CCERT月报Struts2曝高危漏洞 高校修补速度明显提升

文/郑先伟

CCERT月报Struts2曝高危漏洞 高校修补速度明显提升

文/郑先伟

3月教育网运行平稳，未发现影响严重的攻击事件。2月有两个事件值得关注，一是Apche的Struts2又曝出两个高危漏洞，不过得益于广大院校对网络信息安全的重视，这次有该漏洞的网站的修补速度较之前有了明显提升，这是好现象，说明只要重视安全工作，漏洞本身就没那么可怕了。另一个需要关注的事件是Cisco公司发布了一个安全预警，用于向用户预警其存在于IOS／IOS XE系统之中的漏洞，这个漏洞影响Cisco公司旗下300多款不同型号的交换机。如果管理员开放了相关设备的TELNET远程登录服务，那么攻击者无需用户名和密码就可以登录并控制交换机。目前官方还没给出修补的补丁程序，厂商建议用户使用SSH协议服务替代原有的TELNET服务。

由于Struts2漏洞的出现，相关的网站漏洞事件数量有所上升。

近期没有新增影响比较严重的木马蠕虫病毒。

3月需要关注的漏洞有如下这些：

1.微软3月的公告共18个，其中9个为严重等级，9个为重要等级，这些公告共修补了Windows系统、IE浏览器、EDGE浏览器、office办公软件、Skype for Business、Microsoft Lync、Microsoft Silverlight、Server软件、Microsoft 通信平台和软件、Adobe Flash Player、Office Services 和 Web 应用中存在的146个安全漏洞。利用这些漏洞攻击者可以远程执行代码、权限提升及获得敏感信息等。用户应该尽快使用自动更新功能安装补丁。公告的详情请参见：https://technet.microsoft. com/zh-cn/library/security/ms17-jan.aspx

2.Windows 2003系统上的IIS6最近被曝出存在一个远程溢出漏洞，如果攻击者向服务器发送较长Header头的PROPFIND请求，就可能导致漏洞被利用。成功利用该漏洞攻击者可以以IIS运行权限在服务器上执行任意命令。由于微软已经停止支持Windows2003及IIS6的版本，所以漏洞没有补丁程序。用户能选择的就是使用更高版本的IIS替代原有的IIS6。

3.Adobe公司发布了3月的例行公告APSB17-07，用于修补Flash player软件中的7个安全漏洞，这些漏洞可能导致远程代码执行，敏感信息泄漏等。用户应该尽快升级您所使用的Flash产品。漏洞的详情请参见：https://helpx.adobe.com/security/ products/flash-player/apsb17-07.html

4.Struts2是第二代基于Model-View-Controller(MVC)模型的Java企业级Web应用框架，并成为当时国内外较为流行的容器软件中间件。Jakarta是Apache组织下的一套Java解决方案的开源软件的名称，包括很多子项目。Struts就是jakarta的紧密关联项目。此次Struts2被曝出存在两个远程代码执行漏洞（CVE-2017-5638、CVE-2017-5638），为此Apache发布了两个安全公告（S2-046、S2-046），这两个漏洞都是因为Struts2框架中基于JakartaMultipart parser的文件上传模块在处理文件上传(Multipart)的请求时没有正确处理导致的，只不过漏洞是出在两个不同的函数中。虽然Apache分两次为这两个漏洞发布安全公告，但是却在一次版本更新中同时修复了这两个漏洞，所以管理员只需将自己Struts2升级到最新版（Struts2 2.3.2、Struts2 2.5.10.1）即可。

（责编：高锦）

2017年2月~3月安全投诉事件统计

安全提示

Struts2漏洞是一直让各学校头疼的问题，因为Struts2作为底层的Web开发框架，只有开发人员才能接触，系统一旦开发完成就会移交给系统管理员来维护，如果移交过程中相关的文档并不完善，那么系统管理员很可能根本不知道网站使用了Strtus2框架，也就不会想起来需要更新补丁，这种情况在一些开源的WEB系统中尤为突出。要应对这种问题，学校下一步需要对自己的信息系统进行摸底统计，建立起资产管理制度，这样在出现问题时就能够及时快速地解决了。

（作者单位为中国教育和科研计算机网应急响应组）