Apache Struts 2安全漏洞频出

文/郑先伟

Apache Struts 2安全漏洞频出

文/郑先伟

5月教育网运行平稳，未发现影响严重的安全事件。4月底出现的Apache struts2 S2-032漏洞（CVE-2016-3081）正在网络上被利用。根据上交大对教育网内网站的抽样检测数据显示，其中706个采用Apache Struts 2作为容器软件的网站中有29个网站存在S2-032漏洞，占比4.1%，而存在S2-016及更低版本远程代码执行漏洞（如：S2-005）的网站有196个，占比28%。这些数据说明教育网内网站的软件版本更新速度非常的缓慢，大量网站对安全的重视程度还远远不够。

网站依然是当前学校面临的网络安全工作重点。

5月没有新增影响比较严重的木马蠕虫病毒。值得关注的是TeslaCrypt家族勒索病毒的开发者目前在网络上公开了该病毒的通用解密秘钥，使用这个秘钥可以解密之前被TeslaCrypt病毒加密的文档。如果您之前曾被该病毒加密了文档，可以到各安全厂商下载解密软件来还原文档。需要提醒的是通用解密秘钥只对被TeslaCrypt家族病毒加密的文档有效，而对其他勒索病毒无效，尤其是那些使用了非对称秘钥算法的勒索病毒目前仍然没有很好的解密办法。

5月需要关注的漏洞有如下这些：

1. 微软发布了今年5月的例行安全公告，本次公告共16个，其中7个为严重等级，9个为重要等级。这些公告共修补了包括Window系统、IE浏览器、Office办公软件、EDGE、.net framework及WEB APP中的36个安全漏洞，其中有8个安全漏洞可造成远程代码执行。漏洞的详细信息请参见：https://technet.microsoft.com/ zh-cn/library/security/ms16-may.aspx。

2. Adobe公司5月发布了两个安全公告，用于修补Adobe Acrobat／Reader中的92个安全漏洞（https://helpx.adobe.com/ security/products/acrobat/apsb16-14.html），Flash player软件中的25个安全漏洞（https:// helpx.adobe.com/security/products/flash-player/ apsb16-15.html），由于本次漏洞涉及PDF软件，对于那些使用破解版Acrobat／Reader软件的用户可能无法自动升级，建议用户使用正版软件并升级到最新版。

3. Openssl官方在5月上旬发布了一个安全公告，用于修补Openssl软件中的6个安全漏洞，其中有2个属于高危漏洞，其中密文填塞漏洞（CVE-2016-2107）可能导致攻击者利用中间人攻击的方式来对加密数据进行中途解密，例如获取用户通过https协议加密后的登录密码。另一个高危漏洞（CVE-2016-2108）则是由两个低风险漏洞共同造成的,当所有条件都满足的情况下，这两个漏洞可能导致攻击者远程执行任意代码。目前Openssl的开发团队已经在新版本中修补了这些漏洞，使用OPENSSL 1.0.1及1.0.2版本的用户应该尽快更新自己的Openssl到最新版本（1.0.1t及1.0.2h），漏洞的详情请参见：https://www.openssl.org/source/。

2016年4月～5月安全投诉事件统计

4. ImageMagick是一款开源的创建、编辑、合成图片的软件,可以读取、转换、写入多种格式的图片，遵守GPL许可协议，可运行于大多数的操作系统。ImageMagick在实现过程中存在一个安全漏洞。攻击者利用漏洞上传一个包含执行代码的恶意图像到目标Web服务器上，可能获取务器控制权限。由于ImageMagick属于基础组件，被集成在很多CMS系统中（如Wordpress等）用于图片处理，如果权限控制不当就可能导致漏洞被利用，管理员应该检查自己的网站系统中是否调用该图片处理组件，如果有请及时修补漏洞，软件的升级信息请参见：https://imagetragick.com/。

安全提示

Struts2漏洞一直是教育网内网站存在比较突出的安全问题，主要的原因是很多网站的管理人员自身并不知道自己的网站使用了Struts2框架。目前我们正在联合各方的力量推进对Struts2漏洞的处置工作，如果管理员收到相关的安全提示，请尽快落实漏洞的修补工作，以避免漏洞被人非法利用，造成不良影响。

（为中国教育和科研计算机网应急响应组）