近期网站安全事件的投诉量有上升趋势,网站漏洞的被发现主要得益于各大漏洞众测平台的报送,各平台报送来的事件大部分是安全爱好者测试出网站存在安全漏洞,但是并未进行恶意攻击,也有一小部分是已经检测到网站存在后门或是暗链。
4月需要关注的依然是敲诈者病毒,近期又有多个变种出现,甚至出现了直接锁定整个硬盘的敲诈病毒。用户要加强防范,不轻易点击来历不明的邮件附件,不随便访问不安全的网站,并及时备份系统上的重要数据文件。
4月需要关注的漏洞有如下这些:
1. 微软4月的例行安全公告共13项,其中6项为严重等级,7项为重要等级。这些公告共修补了Windows系统、IE浏览器、Office办公软件、Edge、.NET Framework、Skype商务版、微软Lync、Web App及Flash Player产品中的31个安全漏洞,其中多个漏洞可能导致远程执行任意代码,用户应该尽快使用Windows的自动更新功能安装相应的补丁。相关漏洞的详情请参见:https://technet.microsoft.com/library/ms16-apr.aspx。
2. Oracle公司于4月发布了今年第二季度的例行安全公告,此次公告修补了Oracle公司产品中136个安全漏洞,涉及的产品包括:Oracle数据库(5个)、中间件产品Fusion Middleware(22个)、企业管理器网格控制产品Oracle Enterprise Manager Grid Control(2个)、电子商务套装软件OracleE-Business Suite(7个)、供应链套装软件Oracle Supply Chain Products Suite(6个)、PeopleSoft产品(15个)、Berkeley DB(5个)、Virtualization(4个)、Financial Services Software(4个)、Retail Applications(3个)、Communications Applications(1个)、Health Sciences Applications(1个)、JDEdwards产品(1个)、 Java SE(9个)、OracleSun系统产品(18个)和MySQL数据库(22)。用户应该尽快更新相应的补丁程序。安全公告的详细信息请参见:http://www.oracle.com/technetwork/securityadvisory/cpuapr2016v3-2985753.html。
3. Apache发布了一个安全公告(https://cwiki.apache.org/confluence/display/WW/S2-032),提示Apache Struts2服务在开启动态方法调用(DMI)的情况下,可以被远程执行任意命令。漏洞影响Struts2的2.0.0 -2.3.28 (除2.3.20.2和2.3.24.2以外)版本。漏洞存在的原因是Struts 2的核心jar包-struts2core 中 存 在 一 个default.properties的默认配置文件用于配置全局信息,当 struts.enable. DynamicMethodInvocation= true,即系统开启动态方法调用时攻击者可以覆盖系统相关参数从而执行任意命令。目前漏洞的攻击代码已经在互联网上被公布。使用了Struts2框架的系统管理员应该尽快检查自己系统,并升级有问题的版本。相关漏洞详情及版本更新方法请参见:https://cwiki.apache.org/confluence/display/WW/ Migration+Guide。
安全提示
Struts2在高校中使用的范围很广泛,很多专有的业务系统都可能使用了Struts2框架进行开发。从历史的经验看,Struts2漏洞的利用生命周期非常长,这主要是因为Struts2是WEB系统的底层框架,很多系统管理员根本不清楚自己的网站是否使用了Struts2,从而忽略了补丁的更新。鉴于此次漏洞的风险,我们建议学校各业务系统的管理员尽快检查自己的系统是否使用了Struts2框架(如果不清楚请联系系统的开发人员),如果使用了Struts2框架且属于有漏洞的版本请尽快执行以下操作:
1. 升级Struts2框架至 2.3.20.2,2.3.24.2,2.3.28.1版本。 更新地址:https://cwiki.apache.org/confluence/ display/WW/Migration+Guide。2. 如果暂时不能更新Struts2版本,请关闭框架的动态调用功能来降低风险,具体的方式是修改Struts2的配置文件,将“struts.enable. DynamicMethodInvocation”的值设置为false,比如:
(作者单位为中国教育和科研计算机网应急响应组)