杂志汇中国教育网络

8月Apache旗下的Struts2框架又曝出存在严重的安全漏洞，允许攻击者利用漏洞远程控制Web服务器。Struts2是一个基于MVC设计模式的Web应用框架，在Web应用中负责处理接收用户数据，调用业务处理，以及展示数据的工作。Struts2是目前世界上使用最为广泛的应用框架之一，大量的大型业务网站都是在这个框架基础上搭建的。由于Struts2功能复杂，其在实现过程中存在的漏洞风险较多，且多数属于高危漏洞。有数据显示，互联网上发生的多起大规模用户信息泄漏事件均与Struts2漏洞有关，我们统计的高校网站安全事件数据也显示，不少网站是因为存在Struts2漏洞而被攻击的。因此我们建议学校在开发新业务系统时注意，如果不能保证持续的技术开发和维护投入，就不要选择Struts2框架作为开发框架。

高招期间，与网站有关的安全事件数量呈增多趋势。

近期没有新增需要关注的木马病毒。

近期新增严重漏洞评述：

1.微软8月的例行安全公告修复了其多款产品存在的155个安全漏洞。受影响的产品包括Windows 10 v1803 and Server 2016（24个）、Windows 10 v1709（24个）、Windows 10 v1703（22个）、Windows 8.1 and Windows Server2012 R2（14 个）、Windows Server 2012（12个）、Windows 7 and Windows Server 2008R2（16个）、Windows Server 2008（12个）、Internet Explorer（9个）、Microsoft Edge（16个）和Microsoft Office（6个）。建议用户应该尽快使用Windows自动更新功能进行补丁更新。

2.Adobe公司8月的安全公告中有两个需要关注，一是针对Flash player软件的安全公告（https://helpx.adobe.com/ security/products/flash-player/apsb18-25. html），另一个则是针对Adobe Acrobat/ Reader软件的公告（https://helpx.adobe. com/security/products/acrobat/apsb18-29. html）。前者涉及Flash Player软件的五处安全漏洞，后者涉及Acrobat/Reader软件的两处安全漏洞，利用这些漏洞，攻击者可以在目标系统上远程执行任意代码或是拒绝服务攻击。用户可以选择启用相关软件的自动更新功能来进行版本更新，也可以到官网手动下载最新的版本进行安装。

3. 本月 Apache Struts2 发布公告（S2-057）显示其 Struts2框架中存在远程代码执行漏洞（影响版本：Apache Struts2 >=2.3，<=2.3.34、Apache Struts2 >=2.5，<=2.5.16）。漏洞在下列两种情况下可被促发：一是系统定义XML配置时namespace值未被设置且上层动作配置（Action Configuration）中未设置或用通配符命名空间值。第二种情况是url标签未设置value和action值且上层动作未设置或用通配符命名空间值。满足上述条件之一攻击者就可利用漏洞执行RCE攻击，一旦攻击成功，攻击者可以以服务程序的权限执行任意命令。建议使用了相关框架的管理员尽快升级Struts2的版本。用户可以参考公告中提示的方法进行更新及修补：https://cwiki.apache.org/confluence/ display/WW/S2-057?tdsourcetag=s_pcqq_ aiomsg

（责编：杨燕婷）

2018年7~8月安全投诉事件统计安全提示

Struts2的漏洞作为一种顽疾一直存在学校的部分网站中，究其原因主要还是因为这些网站缺乏专业的技术维护，后期的维护人员可能根本不清楚自己维护的网站的是基于Struts2搭建的，因此导致相关漏洞长期存在。针对这种情况，建议学校对所辖范围内的网站及业务系统进行资产摸底及登记，对网站所使用的系统及基础构架进行登记备案，并对使用了Struts2框架的网站持续跟踪关注。

（作者单位为中国教育和科研计算机网应急响应组）