CCERT2015年12月Java反序列化漏洞問題持續(xù)發(fā)酵

文/鄭先偉

?

CCERT2015年12月Java反序列化漏洞問題持續(xù)發(fā)酵

文/鄭先偉

2015年12月教育網運行平穩(wěn)，未發(fā)現影響嚴重的安全事件。11月提到的Java反序列化漏洞的問題繼續(xù)發(fā)酵中，目前網絡上各類穩(wěn)定的漏洞利用代碼已經發(fā)布了，并且也有大量的安全組織對全網存在該漏洞的主機進行了掃描，得到數據顯示國內受影響的主機有三千多臺，其中也不乏有教育網內的機器，這些涉事的服務器多數是學校的各種應用系統(tǒng)（如教務、招生、財務系統(tǒng)等），涉及的Web容器組件包括JBoss、WebLogic和Jenkins這三種，其中WebLogic的數量最多。由于這些都是Apache的底層組件，可能有漏洞的應用系統(tǒng)管理員自己也不是很清楚系統(tǒng)底層是否使用了相關組件，我們正在核實漏洞系統(tǒng)主機的信息，并逐步通知相關用戶。管理員也可以聯系相關系統(tǒng)的開發(fā)人員或廠商來確定是否可能存在漏洞。

12月安全投訴事件數量和比例較往月沒有太大變化。

12月沒有新增影響范圍廣的蠕蟲病毒。

12月需要關注的漏洞有如下這些：

2015年11月～12月安全投訴事件統(tǒng)計

1. 微軟12月的安全公告共12個，其中8個為嚴重等級，4個為重要等級。這些公告共修補了包括Windows系統(tǒng)、IE瀏覽器、Office辦公軟件、Windows DNS、Edge、.NET Framework、skype for Business、Lync及silverlight中存在的71個安全漏洞。用戶應該盡快更新相應的補丁程序以降低漏洞帶來的風險。相關漏洞的詳細信息可參見：https://technet. microsoft.com/zh-CN/library/security/ms15-dec.aspx。

2. Adobe公司12月的例行安全公告中有關Flash player軟件的更新需要引起關注，因為此次更新共修補了Flash player軟件中79個安全漏洞，這些漏洞中大部分可能導致遠程任意代碼執(zhí)行。用戶應該盡快更新自己系統(tǒng)上的Flash player軟件。相關的漏洞信息可參見：https://helpx. adobe.com/security/products/flash-player/ apsb15-32.html。

3. Juniper ScreenOS 系統(tǒng)內置口令后門漏洞(CVE-2015-7755)，ScreenOS 是Juniper相關防火墻產品（包括SSG、Netscreen）的內置操作系統(tǒng)。最近有研究人員發(fā)現在其幾個特定版本（6.3.0r17、6.3.0r18、6.3.0r19以及6.3.0r20）的ScreenOS系統(tǒng)中被內置了一個超級口令，攻擊者只需使用任意的現有系統(tǒng)中存在的用戶名和該超級口令登錄系統(tǒng)就可以獲得系統(tǒng)管理員權限，在系統(tǒng)日志中這個登錄行為及相關操作會被記錄為System用戶登錄的信息。目前還不清楚是什么人把這個超級口令留在了系統(tǒng)當中，但是廠商已經發(fā)布了新的版本以清楚相關問題口令。使用Juniper 防火墻的系統(tǒng)管理員要盡快檢查自己的防火墻系統(tǒng)版本是否受這個漏洞影響，并及時升級系統(tǒng)，廠商的公告請參見http://kb.juniper. net/InfoCenter/index?page=content&id=JSA1 0713&actp=search，如果不能及時更新，請限制防火墻的登錄地址范圍。

4. WinRAR是用戶使用較多的解壓縮軟件之一，最近有研究人員發(fā)現WinRAR 5.30 beta 4中存在一個安全漏洞，可能導致攻擊者使用當前用戶的權限在系統(tǒng)上執(zhí)行任意代碼，攻擊者只需要讓用戶點擊打開特定的壓縮包就行。這個漏洞可能被用來在網絡下載過程中傳播木馬病毒，并避開殺毒軟件的防護。目前官方已經在新版本中修補了該漏洞，建議使用Winrara軟件的用戶到官方網站http://www.rarsoft.com/上下載最新版本的Winrar使用。