CCERT月报:Struts2漏洞已成高校网络安全顽疾(转)

 Struts2漏洞已成高校网络安全顽疾 建议学校加大信息系统巡查力度

  9月教育网运行正常,未发现影响严重的安全事件。近期安全形势较为严峻,学校要加大安全巡查的力度,对学校的信息系统进行排查,对于那些有严重安全隐患的信息系统必须及时采取技术措施进行防范,如果信息系统仅是对校内提供服务,建议采取校内限制访问的措施,来降低被攻击的风险。

  近期新增严重漏洞评述:

  1.微软9月的例行安全公告中修复了其多款产品存在的81个安全漏洞(严重等级的21个),涉及的产品包括,IE浏览器、Edge浏览器、Windows内核、微软Office办公软件、Adobe的Flash播放器、LyncSkype、微软Exchange服务器和.NETFramework。其中需要特别关注的是.NET Framework远程执行代码漏洞(CVE-2017-8759),当Microsoft.NET Framework处理不受信任的输入时,存在远程执行代码漏洞。成功利用使用.NET框架软件中此漏洞的攻击者可以控制受影响的系统,进而使用当前用户的权限执行任意命令,因此对那些用户权限配置较低的用户,该漏洞的危害性要低很多。攻击者可以通过引诱用户点击特定的恶意文档来触发漏洞,目前网络上已经检测到利用该漏洞进行的攻击。建议用户尽快使用系统的自动更新功能进行更新。

  2.Apache Struts2 REST插件存在S2-052远程代码执行漏洞,Struts2是第二代基于Model-View-Controller(MVC)模型的Java企业级Web应用框架,并成为国内外较为流行的容器软件中间件。

  Xstream是一种OXMapping技术,是用来处理XML文件序列化的框架,在将JavaBean序列化或将XML文件反序列化的时候,不需要其他辅助类和映射文件。Struts2的REST插件使用带有XStream例程的XStreamHandler执行反序列化操作,但在反序列化过程中未做任何类型过滤,导致攻击者可能在反序列化XML负载时构造恶意的XML内容执行任意代码。目前该漏洞的利用代码已经在网络上被公布,并且网络上已经检测到针对该漏洞的大量扫描。不过从目前网络扫描的统计情况看,启用了该插件的Struts2网站的比例数量较低。建议使用了Struts2框架的网站管理员在条件允许的情况下尽快升级Struts2的版本到最新,下载地址:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.13。

  3.蓝牙(Bluetooth)协议被曝出存在多个安全漏洞,由于是协议漏洞,会影响大部分使用了蓝牙功能的操作系统,包括安卓、IOS、Windows、Linux等。攻击者可通过蓝牙(Bluetooth)协议远程不经过任何传统网络介质发起攻击,此类攻击形式被命名为“BlueBorne”。目前各操作系统均已针对漏洞进行了修补,用户只需更新操作系统版本即可,如果暂时无法更新操作系统版本(如手机),建议临时禁用蓝牙功能。

  4.Apache Tomcat是轻量级的Web服务,用于支持JSP的网站开发环境,在高校内使用的范围较为广泛。Apache Tomcat7.0.81之前的版本中存在信息泄露与远程代码执行漏洞(CVE-2017-12616、CVE-2017-12615),当Tomcat中启用了VirtualDirContext时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由VirtualDirContext提供支持资源服务的JSP源代码,从而造成代码信息泄露。如果Tomcat运行在Windows操作系统时,且启用了HTTPPUT请求方法(例如,将readonly初始化参数由默认值设置为false),攻击者将有可能通过精心构造的攻击请求数据包向服务器上传包含任意代码的JSP文件,JSP文件中的恶意代码将能被服务器执行,导致服务器上的数据泄露或获取服务器权限。使用了Tomcat作为Web服务程序的管理员应该尽快下载最新版本安装,下载地址:http://tomcat.apache.org/download-70.cgi#7.0.81。

  安全提示

  Struts2框架的漏洞一直是高校网络中存在的安全顽疾,由于学校中有很多信息系统在开发阶段使用了Struts2作为底层框架,而后期运行的人员并不清楚底层架构无法判断漏洞是否存在,如果开发人员离职或是停止技术支持,那漏洞就可能长期存在。建议学校能够组织相关力量对管辖范围内的信息系统进行排查,确认使用了Struts2框架的网站数量,并记录在案,对这些网站进行长期的跟踪监测,避免相关漏洞被人非法利用。

作者单位为中国教育和科研计算机网应急响应组

时间: 2024-10-02 05:54:01

CCERT月报:Struts2漏洞已成高校网络安全顽疾(转)的相关文章

Struts2漏洞利用原理及OGNL机制

Struts2漏洞利用原理及OGNL机制研究   概述 在MVC开发框架中,数据会在MVC各个模块中进行流转.而这种流转,也就会面临一些困境,就是由于数据在不同MVC层次中表现出不同的形式和状态而造成的: View层-表现为字符串展示 数据在页面上是一个扁平的.不带数据类型的字符串,无论数据结构有多复杂,数据类型有多丰富,到了展示的时候,全都一视同仁的成为字符串在页面上展现出来.数据在传递时,任何数据都都被当作字符串或字符串数组来进行. Controller层-表现为java对象 在控制层,数据

