文/鄭先偉

Apache Struts 2安全漏洞頻出

文/鄭先偉

5月教育網(wǎng)運行平穩(wěn)，未發(fā)現(xiàn)影響嚴重的安全事件。4月底出現(xiàn)的Apache struts2 S2-032漏洞（CVE-2016-3081）正在網(wǎng)絡上被利用。根據(jù)上交大對教育網(wǎng)內(nèi)網(wǎng)站的抽樣檢測數(shù)據(jù)顯示，其中706個采用Apache Struts 2作為容器軟件的網(wǎng)站中有29個網(wǎng)站存在S2-032漏洞，占比4.1%，而存在S2-016及更低版本遠程代碼執(zhí)行漏洞（如：S2-005）的網(wǎng)站有196個，占比28%。這些數(shù)據(jù)說明教育網(wǎng)內(nèi)網(wǎng)站的軟件版本更新速度非常的緩慢，大量網(wǎng)站對安全的重視程度還遠遠不夠。

網(wǎng)站依然是當前學校面臨的網(wǎng)絡安全工作重點。

5月沒有新增影響比較嚴重的木馬蠕蟲病毒。值得關注的是TeslaCrypt家族勒索病毒的開發(fā)者目前在網(wǎng)絡上公開了該病毒的通用解密秘鑰，使用這個秘鑰可以解密之前被TeslaCrypt病毒加密的文檔。如果您之前曾被該病毒加密了文檔，可以到各安全廠商下載解密軟件來還原文檔。需要提醒的是通用解密秘鑰只對被TeslaCrypt家族病毒加密的文檔有效，而對其他勒索病毒無效，尤其是那些使用了非對稱秘鑰算法的勒索病毒目前仍然沒有很好的解密辦法。

5月需要關注的漏洞有如下這些：

1. 微軟發(fā)布了今年5月的例行安全公告，本次公告共16個，其中7個為嚴重等級，9個為重要等級。這些公告共修補了包括Window系統(tǒng)、IE瀏覽器、Office辦公軟件、EDGE、.net framework及WEB APP中的36個安全漏洞，其中有8個安全漏洞可造成遠程代碼執(zhí)行。漏洞的詳細信息請參見：https://technet.microsoft.com/ zh-cn/library/security/ms16-may.aspx。

2. Adobe公司5月發(fā)布了兩個安全公告，用于修補Adobe Acrobat／Reader中的92個安全漏洞（https://helpx.adobe.com/ security/products/acrobat/apsb16-14.html），F(xiàn)lash player軟件中的25個安全漏洞（https:// helpx.adobe.com/security/products/flash-player/ apsb16-15.html），由于本次漏洞涉及PDF軟件，對于那些使用破解版Acrobat／Reader軟件的用戶可能無法自動升級，建議用戶使用正版軟件并升級到最新版。

3. Openssl官方在5月上旬發(fā)布了一個安全公告，用于修補Openssl軟件中的6個安全漏洞，其中有2個屬于高危漏洞，其中密文填塞漏洞（CVE-2016-2107）可能導致攻擊者利用中間人攻擊的方式來對加密數(shù)據(jù)進行中途解密，例如獲取用戶通過https協(xié)議加密后的登錄密碼。另一個高危漏洞（CVE-2016-2108）則是由兩個低風險漏洞共同造成的,當所有條件都滿足的情況下，這兩個漏洞可能導致攻擊者遠程執(zhí)行任意代碼。目前Openssl的開發(fā)團隊已經(jīng)在新版本中修補了這些漏洞，使用OPENSSL 1.0.1及1.0.2版本的用戶應該盡快更新自己的Openssl到最新版本（1.0.1t及1.0.2h），漏洞的詳情請參見：https://www.openssl.org/source/。

2016年4月～5月安全投訴事件統(tǒng)計

4. ImageMagick是一款開源的創(chuàng)建、編輯、合成圖片的軟件,可以讀取、轉(zhuǎn)換、寫入多種格式的圖片，遵守GPL許可協(xié)議，可運行于大多數(shù)的操作系統(tǒng)。ImageMagick在實現(xiàn)過程中存在一個安全漏洞。攻擊者利用漏洞上傳一個包含執(zhí)行代碼的惡意圖像到目標Web服務器上，可能獲取務器控制權限。由于ImageMagick屬于基礎組件，被集成在很多CMS系統(tǒng)中（如Wordpress等）用于圖片處理，如果權限控制不當就可能導致漏洞被利用，管理員應該檢查自己的網(wǎng)站系統(tǒng)中是否調(diào)用該圖片處理組件，如果有請及時修補漏洞，軟件的升級信息請參見：https://imagetragick.com/。

安全提示

Struts2漏洞一直是教育網(wǎng)內(nèi)網(wǎng)站存在比較突出的安全問題，主要的原因是很多網(wǎng)站的管理人員自身并不知道自己的網(wǎng)站使用了Struts2框架。目前我們正在聯(lián)合各方的力量推進對Struts2漏洞的處置工作，如果管理員收到相關的安全提示，請盡快落實漏洞的修補工作，以避免漏洞被人非法利用，造成不良影響。

（為中國教育和科研計算機網(wǎng)應急響應組）