根据国家信息安全漏洞库(CNNVD)统计,本周(2017年7月3日至2017年7月9日)安全漏洞情况如下:
本期导读 公开漏洞情况
本周CNNVD采集安全漏洞228个,与上周(179个)漏洞数量上升了27.37%。本周国内厂商漏洞共7个,修复率达到85.71%,其中华为公司漏洞数量最多,共5个。
接报漏洞情况
本周接报漏洞357个,其中信息技术产品漏洞(通用型漏洞)20个,网络信息系统漏洞(事件型漏洞)337个。
重大事件预警
本周,CNNVD接到多家技术支撑单位报送的有关Apache Struts2存在远程代码执行漏洞(CNNVD-201706-928)的情况。7月7日,Apache官方网站针对上述漏洞发布了安全公告(S2-048)。远程攻击者可利用上述漏洞,对受影响的服务器实施远程攻击,从而导致任意代码执行或服务器拒绝服务。由于Apache官方并未发布升级补丁,仅提供了解决建议。部署Apache Struts2的单位,应及时检查所使用的Struts2版本是否在受影响范围内,密切关注Apache官方网站发布的相关信息,及时修复漏洞,消除隐患。
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞228个,与上周相比有所增加。从厂商分布来看,本周IBM公司新增漏洞最多,共有19个;从漏洞类型来看,缓冲区错误类的安全漏洞占比最大,达到39.47%。本周新增漏洞中,超危漏洞5个,高危漏洞9个,中危漏洞194个,低危漏洞20个。相应修复率分别为100.00%、66.67%、56.70%以及60.00%。根据统计,合计133个漏洞已有修复补丁发布,整体修复率为58.33%。
截至2017年7月9日,CNNVD发布漏洞总量已达94943个。
本周新增安全漏洞228个,与上周(179个)漏洞数量上升了27.37%。图1为近五周漏洞新增数量统计图。
图1 近五周漏洞新增数量统计图
从厂商分布来看,本周IBM公司产品的漏洞数量最多,共19个。各厂商漏洞数量分布如表1所示。
表1 Top 5厂商新增安全漏洞统计表
本周国内厂商漏洞共7个,修复率达到85.71%,其中华为公司漏洞数量最多,共5个。
从漏洞类型来看,本周缓冲区错误类的安全漏洞相对占比最大,达到39.47%。漏洞类型统计如表2所示。
表2 漏洞类型统计表
本周共发布超危漏洞5个,高危漏洞9个,中危漏洞194个,低危漏洞20个。相应修复率分别为100.00%、66.67%、56.70%以及60.00%。合计133个漏洞已有修复补丁发布,整体修复率为58.33%。详细情况如表3所示。
表3 漏洞危害等级与修复情况
本周超危漏洞5个,高危漏洞9个,其中重要漏洞实例如表4所示。
表4 本周重要漏洞实例
1. VMware Horizon View Client 命令注入漏洞(CNNVD-201706-295)
VMware Horizon View Client是美国威睿(VMware)公司的一款可以从任何位置对VMware Horizon桌面进行访问的设备。
VMware Horizon View Client 2.x版本、3.x版本和4.5.0之前的4.x版本中的service startup脚本存在命令注入漏洞。攻击者可利用该漏洞在Mac OSX系统上将没有权限的用户提升至root权限。
解决措施:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.vmware.com/security/advisories/VMSA-2017-0011.html
2. Aruba Networks ClearPass Policy Manager SQL注入漏洞(CNNVD-201706-300)
Aruba Networks ClearPass Policy Manager(CPPM)是美国安移通网络(Aruba Networks)公司的一套BYOD(自带设备)网络访问控制策略实施平台。该平台可保护新一代移动服务,提高网络访问安全性,简化有线、无线和VPN网络操作。
Aruba Networks CPPM 6.5.x版本至6.5.6版本和6.6.0版本中存在SQL注入漏洞。远程攻击者可利用该漏洞获取敏感信息,控制整个系统。
解决措施:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://www.arubanetworks.com/assets/alert/ARUBA-PSA-2016-009.txt
3. Cisco TelePresence Codec和Collaboration Endpoint软件资源管理错误漏洞(CNNVD-201706-314)
Cisco TelePresence是美国思科(Cisco)公司的一套被称为“网真”系统的视频会议解决方案。TelePresence Codec(TC)和Collaboration Endpoint(CE)Software是其中的两个终端软件。
Cisco TC软件7.3.8之前的版本和CE软件8.3.0之前的版本中的Session Initiation Protocol (SIP)存在拒绝服务漏洞,该漏洞源于程序缺少流量控制机制。远程攻击者可通过向受到影响的设备发送大量的SIP INVITE数据包利用该漏洞造成拒绝服务(TelePresence endpoint重载)。
解决措施:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170607-tele
4. Huawei OceanStor UDS 代码注入漏洞(CNNVD-201706-306)
Huawei OceanStor UDS是中国华为(Huawei)公司的一套基于ARM架构的高密度存储节点及分布式存储系统。
Huawei OceanStor UDS V100R002C01SPC101及之前的版本中存在安全漏洞。远程攻击者可通过向UDS脚本中注入SHELL脚本利用该漏洞以root权限执行注入的SHELL脚本。
解决措施:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://www.huawei.com/en/psirt/security-advisories/hw-417837
本周,CNNVD接到多家技术支撑单位报送的有关Apache Struts2存在远程代码执行漏洞(CNNVD-201706-928)的情况。7月7日,Apache官方网站针对上述漏洞发布了安全公告(S2-048)。CNNVD对此进行了跟踪分析,情况如下:
Apache Struts2是Apache基金会发布的一款实现了MVC模式的中间件软件,广泛应用于Web开发和大型网站建设。
使用了Apache Struts 1插件的Apache Struts 2.3.X版本中存在远程代码执行漏洞(漏洞编号:CNNVD-201706-928,CVE-2017-9791)。该漏洞出现于Struts2的某个类中,该类是为了将Struts1中的Action包装成为Struts2中的Action,以保证Struts2的兼容性。在Struts2中的Struts1插件启用的情况下,远程攻击者可通过使用恶意字段值,构造特定的输入,发送到ActionMessage类中,从而导致任意命令执行,进而获取目标主机系统权限。
由于Struts2广泛应用于大型互联网企业、政府、金融机构等网站建设,影响范围较广。根据CNNVD数据统计,目前超过3万个网站使用了Struts2。
远程攻击者可利用上述漏洞,对受影响的服务器实施远程攻击,从而导致任意代码执行或服务器拒绝服务。
1、由于Apache官方并未发布升级补丁,仅提供了解决建议。部署Apache Struts2的单位,应及时检查所使用的Struts2版本是否在受影响范围内。如受影响,可采取以下缓解方案:
(1)停止启用struts2-struts1-plugin插件。
(2)停止使用showcase.war
(3)始终使用资源键,而不是将原始消息传递给ActionMessage,如下所示。
建议采用如下方式:
禁止采用如下方式:
2、部署受影响Struts版本的单位应密切关注Apache官方网站发布的相关信息,及时修复漏洞,消除隐患。