手游App山寨破解的三宗罪:背后已成产业链

2013年手游行业发展势头开始越显强劲,手游开发者的规模与收入均实现了大幅增长.但是,在手游高速发展的同时,由于手游行业的快速的发展,一些问题,例如手游App破解.盗版也日益凸显.手机游戏软件被破解后注入恶意代码.盗取用户财产.窃取用户设备信息的现象屡见不鲜.如今,种类繁多的手游App市场,繁华背后暗藏多重隐患,致使手游App背上了"吸金炸弹"的罪名. <2048>引发的"连锁反应" <2048>是一款现象级的游戏,其在全球的风靡程度甚至超越

物联网已成趋势 须多方一起参与

物联网已成趋势 在消费电子领域,最近一两年物联网也被炒得沸沸扬扬,大家都想参与这场游戏,让一切设备互联,包括可穿戴设备.家用电器.衣服鞋帽等等,所有一切都争先恐后想连到"云端".总体来看,对消费电子而言这是好趋势. 全国众多城市启动物联网大规模产业化工作,地方政府积极发展物联网产业,其物联网名城--无锡,是中国唯一的国家传感网创新示范区,2013年物联网规模已超过1400亿元,引进的物联网高层次人才已超过2000人,投入运营的物联网企业达794家,从业人员突破12万人.根据国家973物

Struts2漏洞之S2-016漏洞分析与exp编写

 1.概述 S2-016是13年7月爆出的,那时候的我还没涉及Web安全研究.这次迟到的分析也算是对过去的补充.这个漏洞影响了Struts 2.3.15.1之前的所有版本.问题主要出在对于特殊URL处理中,redirect与redirectAction后面跟上Ognl表达式会被服务器执行. 2.漏洞分析 分析开源框架的漏洞还是从其源码入手,问题出在了DefaultActiionMapper上,这个类主要是用来处理一些灵活的URL调用,比如处理Action中动态调用方法的形式,如: http:

IBM扫描工具AppScan漏洞“已解密的登陆请求”修复解决方案

最近在修复系统漏洞时,使用新版AppScan扫描IIS站点(WebForm)出现一个严重漏洞“已解密的登陆请求”. 扫描工具修复的建议为在登陆界面不使用含“password”类型的控件或加密录入参数. 按其所给的建议,我做了如下修改:将password控件修改为textbox控件.使用js替换输入的内容.并将录入的结果录入到隐藏控件中提交时去隐藏控件的值. 修改后部署更新站点重新扫描并不能解决问题. 通过百度.bing等搜索工具找了一下两个解决方案: 1.站点登陆采用ssl方式 2.对登陆请求的

付费只是开始,会员已成在线视频最大生产力

近日,艾瑞咨询发布了<中国在线视频付费市场解析>研究报告,这份报告透露出了三个非常重要的信息:1.2016年国内视频付费用户数量在保持高速增长,会员用户数量可能达到5441.8万人,渗透率超过10%:2.2016年中国在线视频用户付费市场规模为96.2亿元,同比增长为90.8%:3.在2016年的在线视频收入当中,广告收入占比为53.4%,用户付费收入占比为15.5%,在线视频市场规模中用户付费收入占比正在不断攀升. 视频用户付费习惯大器渐成 这几大信息无疑对整个行业透露出了重要的信号:影视会

”互联网+“时代,服务众包新模式已成大势所趋

随着全球分享经济的快速增长,基于互联网等方式的创新创业服务也蓬勃发展."众包"这种既可以高效快速解决问题,又能大大降低企业成本的外包模式,也在短短几年之间备受关注. 在互联网技术发展迅猛的当下,高昂的技术.人才.设备等成本在一定程度上限制了一批企业的生产和扩大,这也促使企业重新寻找突破点.2015年9月,国务院印发的<关于加快构建大众创业万众创新支撑平台的指导意见>中提出,积极发展众包,即汇众力增就业,借助互联网等手段,将传统由特定企业和机构完成的任务向自愿参与的所有企业和

struts2漏洞原理及解决办法

1.原理 Struts2的中心是运用的webwork结构,处置 action时号码大全经过调用底层的getter/setter办法来处置http的参数,它将每个http参数声明为一个ONGL(这里是ONGL的介绍)语句.当关键词挖掘工具咱们提交一个http参数: ?user.address.city=Bishkek&user['favoriteDrink']=kumys ONGL将它转换为: action.getUser().getAddress().setCity("Bishkek&q

struts2漏洞与修复

步骤: 1.下载struts-2.3.16.3-all, D:\TEST\struts2.3.16.3 2.替换jar,参考 http://blog.csdn.net/spyjava/article/details/13766335 3.修改web.xml     <filter>         <filter-name>struts2</filter-name>         <filter-class>org.apache.struts2.dispa