篮球体育生被捆绑玩弄j,中文精品无码中文字幕无码专区,久久久久亚洲AV片无码下载蜜桃,日韩去日本高清在线

安全公告編號:CNTA-2017-0054

近日，國家信息安全漏洞共享平臺（CNVD）收錄了Apache Struts2 S2-048遠程代碼執(zhí)行漏洞（CNVD-2017-13259，對應CVE-2017-9791）,漏洞利用代碼已在互聯(lián)網(wǎng)公開，8日凌晨起互聯(lián)網(wǎng)上已經(jīng)大量的攻擊嘗試并已有若干漏洞案例報告。針對近年來ApacheStruts2頻繁出現(xiàn)高危風險，在相關案例中國內(nèi)漏洞管理和應急工作出現(xiàn)一些較為被動的情況，CNVD就本次S2-048漏洞風險和做好相關高危漏洞管理和應急工作，提出相關建議：

一、S2-048漏洞風險情況

Struts2是第二代基于Model-View-Controller (MVC)模型的java企業(yè)級web應用框架，是較為流行的容器軟件中間件。2017年7月7日，Apache Struts 發(fā)布最新的安全公告，Struts2 存在遠程命令執(zhí)行漏洞（命名編號為S2-048）。漏洞成因為Showcase 應用演示Struts2 整合Struts 1 的插件中存在一處任意代碼執(zhí)行缺陷，當應用使用了Struts2 Struts1 的插件時，用戶可以構造特定輸入（一般為Header字段的OGNL表達式）發(fā)送到ActionMessage 類中可導致命令執(zhí)行，進而獲得服務器主機系統(tǒng)權限。CNVD對該漏洞的綜合評級為“高危”。漏洞影響使用Struts 1插件的Struts 2.3.x版本，修復建議措施另附。

7月8日上午CNVD接收到安全研究者報告的涉及若干網(wǎng)站案例，有將S2-045案例誤報為S2-048漏洞的情況。根據(jù)CNVD秘書處抽樣測試結果（>1000個網(wǎng)站案例,以在S2-045漏洞中受到影響的案例為主），受S2-048漏洞影響的Apache Struts2網(wǎng)站比例約為0.6%，暫未發(fā)現(xiàn)黨政機關和重要用戶單位案例。CNVD認為，由于有一定利用前提且影響版本范圍限于2.3.x版本，之前針對S2-045漏洞的升級措施以及國內(nèi)安全廠商8日凌晨實施的用戶側應急防護發(fā)揮了積極作用，S2-048漏洞范圍影響較S2-045漏洞要小得多。

二、Apache Struts 2漏洞應急案例經(jīng)驗教訓

回顧2016年以來針對ApacheStruts 2存在的S2-032、S2-045等漏洞的應急工作案例，主要存在漏洞詳情披露不當、漏洞信息報告和應急準備不充分等問題。2016年4月下旬，在官方發(fā)布S2-032漏洞不到一周時間內(nèi)，發(fā)現(xiàn)漏洞的國內(nèi)安全廠商就公開了漏洞詳細分析情況，致使利用代碼開始出現(xiàn)并大范圍傳播，導致大規(guī)模攻擊威脅，漏洞詳情的不當披露成為了黑客發(fā)起攻擊的“幫手”。2017年3月“兩會”期間，官方發(fā)布S2-045漏洞但利用方法可通過補丁逆向分析獲得且在互聯(lián)網(wǎng)快速傳播。由于漏洞風險信息未提前向國內(nèi)網(wǎng)絡安全主管部門和應急組織報告，致使黨政機關、重要行業(yè)單位網(wǎng)站在未獲得有效應急時間窗口的情況下受到大規(guī)模攻擊威脅。本次S2-048漏洞的報告和應急準備工作也存在與S2-045案例相同的問題。

三、做好高危漏洞管理和應急工作的建議

按照《網(wǎng)絡安全法》有關規(guī)定（如第二十六條：開展網(wǎng)絡安全認證、檢測、風險評估等活動，向社會發(fā)布系統(tǒng)漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入等網(wǎng)絡安全信息，應當遵守國家有關規(guī)定），參照主管部門制定的《國家網(wǎng)絡安全事件應急預案》、《公共互聯(lián)網(wǎng)網(wǎng)絡安全應急預案》和國家技術標準（如：《GB/T 30276-2013 信息安全技術 信息安全漏洞管理規(guī)范》）以及正在制定的《個人信息和重要數(shù)據(jù)出境安全評估辦法》等規(guī)定，針對Apache Struts 2等軟硬件產(chǎn)品高危漏洞管理和應急存在的問題，CNVD提出如下兩方面建議：

一是加強學習，提高認識。國內(nèi)網(wǎng)絡安全從業(yè)者應樹立守法意識，加強對法律法規(guī)和部門規(guī)定的學習。目前網(wǎng)絡安全監(jiān)管還正處于不斷完善的階段，從業(yè)者應充分領會主管部門提出的管理思路和要求，圍繞保障國家關鍵信息基礎設施、保障行業(yè)和個人信息安全、共同提升國內(nèi)網(wǎng)絡安全防護水平等工作大局，自覺遵守和執(zhí)行有關規(guī)定和要求。

二是完善流程，協(xié)同自律。加強對有可能對國內(nèi)用戶造成大規(guī)模威脅的漏洞的前置管理，在“漏洞修復”、“威脅消除”等環(huán)節(jié)給國內(nèi)黨政機關、重要行業(yè)單位以及廣大用戶預留必要的準備時間。重點從漏洞發(fā)現(xiàn)和報告環(huán)節(jié)入手，密切配合國家網(wǎng)絡安全主管部門和應急組織提出的工作要求，完善報告策略和處理流程。加強行業(yè)自律，不得從企業(yè)和個人利益出發(fā)，做出有損于或不利于共同安全利益的漏洞報告和披露行為。

參考鏈接：

http://www.npc.gov.cn/npc/xinwen/2016-11/07/content_2001605.htm

http://www.cac.gov.cn/2017-06/27/c_1121220113.htm

http://www.cac.gov.cn/2017-04/11/c_1120785691.htm

https://cwiki.apache.org/confluence/display/WW/S2-048

https://cwiki.apache.org/confluence/display/WW/S2-045

https://cwiki.apache.org/confluence/display/WW/S2-032

http://www.cnvd.org.cn/flaw/show/CNVD--2017-13259

（注：CNVD合作方漏洞盒子（屬上海斗象信息科技有限公司）及時報告了S2-048漏洞詳情，同時CNVD技術組成員單位奇虎360公司、杭州安恒公司、綠盟科技公司、恒安嘉新公司、天融信公司也報告相關分析情況）

另附：S2-048漏洞修復措施

官方已在Struts 2.5.10.1版本中修復了該漏洞，請參考官網(wǎng)及時升級：http://struts.apache.org/download.cgi#struts25101。同時未能及時升級的可以參照官方給出的臨時解決方案，或啟用已生成有針對性防護策略的國內(nèi)廠商網(wǎng)絡側防護產(chǎn)品（如：防火墻、云WAF等）。

臨時解決方案：

應使用資源鍵（resource keys），而不是將原始消息直接傳遞給ActionMessage類。正確和錯誤的方式如下所示：

（正確的方式）messages.add("msg",newActionMessage("struts1.gangsterAdded", gform.getName()));

（錯誤的方式）messages.add("msg",new ActionMessage("Gangster " + gform.getName() + " wasadded"));