最新公告

锐一网络——互联网服务首选IDC服务商

服务热线:400-920-4021

windows 及 Apache Struts2 高危漏洞安全公告及解决方案

1903 锐一网络 2017-04-22
windows系统高危漏洞:
2017年4月14日,国外黑客组织Shadow Brokers泄露出了一份机密文档,其中包含了多个Windows远程漏洞利用工具,外部攻击者利用此工具可远程攻击并获取服务器控制权限。微软已于2017年4月15日发布修复补丁。
风险等级:高风险
漏洞级别:紧急
影响服务:SM和RDP服务
漏洞验证:确定服务器是否对外开启了137、13、445端口
测试方法:
服务器命令行窗口执行netstat -an查看是否有相应对口开放,同时亦可以通过访问http://tool.chinaz.com/port/(输入IP,下面填入137,139,445,3389)判断服务端口是否对外开启。注意:rdp是远程桌面服务,不局限于3389端口,如果您的windows远程桌面使用了其他端口,也在受影响之列。
已知受影响的 Windows 版本:
Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0
针对这些问题,给了相应的漏洞修复建议。

一、更新官方补丁


https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/


wd11

二、临时解决方案
1. 禁止windows共享(445端口),卸载下图两个组件。需要重启系统生效,操作前请您根据对业务的影响情况进行评估。

wd22

2. 禁用netbios(137、139端口)


wd33


3. 关闭远程智能卡(此操作的目的是关闭windows智能卡功能,避免rdp服务被攻击利用)
    windows系列云服务器默认已关闭远程智能卡服务。
4. 开启系统防火墙,仅放行必须的端口,屏蔽135、137、139、445端口对外开放。
注意:修复漏洞前请最好备份,并进行充分测试。

关于Apache Struts2存在S2-045远程代码执行漏洞的安全公告


一、漏洞情况分析


Struts2是第二代基于Model-View-Controller(MVC)模型的java企业级web应用框架,并成为当时国内外较为流行的容器软件中间件。jakarta是apache组织下的一套Java解决方案的开源软件的名称,包括很多子项目。Struts就是jakarta的紧密关联项目。

根据CNVD技术组成员单位——杭州安恒信息技术有限公司提供的分析情况,基于Jakarta Multipart parser的文件上传模块在处理文件上传(multipart)的请求时候对异常信息做了捕获,并对异常信息做了OGNL表达式处理。但在在判断content-type不正确的时候会抛出异常并且带上Content-Type属性值,可通过精心构造附带OGNL表达的URL导致远程代码执行。CNVD对漏洞的综合评级均为“高危”。由于struts 2.3.5之前的版本存在S2-016漏洞,因此有较多升级后的Apache struts2的版本为2.3.5及以上版本,极有可能受到漏洞的影响。


二、漏洞影响范围


受漏洞影响的版本为:Struts2.3.5-Struts2.3.31, Struts2.5-Struts2.5.10。截至2017年3月7日13时,互联网上已经公开了漏洞的攻击利用代码,同时已有安全研究者通过CNVD网站、补天平台提交了多个受漏洞影响的省部级党政机关、金融、能源、电信等行业单位以及知名企业门户网站案例。根据CNVD秘书处抽样测试结果,互联网上采用Apache Struts 2框架的网站(不区分Struts版本,样本集>500,覆盖政府、高校、企业)受影响比例为60.1%。


三、漏洞处置建议
Apache Struts官方已在发布的新的版本中修复了该漏洞。建议使用Jakarta Multipart parser模块的用户升级到Apache Struts版本2.3.32或2.5.10.1。除了升级struts版本外,为有效防护漏洞攻击,建议用户采取主动检测、网络侧防护的方法防范黑客攻击:
(一)无害化检测方法(该检测方法由安恒公司提供)
在向服务器发出的http请求报文中,修改Content-Type字段:
Content-Type: %{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('vul','vul')}.multipart/form-data,如返回response报文中存在vul:vul字段项则表明存在漏洞。
(二)网络侧防护技术措施
建议在网络防护设备上配置过滤包含如下
#nike='multipart/form-data' 以及
#container=#context['com.opensymphony.xwork2.ActionContext.container' 字段串(及相关字符转义形式)的URL请求。
CNCERT/CNVD已着手组织国内安全企业协同开展相关检测和攻击监测相关工作,后续将再次汇总处置工作情况。



windows 及 Apache Struts2 高危漏洞安全公告及解决方案
相关文章

关注我们

关于我们

  • 400热线:400-920-4021
  • 电话:0755-33076677
  • 邮箱:info@a166.com
  • 地址:深圳市福田区彩莲路天隆大厦1507

产品销售

售后服务

  • 售后 锐一售后客服
  • 售后 锐一售后客服

增值服务

  • 证书 SSL
收缩