综述:
3月教育网运行平稳,未发现影响严重的攻击事件。2月有两个事件值得关注,一是Apche的Struts2又爆出两个高危漏洞,不过得益于广大院校对网络信息安全的重视,这次有该漏洞的网站的修补速度较之前有了明显提升,这是好现象,说明只要重视安全工作,漏洞本身就没那么可怕了。另一个需要关注的事件是Cisco公司发布了一个安全预警,用于向用户预警其一个存在于IOS/IOS XE系统之中的漏洞,这个漏洞影响Cisco公司旗下300多款不同型号的交换机。如果管理员开放了相关设备的TELNET远程登录服务,那么攻击者无需用户名和密码就可以登录并控制交换机。目前官方还没给出修补的补丁程序,厂商建议用户使用SSH协议服务替代原有的TELNET服务。
安全投诉事件统计:
由于Struts2漏洞的出现,相关的网站漏洞事件数量有所上升。
病毒与木马:
近期没有新增影响比较严重的木马蠕虫病毒。
近期新增严重漏洞评述:
3月需要关注的漏洞有如下这些:
1.微软3月的公告共18个,其中9个为严重等级,9个为重要等级,这些公告共修补了windows系统、IE浏览器、EDGE浏览器、office办公软件、Skype for Business、Microsoft Lync、Microsoft Silverlight、Server软件、Microsoft 通信平台和软件、Adobe Flash Player、Office Services 和 Web 应用中存在的146个安全漏洞。利用这些漏洞攻击者可以远程执行代码、权限提升及获得敏感信息等。用户应该尽快使用自动更新功能安装补丁。公告的详情请参见:https://technet.microsoft.com/zh-cn/library/security/ms17-jan.aspx
2.Windows 2003系统上的IIS6最近被曝出存在一个远程溢出漏洞,如果攻击者向服务器发送较长header头的PROPFIND请求,就可能导致漏洞被利用。成功利用该漏洞攻击者可以以IIS运行权限在服务器上执行任意命令。由于微软已经停止支持Windows2003及IIS6的版本,所以漏洞没有补丁程序。用户能选择的就是使用更高版本的IIS替代原有的IIS6。
3.Adobe公司发布了3月份的例行公告APSB17-07,用于修补Flash player软件中的7个安全漏洞,这些漏洞可能导致远程代码执行,敏感信息泄漏等。用户应该尽快升级您所使用的Flash产品。漏洞的详情请参见:https://helpx.adobe.com/security/products/flash-player/apsb17-07.html
4.Struts2是第二代基于Model-View-Controller(MVC)模型的Java企业级Web应用框架,并成为当时国内外较为流行的容器软件中间件。Jakarta是Apache组织下的一套Java解决方案的开源软件的名称,包括很多子项目。Struts就是jakarta的紧密关联项目。此次Struts2被曝出存在两个远程代码执行漏洞(CVE-2017-5638、CVE-2017-5638),为此Apache发布了两个安全公告(S2-046、S2-046),这两个漏洞都是因为Struts2框架中基于JakartaMultipart parser的文件上传模块在处理文件上传(Multipart)的请求时没有正确处理导致的,只不过漏洞是出在两个不同的函数中。虽然Apache分两次为这两个漏洞发布了安全公告,但是却在一次版本更新中同时修复了这两个漏洞,所以管理员只需将自己Struts2升级到最新版(Struts2 2.3.2、Struts2 2.5.10.1)即可。
安全提示:
Struts2的漏洞一直是让各学校头疼的问题,因为Struts2作为底层的web开发框架,只有开发人员才会接触,系统一旦开发完成就会移交个系统管理员来维护,如果移交过程中相关的文档并不完善的,那么系统管理员很可能根本不知道网站使用了Strtus2框架,也就不会想起来需要更新补丁了,这种情况在一些开源的WEB系统中尤为突出。要应对这种问题,学校下一步需要对自己的信息系统进行摸底统计,建立起资产管理制度,这样在出现问题时就能够及时快速的解决了。(作者单位为中国教育和科研计算机网应急响应组)
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。