暑期安全事件呈現下降趨勢

文/鄭先偉

暑期安全事件呈現下降趨勢

文/鄭先偉

7月教育網運行平穩，未發現影響嚴重的安全事件。

進入暑期，網絡安全事件的數量呈下降趨勢，眾測平臺向我們推送的有問題的網站數量也呈下降趨勢，這從側面也可以說明在安全平臺上對學校網站進行測試的很多可能是學校的在校生。

7月沒有新增影響比較嚴重的木馬蠕蟲病毒。

7月需要關注的漏洞有如下這些：

1. 微軟發布了7月的例行安全公告，本次公告共11個，其中6個為嚴重等級，5個為重要等級。這些公告共修補了Windows系統、IE瀏覽器、Office軟件、EDGE、. NET Framework、Web App及Flash Player軟件中的40個安全漏洞。建議用戶盡快使用系統的自動更新功能更新相關的系統及程序。公告的詳細信息：https://technet. microsoft.com/zh-cn/library/security/ms16-jul. aspx。

2. Adobe公司發布了今年7月的例行安全公告，用于更新Flash Player軟件中存在的52個安全漏洞，這些漏洞可能導致遠程任意代碼執行，用戶應該盡快更新自己Flash Player的版本。相關公告的信息請參見；https://helpx.adobe.com/security/ products/flash-player/apsb16-25.html。

2016年6月～7月安全投訴事件統計

3. Oracle公司發布了今年3季度的例行安全公告，本次公告共修補了Oracle公司各類產品中的276個安全漏洞，包括Oracle數據庫（9個）、中間件產品Fusion Middleware（40個）；企業管理器網格控制產品Oracle Enterprise Manager Grid Control（10個）、電子商務套裝軟件OracleEBusiness Suite（23個）、供應鏈套裝軟件Oracle Supply Chain Products Suite（25個）、OracleSiebel托管型CRM軟件（16個）；Hyperion（1個）、PeopleSoft產品（7個）、JD Edwards產品（1個）、Policy Automation（4個）等；Java SE（13個）、Oracle Sun系統產品（34個）和MySQL數據庫（22個）。用戶應該盡快根據自己的使用情況升級相關產品的版本。漏洞的詳細信息請參見：http:// www.oracle.com/technetwork/security-advisory/ cpujul2016-2881720.html。

4. Apache Struts2的漏洞最近頻繁出現，7月初Apache開發組發布了Struts2的最新版本2.3.29及2.5.1，用于解決之前版本中存在的多個安全漏洞，包括跨站腳本、拒絕服務和遠程代碼執行漏洞。相關的公告涉及（s2-037到s2-041），詳細信息請參見https://struts.apache.org/docs/ security-bulletins.html。近期Struts2的漏洞頻繁出現，源于安全研究者對Struts2的漏洞不斷研究，很多安全漏洞在官方提供修補補丁后仍然可以利用一些方式繞過補丁限制繼續執行漏洞，因此使用Struts2作為Web容器的網站開發人員這段時間要密切注意官方的公告，并關閉Struts2所有使用不到的模塊及功能。

5. Juniper公司的Juniper Pulse Secure網關設備是國內很多高校的VPN解決方案，它允許用戶使用VPN通道從校外訪問的校內資源，提供網頁和客戶端兩種認證模式，如果使用客戶端訪問需要用戶在自己的系統上安裝Pulse Secure Desktop Client插件。最近國內的安全研究室研究發現這個客戶端插件存在嚴重的安全漏洞，可能導致本地權限提升及執行任意代碼。漏洞產生的原因是Pulse Secure Desktop Client安裝的系統服務dsAccessService.exe會創建一個名為NeoterisSetupService的命名管道。該命名管道的訪問控制列表被設置為Everyone完全控制，所有用戶均具有讀寫權限。管道服務端使用了自定義的加密算法，該管道用于安裝新的系統服務，可以作為自動升級機制的一部分。當有新數據寫入管道時，這段數據會被當作文件路徑解密，指向的文件會被復制到C:WindowsTemp并執行。服務安裝邏輯在dsInstallService. dll中實現，它首先讀入路徑并從路徑中切出文件名。這個實現邏輯存在一個漏洞：只切出了路徑中“”字符之后的部分，但忽略了“/”字符。攻擊者可以傳入一個惡意構造的路徑，再通過DLL劫持的方式即可實現權限提升和任意代碼執行。目前廠商已經在最新版的客戶端程序中修正了這個漏洞，相關管理員需要盡快到官網下載最新的版本推送用戶，下載地址：https://kb.pulsesecure.net/articles/Pulse_ Security_Advisories/SA40241。

（作者單位為中國教育和科研計算機網應急響應組）