CCERT月報Struts2曝高危漏洞 高校修補速度明顯提升

文/鄭先偉

CCERT月報Struts2曝高危漏洞 高校修補速度明顯提升

文/鄭先偉

3月教育網運行平穩，未發現影響嚴重的攻擊事件。2月有兩個事件值得關注，一是Apche的Struts2又曝出兩個高危漏洞，不過得益于廣大院校對網絡信息安全的重視，這次有該漏洞的網站的修補速度較之前有了明顯提升，這是好現象，說明只要重視安全工作，漏洞本身就沒那么可怕了。另一個需要關注的事件是Cisco公司發布了一個安全預警，用于向用戶預警其存在于IOS／IOS XE系統之中的漏洞，這個漏洞影響Cisco公司旗下300多款不同型號的交換機。如果管理員開放了相關設備的TELNET遠程登錄服務，那么攻擊者無需用戶名和密碼就可以登錄并控制交換機。目前官方還沒給出修補的補丁程序，廠商建議用戶使用SSH協議服務替代原有的TELNET服務。

由于Struts2漏洞的出現，相關的網站漏洞事件數量有所上升。

近期沒有新增影響比較嚴重的木馬蠕蟲病毒。

3月需要關注的漏洞有如下這些：

1.微軟3月的公告共18個，其中9個為嚴重等級，9個為重要等級，這些公告共修補了Windows系統、IE瀏覽器、EDGE瀏覽器、office辦公軟件、Skype for Business、Microsoft Lync、Microsoft Silverlight、Server軟件、Microsoft 通信平臺和軟件、Adobe Flash Player、Office Services 和 Web 應用中存在的146個安全漏洞。利用這些漏洞攻擊者可以遠程執行代碼、權限提升及獲得敏感信息等。用戶應該盡快使用自動更新功能安裝補丁。公告的詳情請參見：https://technet.microsoft. com/zh-cn/library/security/ms17-jan.aspx

2.Windows 2003系統上的IIS6最近被曝出存在一個遠程溢出漏洞，如果攻擊者向服務器發送較長Header頭的PROPFIND請求，就可能導致漏洞被利用。成功利用該漏洞攻擊者可以以IIS運行權限在服務器上執行任意命令。由于微軟已經停止支持Windows2003及IIS6的版本，所以漏洞沒有補丁程序。用戶能選擇的就是使用更高版本的IIS替代原有的IIS6。

3.Adobe公司發布了3月的例行公告APSB17-07，用于修補Flash player軟件中的7個安全漏洞，這些漏洞可能導致遠程代碼執行，敏感信息泄漏等。用戶應該盡快升級您所使用的Flash產品。漏洞的詳情請參見：https://helpx.adobe.com/security/ products/flash-player/apsb17-07.html

4.Struts2是第二代基于Model-View-Controller(MVC)模型的Java企業級Web應用框架，并成為當時國內外較為流行的容器軟件中間件。Jakarta是Apache組織下的一套Java解決方案的開源軟件的名稱，包括很多子項目。Struts就是jakarta的緊密關聯項目。此次Struts2被曝出存在兩個遠程代碼執行漏洞（CVE-2017-5638、CVE-2017-5638），為此Apache發布了兩個安全公告（S2-046、S2-046），這兩個漏洞都是因為Struts2框架中基于JakartaMultipart parser的文件上傳模塊在處理文件上傳(Multipart)的請求時沒有正確處理導致的，只不過漏洞是出在兩個不同的函數中。雖然Apache分兩次為這兩個漏洞發布安全公告，但是卻在一次版本更新中同時修復了這兩個漏洞，所以管理員只需將自己Struts2升級到最新版（Struts2 2.3.2、Struts2 2.5.10.1）即可。

（責編：高錦）

2017年2月~3月安全投訴事件統計

安全提示

Struts2漏洞是一直讓各學校頭疼的問題，因為Struts2作為底層的Web開發框架，只有開發人員才能接觸，系統一旦開發完成就會移交給系統管理員來維護，如果移交過程中相關的文檔并不完善，那么系統管理員很可能根本不知道網站使用了Strtus2框架，也就不會想起來需要更新補丁，這種情況在一些開源的WEB系統中尤為突出。要應對這種問題，學校下一步需要對自己的信息系統進行摸底統計，建立起資產管理制度，這樣在出現問題時就能夠及時快速地解決了。

（作者單位為中國教育和科研計算機網應急響應組）