暑期安全事件呈現(xiàn)下降趨勢(shì)

文/鄭先偉

暑期安全事件呈現(xiàn)下降趨勢(shì)

文/鄭先偉

7月教育網(wǎng)運(yùn)行平穩(wěn)，未發(fā)現(xiàn)影響嚴(yán)重的安全事件。

進(jìn)入暑期，網(wǎng)絡(luò)安全事件的數(shù)量呈下降趨勢(shì)，眾測(cè)平臺(tái)向我們推送的有問(wèn)題的網(wǎng)站數(shù)量也呈下降趨勢(shì)，這從側(cè)面也可以說(shuō)明在安全平臺(tái)上對(duì)學(xué)校網(wǎng)站進(jìn)行測(cè)試的很多可能是學(xué)校的在校生。

7月沒(méi)有新增影響比較嚴(yán)重的木馬蠕蟲(chóng)病毒。

7月需要關(guān)注的漏洞有如下這些：

1. 微軟發(fā)布了7月的例行安全公告，本次公告共11個(gè)，其中6個(gè)為嚴(yán)重等級(jí)，5個(gè)為重要等級(jí)。這些公告共修補(bǔ)了Windows系統(tǒng)、IE瀏覽器、Office軟件、EDGE、. NET Framework、Web App及Flash Player軟件中的40個(gè)安全漏洞。建議用戶(hù)盡快使用系統(tǒng)的自動(dòng)更新功能更新相關(guān)的系統(tǒng)及程序。公告的詳細(xì)信息：https://technet. microsoft.com/zh-cn/library/security/ms16-jul. aspx。

2. Adobe公司發(fā)布了今年7月的例行安全公告，用于更新Flash Player軟件中存在的52個(gè)安全漏洞，這些漏洞可能導(dǎo)致遠(yuǎn)程任意代碼執(zhí)行，用戶(hù)應(yīng)該盡快更新自己Flash Player的版本。相關(guān)公告的信息請(qǐng)參見(jiàn)；https://helpx.adobe.com/security/ products/flash-player/apsb16-25.html。

2016年6月～7月安全投訴事件統(tǒng)計(jì)

3. Oracle公司發(fā)布了今年3季度的例行安全公告，本次公告共修補(bǔ)了Oracle公司各類(lèi)產(chǎn)品中的276個(gè)安全漏洞，包括Oracle數(shù)據(jù)庫(kù)（9個(gè)）、中間件產(chǎn)品Fusion Middleware（40個(gè)）；企業(yè)管理器網(wǎng)格控制產(chǎn)品Oracle Enterprise Manager Grid Control（10個(gè)）、電子商務(wù)套裝軟件OracleEBusiness Suite（23個(gè)）、供應(yīng)鏈套裝軟件Oracle Supply Chain Products Suite（25個(gè)）、OracleSiebel托管型CRM軟件（16個(gè)）；Hyperion（1個(gè)）、PeopleSoft產(chǎn)品（7個(gè)）、JD Edwards產(chǎn)品（1個(gè)）、Policy Automation（4個(gè)）等；Java SE（13個(gè)）、Oracle Sun系統(tǒng)產(chǎn)品（34個(gè)）和MySQL數(shù)據(jù)庫(kù)（22個(gè)）。用戶(hù)應(yīng)該盡快根據(jù)自己的使用情況升級(jí)相關(guān)產(chǎn)品的版本。漏洞的詳細(xì)信息請(qǐng)參見(jiàn)：http:// www.oracle.com/technetwork/security-advisory/ cpujul2016-2881720.html。

4. Apache Struts2的漏洞最近頻繁出現(xiàn)，7月初Apache開(kāi)發(fā)組發(fā)布了Struts2的最新版本2.3.29及2.5.1，用于解決之前版本中存在的多個(gè)安全漏洞，包括跨站腳本、拒絕服務(wù)和遠(yuǎn)程代碼執(zhí)行漏洞。相關(guān)的公告涉及（s2-037到s2-041），詳細(xì)信息請(qǐng)參見(jiàn)https://struts.apache.org/docs/ security-bulletins.html。近期Struts2的漏洞頻繁出現(xiàn)，源于安全研究者對(duì)Struts2的漏洞不斷研究，很多安全漏洞在官方提供修補(bǔ)補(bǔ)丁后仍然可以利用一些方式繞過(guò)補(bǔ)丁限制繼續(xù)執(zhí)行漏洞，因此使用Struts2作為Web容器的網(wǎng)站開(kāi)發(fā)人員這段時(shí)間要密切注意官方的公告，并關(guān)閉Struts2所有使用不到的模塊及功能。

5. Juniper公司的Juniper Pulse Secure網(wǎng)關(guān)設(shè)備是國(guó)內(nèi)很多高校的VPN解決方案，它允許用戶(hù)使用VPN通道從校外訪(fǎng)問(wèn)的校內(nèi)資源，提供網(wǎng)頁(yè)和客戶(hù)端兩種認(rèn)證模式，如果使用客戶(hù)端訪(fǎng)問(wèn)需要用戶(hù)在自己的系統(tǒng)上安裝Pulse Secure Desktop Client插件。最近國(guó)內(nèi)的安全研究室研究發(fā)現(xiàn)這個(gè)客戶(hù)端插件存在嚴(yán)重的安全漏洞，可能導(dǎo)致本地權(quán)限提升及執(zhí)行任意代碼。漏洞產(chǎn)生的原因是Pulse Secure Desktop Client安裝的系統(tǒng)服務(wù)dsAccessService.exe會(huì)創(chuàng)建一個(gè)名為NeoterisSetupService的命名管道。該命名管道的訪(fǎng)問(wèn)控制列表被設(shè)置為Everyone完全控制，所有用戶(hù)均具有讀寫(xiě)權(quán)限。管道服務(wù)端使用了自定義的加密算法，該管道用于安裝新的系統(tǒng)服務(wù)，可以作為自動(dòng)升級(jí)機(jī)制的一部分。當(dāng)有新數(shù)據(jù)寫(xiě)入管道時(shí)，這段數(shù)據(jù)會(huì)被當(dāng)作文件路徑解密，指向的文件會(huì)被復(fù)制到C:WindowsTemp并執(zhí)行。服務(wù)安裝邏輯在dsInstallService. dll中實(shí)現(xiàn)，它首先讀入路徑并從路徑中切出文件名。這個(gè)實(shí)現(xiàn)邏輯存在一個(gè)漏洞：只切出了路徑中“”字符之后的部分，但忽略了“/”字符。攻擊者可以傳入一個(gè)惡意構(gòu)造的路徑，再通過(guò)DLL劫持的方式即可實(shí)現(xiàn)權(quán)限提升和任意代碼執(zhí)行。目前廠商已經(jīng)在最新版的客戶(hù)端程序中修正了這個(gè)漏洞，相關(guān)管理員需要盡快到官網(wǎng)下載最新的版本推送用戶(hù)，下載地址：https://kb.pulsesecure.net/articles/Pulse_ Security_Advisories/SA40241。

（作者單位為中國(guó)教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）