警惕安全漏洞潛伏信息系統

文/鄭先偉

近期教育網運行平穩，未發生嚴重的安全事件。近期多個相關部門對教育網內的網站進行安全掃描時發現，仍然有大量的網站存在嚴重的安全漏洞。最突出的還是我們之前多次提到的Apache Struts遠程命令執行漏洞。存在該漏洞的網站很多都是學校的信息系統，如學校的迎新系統、貧困生資助管理系統等。這些信息系統可能是委托第三方公司開發的，而第三方公司在開發過程中使用Apache Struts xwork框架而導致漏洞存在。管理員因為對信息系統的內部構架不清楚而忽略了漏洞，使安全風險長期存在。我們建議相關信息系統的管理員盡快檢查自己的系統是否存在漏洞（如需技術幫助可以聯系CCERT），發現問題，及時修補。目前不存在相關漏洞的Struts應用組件為2.3.1.1之后的版本（包括2.3.1.1）。近期安全投訴事件數量與往期基本持平。

近四年計算機病毒感染率連續下降

近期沒有新增危害特別嚴重的木馬病毒程序。

11月13日國家計算機病毒應急處理中心發布2011年度全國信息網絡安全狀況和計算機移動終端病毒疫情調查。結果顯示，2011年計算機病毒感染率為48.87%，已經連續4年呈現下降趨勢。感染率的下降，一方面得益于用戶安全意識提高及防病毒軟件的普及，另一方面也因為病毒木馬程序已經放棄了大規模無目的性傳播的方式，改為更隱蔽、精準的定向傳播方式。隨著木馬病毒制造、銷售及傳播產業鏈的逐漸成熟，病毒木馬的目標將越來越多地傾向于獲取實際經濟利益。如竊取用戶網絡銀行賬號或是其他能夠轉變為錢的網絡賬號。用戶一旦感染這類木馬病毒就可能帶來經濟損失。因此，雖然病毒木馬感染的絕對數量下降，但是用戶面臨安全威脅形勢依然不容樂觀。

近期新增嚴重漏洞評述

微軟11月份的例行安全公告共6個（MS12－071至MS12－076），其中4個為嚴重等級，1個為重要等級，1個為警告等級。這些安全公告共修復了Windows系統、IE瀏覽器、Office軟件、IIS服務程序以及.NET Framework組件中的19個安全漏洞。這些漏洞多數都是通過秘密途徑報告給微軟的，因此相應的攻擊代碼還未在網絡上公布。

需要關注的是，IIS服務程序中的一個信息泄露漏洞（MS12－073）。這個漏洞被微軟定義為警告等級，能夠用來獲取IIS服務器上的目錄信息，相關的漏洞利用掃描程序在網絡上已經被公開了一段時間。值得慶幸的是，這個漏洞僅能用來瀏覽目錄信息，而不能用來執行指令。

Mozilla公司對Firefox瀏覽器進行了大版本更新，最新版本是Firefox 17。本次更新修補之前版本中的大量安全漏洞（https://www.mozilla.org/security/announce/2012/mfsa2012-101.html）。用戶應該盡快使用軟件自帶的安全更新功能升級到最新版本。

Adobe公司發布了針對Flash Player的安全公告和補丁程序（http://www.adobe.com/support/security/bulletins/apsb12-24.html），修補了之前版本中的多個遠程代碼執行漏洞。有消息稱，為了更好地配合系統更新，Adobe公司決定今后每月與微軟同步發布安全公告和補丁程序，發布時間為每個月的第2個星期二。

Exim電子郵件軟件遠程代碼執行漏洞

Linux系統下的開源電子郵件軟件Exim存在一個高危漏洞，需要引起我們關注。

影響系統

Exim 4.7x、Exim 4.8.0。

漏洞信息

Exim是由英國劍橋大學的研究組織開發的一款開源郵件服務軟件，主要用于搭建郵件服務器或用作接收和發送郵件的客戶端代理程序。目前多數的類UNIX系統默認都安裝了此軟件，由于其配置簡單且與sendmail兼容，因此被越來越多的管理員選用。

Exim 默認安裝下集成啟用的用于支持 DKIM (域名密鑰識郵件標準)的功能模塊中，由于其未能正確處理相應參數，存在堆緩沖區溢出漏洞。

漏洞危害

攻擊者可以向服務器發起遠程攻擊，成功的攻擊可以獲得服務器主機管理權限。目前漏洞的詳細細節還未公布，暫時未發現有攻擊代碼出現。

解決辦法

Exim開發組織在披露信息的同時提供了用于修復漏洞的軟件升級版本——Exim 4.80.1。使用Exim的管理員應該及時下載最新版本更新自己的郵件系統。如果因業務不能中斷，可臨時禁用Exim的DKIM模塊功能來降低漏洞帶來的風險。