文/鄭先偉

2017年12月教育網(wǎng)運行正常，未發(fā)現(xiàn)影響嚴(yán)重的安全事件。近期一個存在于TLS加密協(xié)議中的漏洞曝光，漏洞是因為TLS協(xié)議在使用RSA算法協(xié)商加密密鑰的過程中存在缺陷導(dǎo)致的。類似的漏洞早在1998年就被瑞士的密碼學(xué)家Daniel Bleichenbacher發(fā)現(xiàn)存在SSL協(xié)議中，但是相關(guān)機構(gòu)在獲知漏洞后并未重構(gòu)RSA算法的實現(xiàn)過程，而只是采用了臨時變通方法來增加漏洞利用的難度，這導(dǎo)致類似的漏洞也同樣存在升級后的TLS協(xié)議中。利用該漏洞，攻擊者可以通過選擇密文的攻擊方式來破解監(jiān)聽到的密文。目前針對該漏洞的攻擊被命名為ROBOT攻擊（Return Of Bleichenbacher’s Oracle Threat）。由于漏洞是存在RSA算法實現(xiàn)過程中，因此影響的范圍可能不僅是TLS協(xié)議，使用RSA算法來協(xié)商加密密鑰的應(yīng)用都有可能受到影響。目前已知該漏洞利用需要兩個先決條件，一是攻擊者可以監(jiān)聽到用戶和服務(wù)器之間的加密通訊，二是攻擊者可以跟服務(wù)器進(jìn)行大量的數(shù)據(jù)交互，因此對于需要TLS協(xié)議來實現(xiàn)強加密安全要求的應(yīng)用，可以通過關(guān)閉TLS協(xié)議中RSA算法支持來降低漏洞帶來的風(fēng)險。

2O17年11～12月安全投訴事件統(tǒng)計

近期沒有新增影響特別廣泛的蠕蟲病毒。

近期新增嚴(yán)重漏洞評述:

1. 微軟2017年12月的例行安全公告中修復(fù)的漏洞數(shù)量較少（共37個，其中嚴(yán)重等級的19個），涉及Windows系統(tǒng)及組件（5個），IE瀏覽器（23個），Edge瀏覽器（1個），Exchange Server（2個）、Flash player插件（1個）和Office軟件（5個）。這些漏洞中需要關(guān)注的是Malware Protection Engine 遠(yuǎn)程執(zhí)行代碼 漏 洞（CVE-2017-11937），Malware Protection Engine是Windows自帶殺毒軟件Windows Defender的防護(hù)引擎，當(dāng)用戶從網(wǎng)上下載文件時，該引擎會自動掃描并檢測文件安全性。但引擎在功能實現(xiàn)過程中存在漏洞，攻擊者可以制作針對該漏洞的特定文件，如果引擎掃描這些特制文件，會致內(nèi)存破壞，從而在系統(tǒng)上執(zhí)行任意命令。另外需要說明的是由于有越來越多的攻擊（APT攻擊和敲詐病毒）利用Offcie軟件的DDEAUTO技術(shù)，因此微軟通過2017年12月的Office更新（ADV170021）關(guān)閉了軟件中的DDE數(shù)據(jù)交換功能。鑒于上述漏洞帶來的危害，建議用戶盡快使用Windows自帶的自動更新功能進(jìn)行安全更新。

2. GoAhead是一個開源的輕量級Web Server，被大量應(yīng)用于嵌入式設(shè)備中（如攝像頭、小型路由器等），最近其出現(xiàn)了一個高危漏洞，3.6.5版本之前的GoAhead在開啟CGI功能時可以遠(yuǎn)程執(zhí)行任意代碼。目前GoAhead的官方已經(jīng)在最新版（3.6.5）中修復(fù)了該漏洞，但是用戶由于權(quán)限問題很難自行更新程序，需要等待嵌入式設(shè)備的廠商發(fā)布新的系統(tǒng)版本來完成修補，而這個過程通常會比較慢。建議用戶隨時關(guān)注相關(guān)嵌入式設(shè)備廠商發(fā)布的安全公告并及時更新，在補丁程序沒有出來之前，可以通過網(wǎng)絡(luò)的限制手段來降低相關(guān)漏洞被利用的風(fēng)險。

3. 2017年12月1日，Apache 官方發(fā)布了Struts2框架的最新版2.5.14.1，用于修補之前版本中存在的兩個漏洞，分別是S2-054拒絕服務(wù)漏洞和S2-055反序列化漏洞。利用這些漏洞可以對目標(biāo)Web服務(wù)器發(fā)動DOS攻擊或是反序列化代碼執(zhí)行攻擊。其中S2-055對應(yīng)的反序列化漏洞（CVE-2017-7525）2017年7月就被暴露出來了，但針對該漏洞的補丁直到2017年12月才出現(xiàn)。Struts2框架的漏洞2017年公布的數(shù)量較多，建議相關(guān)網(wǎng)站管理員要隨時關(guān)注廠商的動態(tài)，及時更新Struts2的版本。