文/鄭先偉

8月Apache旗下的Struts2框架又曝出存在嚴(yán)重的安全漏洞，允許攻擊者利用漏洞遠(yuǎn)程控制Web服務(wù)器。Struts2是一個(gè)基于MVC設(shè)計(jì)模式的Web應(yīng)用框架，在Web應(yīng)用中負(fù)責(zé)處理接收用戶數(shù)據(jù)，調(diào)用業(yè)務(wù)處理，以及展示數(shù)據(jù)的工作。Struts2是目前世界上使用最為廣泛的應(yīng)用框架之一，大量的大型業(yè)務(wù)網(wǎng)站都是在這個(gè)框架基礎(chǔ)上搭建的。由于Struts2功能復(fù)雜，其在實(shí)現(xiàn)過程中存在的漏洞風(fēng)險(xiǎn)較多，且多數(shù)屬于高危漏洞。有數(shù)據(jù)顯示，互聯(lián)網(wǎng)上發(fā)生的多起大規(guī)模用戶信息泄漏事件均與Struts2漏洞有關(guān)，我們統(tǒng)計(jì)的高校網(wǎng)站安全事件數(shù)據(jù)也顯示，不少網(wǎng)站是因?yàn)榇嬖赟truts2漏洞而被攻擊的。因此我們建議學(xué)校在開發(fā)新業(yè)務(wù)系統(tǒng)時(shí)注意，如果不能保證持續(xù)的技術(shù)開發(fā)和維護(hù)投入，就不要選擇Struts2框架作為開發(fā)框架。

高招期間，與網(wǎng)站有關(guān)的安全事件數(shù)量呈增多趨勢(shì)。

近期沒有新增需要關(guān)注的木馬病毒。

近期新增嚴(yán)重漏洞評(píng)述：

1.微軟8月的例行安全公告修復(fù)了其多款產(chǎn)品存在的155個(gè)安全漏洞。受影響的產(chǎn)品包括Windows 10 v1803 and Server 2016（24個(gè)）、Windows 10 v1709（24個(gè)）、Windows 10 v1703（22個(gè)）、Windows 8.1 and Windows Server2012 R2（14個(gè)）、Windows Server 2012（12個(gè)）、Windows 7 and Windows Server 2008R2（16個(gè)）、Windows Server 2008（12個(gè)）、Internet Explorer（9個(gè)）、Microsoft Edge（16個(gè)）和Microsoft Office（6個(gè)）。建議用戶應(yīng)該盡快使用Windows自動(dòng)更新功能進(jìn)行補(bǔ)丁更新。

2.Adobe公司8月的安全公告中有兩個(gè)需要關(guān)注，一是針對(duì)Flash player軟件的安全公告（https://helpx.adobe.com/security/products/flash-player/apsb18-25.html），另一個(gè)則是針對(duì)Adobe Acrobat/Reader軟件的公告（https://helpx.adobe.com/security/products/acrobat/apsb18-29.html）。前者涉及Flash Player軟件的五處安全漏洞，后者涉及Acrobat/Reader軟件的兩處安全漏洞，利用這些漏洞，攻擊者可以在目標(biāo)系統(tǒng)上遠(yuǎn)程執(zhí)行任意代碼或是拒絕服務(wù)攻擊。用戶可以選擇啟用相關(guān)軟件的自動(dòng)更新功能來進(jìn)行版本更新，也可以到官網(wǎng)手動(dòng)下載最新的版本進(jìn)行安裝。

2018年7～8月安全投訴事件統(tǒng)計(jì)

3.本月Apache Struts2發(fā)布公告（S2-057）顯示其 Struts2框架中存在遠(yuǎn)程代碼執(zhí)行漏洞（影響版本：Apache Struts2 >=2.3，<=2.3.34、Apache Struts2>=2.5，<=2.5.16）。漏洞在下列兩種情況下可被促發(fā)：一是系統(tǒng)定義XML配置時(shí)namespace值未被設(shè)置且上層動(dòng)作配置（Action Configuration）中未設(shè)置或用通配符命名空間值。第二種情況是url標(biāo)簽未設(shè)置value和action值且上層動(dòng)作未設(shè)置或用通配符命名空間值。滿足上述條件之一攻擊者就可利用漏洞執(zhí)行RCE攻擊，一旦攻擊成功，攻擊者可以以服務(wù)程序的權(quán)限執(zhí)行任意命令。建議使用了相關(guān)框架的管理員盡快升級(jí)Struts2的版本。用戶可以參考公告中提示的方法進(jìn)行更新及修補(bǔ)：https://cwiki.apache.org/confluence/display/WW/S2-057?tdsourcetag=s_pcqq_aiomsg

安全提示

Struts2的漏洞作為一種頑疾一直存在學(xué)校的部分網(wǎng)站中，究其原因主要還是因?yàn)檫@些網(wǎng)站缺乏專業(yè)的技術(shù)維護(hù)，后期的維護(hù)人員可能根本不清楚自己維護(hù)的網(wǎng)站的是基于Struts2搭建的，因此導(dǎo)致相關(guān)漏洞長(zhǎng)期存在。針對(duì)這種情況，建議學(xué)校對(duì)所轄范圍內(nèi)的網(wǎng)站及業(yè)務(wù)系統(tǒng)進(jìn)行資產(chǎn)摸底及登記，對(duì)網(wǎng)站所使用的系統(tǒng)及基礎(chǔ)構(gòu)架進(jìn)行登記備案，并對(duì)使用了Struts2框架的網(wǎng)站持續(xù)跟蹤關(guān)注。