsb17-07.html

4.Struts2是第二代基于Model-View-Controller(MVC)模型的Java企業(yè)級(jí)Web應(yīng)用框架，并成為當(dāng)時(shí)國(guó)內(nèi)外較為流行的容器軟件中間件。Jakarta是Apache組織下的一套Java解決方案的開(kāi)源軟件的名稱(chēng)，包括很多子項(xiàng)目。Struts就是jakarta的緊密關(guān)聯(lián)項(xiàng)目。此次Struts2被曝出存在兩個(gè)遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2017-5638、CVE-2017-5638），為此Apache發(fā)布了兩個(gè)安全公告（S2-046、S2-046），這兩個(gè)漏洞都是因?yàn)镾truts2框架中基于JakartaMultipart parser的文件上傳模塊在處理文件上傳(Multipart)的請(qǐng)求時(shí)沒(méi)有正確處理導(dǎo)致的，只不過(guò)漏洞是出在兩個(gè)不同的函數(shù)中。雖然Apache分兩次為這兩個(gè)漏洞發(fā)布安全公告，但是卻在一次版本更新中同時(shí)修復(fù)了這兩個(gè)漏洞，所以管理員只需將自己Struts2升級(jí)到最新版（Struts2 2.3.2、Struts2 2.5.10.1）即可。

（責(zé)編：高錦）

2017年2月~3月安全投訴事件統(tǒng)計(jì)

安全提示

Struts2漏洞是一直讓各學(xué)校頭疼的問(wèn)題，因?yàn)镾truts2作為底層的Web開(kāi)發(fā)框架，只有開(kāi)發(fā)人員才能接觸，系統(tǒng)一旦開(kāi)發(fā)完成就會(huì)移交給系統(tǒng)管理員來(lái)維護(hù)，如果移交過(guò)程中相關(guān)的文檔并不完善，那么系統(tǒng)管理員很可能根本不知道網(wǎng)站使用了Strtus2框架，也就不會(huì)想起來(lái)需要更新補(bǔ)丁，這種情況在一些開(kāi)源的WEB系統(tǒng)中尤為突出。要應(yīng)對(duì)這種問(wèn)題，學(xué)校下一步需要對(duì)自己的信息系統(tǒng)進(jìn)行摸底統(tǒng)計(jì)，建立起資產(chǎn)管理制度，這樣在出現(xiàn)問(wèn)題時(shí)就能夠及時(shí)快速地解決了。

（作者單位為中國(guó)教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）