CCERT7月月报:暑期安全事件呈现下降趋势
7月教育网运行平稳,未发现影响严重的安全事件。
进入暑期,网络安全事件的数量呈下降趋势,众测平台向我们推送的有问题的网站数量也呈下降趋势,这从侧面也可以说明在安全平台上对学校网站进行测试的很多可能是学校的在校生。
7月没有新增影响比较严重的木马蠕虫病毒。
7月需要关注的漏洞有如下这些:
1.微软发布了7月的例行安全公告,本次公告共11个,其中6个为严重等级,5个为重要等级。这些公告共修补了Windows系统、IE浏览器、Office软件、EDGE、.NET Framework、Web App及Flash Player软件中的40个安全漏洞。建议用户尽快使用系统的自动更新功能更新相关的系统及程序。公告的详细信息:https://technet.microsoft.com/zh-cn/library/security/ms16-jul.aspx。
2.Adobe公司发布了今年7月的例行安全公告,用于更新Flash Player软件中存在的52个安全漏洞,这些漏洞可能导致远程任意代码执行,用户应该尽快更新自己Flash Player的版本。相关公告的信息请参见;https://helpx.adobe.com/security/products/flash-player/apsb16-25.html。
3.Oracle公司发布了今年3季度的例行安全公告,本次公告共修补了Oracle公司各类产品中的276个安全漏洞,包括Oracle数据库(9个)、中间件产品FusionMiddleware(40个);企业管理器网格控制产品Oracle Enterprise Manager Grid Control(10个)、电子商务套装软件OracleEBusinessSuite(23个)、供应链套装软件Oracle Supply Chain Products Suite(25个)、OracleSiebel托管型CRM软件(16个);Hyperion(1个)、PeopleSoft产品(7个)、JD Edwards产品(1个)、Policy Automation(4个)等;Java SE(13个)、Oracle Sun系统产品(34个)和MySQL数据库(22个)。用户应该尽快根据自己的使用情况升级相关产品的版本。漏洞的详细信息请参见:http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html。
4.Apache Struts2的漏洞最近频繁出现,7月初Apache开发组发布了Struts2的最新版本2.3.29及2.5.1,用于解决之前版本中存在的多个安全漏洞,包括跨站脚本、拒绝服务和远程代码执行漏洞。相关的公告涉及(s2-037到s2-041),详细信息请参见https://struts.apache.org/docs/security-bulletins.html。近期Struts2的漏洞频繁出现,源于安全研究者对Struts2的漏洞不断研究,很多安全漏洞在官方提供修补补丁后仍然可以利用一些方式绕过补丁限制继续执行漏洞,因此使用Struts2作为Web容器的网站开发人员这段时间要密切注意官方的公告,并关闭Struts2所有使用不到的模块及功能。
5.Juniper公司的Juniper Pulse Secure网关设备是国内很多高校的VPN解决方案,它允许用户使用VPN通道从校外访问的校内资源,提供网页和客户端两种认证模式,如果使用客户端访问需要用户在自己的系统上安装Pulse SecureDesktop Client插件。最近国内的安全研究室研究发现这个客户端插件存在严重的安全漏洞,可能导致本地权限提升及执行任意代码。漏洞产生的原因是Pulse Secure Desktop Client安装的系统服务dsAccessService.exe会创建一个名为NeoterisSetupService的命名管道。该命名管道的访问控制列表被设置为Everyone完全控制,所有用户均具有读写权限。管道服务端使用了自定义的加密算法,该管道用于安装新的系统服务,可以作为自动升级机制的一部分。当有新数据写入管道时,这段数据会被当作文件路径解密,指向的文件会被复制到C:\Windows\Temp\并执行。服务安装逻辑在dsInstallService.dll中实现,它首先读入路径并从路径中切出文件名。这个实现逻辑存在一个漏洞:只切出了路径中“\”字符之后的部分,但忽略了“/”字符。攻击者可以传入一个恶意构造的路径,再通过DLL劫持的方式即可实现权限提升和任意代码执行。目前厂商已经在最新版的客户端程序中修正了这个漏洞,相关管理员需要尽快到官网下载最新的版本推送用户,下载地址:
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA40241。
(作者单位为中国教育和科研计算机网应急响应组)