Apache Struts2 Web应用框架再现严重安全漏洞
2013-10-25郑先伟
文/郑先伟
5月教育网整体运行平稳,未发生重大安全事件。随着高考的临近,教育网内各院校的Web服务器又将成为黑客攻击的重点。与以往不同的是,这些被攻击并控制的网站很多已经改变了用途,不再是用来进行网页挂马攻击,而是被用来进行更高级的社会工程学攻击(如网络钓鱼)。每年高考招生时都会出现大量的虚假招生广告,一旦这些虚假招生广告出现在学校官方网站上,上当受骗的人将会大大增加。因此要谨防黑客利用这些被控制的学校网站服务器进行类似的社会工程学攻击,建议广大网站管理员近期加大对学校网站服务器的安全排查,并对网站的内容进行监管。
近期我们又协助工信部CNCERT处理了一批教育网内的木马下载服务器,这些服务器大多数依然是二级学院或是独立学院的主页服务器,值得注意的是很多居然是计算机系或是电子系的主页。说明出现上述问题的网站的安全难点并非在技术而是管理。
病毒与木马
近期没有特别需要关注的病毒木马程序,流行较多的还是一些盗号类的下载木马。
2013年5月安全投诉事件统计
近期新增严重漏洞评述
微软5月的例行安全公告共10个(MS13-037至MS13-046),其中2个为严重等级,8个为重要等级,这些公告共修补了包括Windows系统、IE浏览器、Office办公软件以及.NET组件中的33个安全漏洞。其中特别需要关注的是MS13- 037和 MS13- 038,MS13- 037为IE浏览器的累积性修补补丁,而MS13-038则是专门为IE浏览器8版本增发的一个安全公告,它修补了IE浏览器8版本中的一个0day漏洞(CVE-2013-1347),该漏洞今年4月底被公布到互联网上。有消息称此漏洞曾被用来攻击了美国劳工部,这类高级攻击跟普通用户关系不大,但是一旦相关的漏洞信息被披露后就可能被制作成木马程序进行大面积攻击,因此建议用户尽快安装相应的补丁程序。
除微软以外,Adobe公司也按时发布了5月的例行安全公告,共3个(apsb13-13到apsb13-15),这些漏洞修补了Flash player软件(http://www.adobe.com/support/security/bulletins/apsb13-14.html)和Adobe Acrobat/Reader软件(http://www.adobe.com/support/security/bulletins/apsb13-15.html)中的多个安全漏洞,用户应该尽快更新相关软件。
需要特别引起用户关注的是Apache的Struts2框架再次曝出远程代码执行漏洞(CVE-2013-1966),本次曝出的漏洞虽然较2012年流行的Struts2系统漏洞在利用难度上有所增加,但是其所涉及的系统和版本更为广泛,并且利用的成功率更高。厂商在5月23日发布了相应的安全公告(https://cwiki.apache.org/confluence/display/WW/S2-013)和新的版本(Struts 2.3.14.1)来修补该漏洞,不过根据国内安全厂商绿盟的测试漏洞在这个版本中并未被完全修补,之后厂商采纳了建议并重新发布了安全公告(https://cwiki.apache.org/confluence/display/WW/S2-014)和新的版本(Struts 2.3.14.2),将漏洞进行了较完善的修补。建议管理员尽快检查自己的Web服务器是否使用了Struts2功能模块,如果有请尽快升级到最新版本(Struts 2.3.14.2)。