双乳被一左一右吃着动态图,小泽マリアAV无码观看,欧美高清性xxxxhdvideosex,国产午夜精品一区二区三区四区

安全公告編號:CNTA-2017-0054

近日，國家信息安全漏洞共享平臺（CNVD）收錄了Apache Struts2 S2-048遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2017-13259，對應(yīng)CVE-2017-9791）,漏洞利用代碼已在互聯(lián)網(wǎng)公開，8日凌晨起互聯(lián)網(wǎng)上已經(jīng)大量的攻擊嘗試并已有若干漏洞案例報(bào)告。針對近年來ApacheStruts2頻繁出現(xiàn)高危風(fēng)險，在相關(guān)案例中國內(nèi)漏洞管理和應(yīng)急工作出現(xiàn)一些較為被動的情況，CNVD就本次S2-048漏洞風(fēng)險和做好相關(guān)高危漏洞管理和應(yīng)急工作，提出相關(guān)建議：

一、S2-048漏洞風(fēng)險情況

Struts2是第二代基于Model-View-Controller (MVC)模型的java企業(yè)級web應(yīng)用框架，是較為流行的容器軟件中間件。2017年7月7日，Apache Struts 發(fā)布最新的安全公告，Struts2 存在遠(yuǎn)程命令執(zhí)行漏洞（命名編號為S2-048）。漏洞成因?yàn)镾howcase 應(yīng)用演示Struts2 整合Struts 1 的插件中存在一處任意代碼執(zhí)行缺陷，當(dāng)應(yīng)用使用了Struts2 Struts1 的插件時，用戶可以構(gòu)造特定輸入（一般為Header字段的OGNL表達(dá)式）發(fā)送到ActionMessage 類中可導(dǎo)致命令執(zhí)行，進(jìn)而獲得服務(wù)器主機(jī)系統(tǒng)權(quán)限。CNVD對該漏洞的綜合評級為“高危”。漏洞影響使用Struts 1插件的Struts 2.3.x版本，修復(fù)建議措施另附。

7月8日上午CNVD接收到安全研究者報(bào)告的涉及若干網(wǎng)站案例，有將S2-045案例誤報(bào)為S2-048漏洞的情況。根據(jù)CNVD秘書處抽樣測試結(jié)果（>1000個網(wǎng)站案例,以在S2-045漏洞中受到影響的案例為主），受S2-048漏洞影響的Apache Struts2網(wǎng)站比例約為0.6%，暫未發(fā)現(xiàn)黨政機(jī)關(guān)和重要用戶單位案例。CNVD認(rèn)為，由于有一定利用前提且影響版本范圍限于2.3.x版本，之前針對S2-045漏洞的升級措施以及國內(nèi)安全廠商8日凌晨實(shí)施的用戶側(cè)應(yīng)急防護(hù)發(fā)揮了積極作用，S2-048漏洞范圍影響較S2-045漏洞要小得多。

二、Apache Struts 2漏洞應(yīng)急案例經(jīng)驗(yàn)教訓(xùn)

回顧2016年以來針對ApacheStruts 2存在的S2-032、S2-045等漏洞的應(yīng)急工作案例，主要存在漏洞詳情披露不當(dāng)、漏洞信息報(bào)告和應(yīng)急準(zhǔn)備不充分等問題。2016年4月下旬，在官方發(fā)布S2-032漏洞不到一周時間內(nèi)，發(fā)現(xiàn)漏洞的國內(nèi)安全廠商就公開了漏洞詳細(xì)分析情況，致使利用代碼開始出現(xiàn)并大范圍傳播，導(dǎo)致大規(guī)模攻擊威脅，漏洞詳情的不當(dāng)披露成為了黑客發(fā)起攻擊的“幫手”。2017年3月“兩會”期間，官方發(fā)布S2-045漏洞但利用方法可通過補(bǔ)丁逆向分析獲得且在互聯(lián)網(wǎng)快速傳播。由于漏洞風(fēng)險信息未提前向國內(nèi)網(wǎng)絡(luò)安全主管部門和應(yīng)急組織報(bào)告，致使黨政機(jī)關(guān)、重要行業(yè)單位網(wǎng)站在未獲得有效應(yīng)急時間窗口的情況下受到大規(guī)模攻擊威脅。本次S2-048漏洞的報(bào)告和應(yīng)急準(zhǔn)備工作也存在與S2-045案例相同的問題。

三、做好高危漏洞管理和應(yīng)急工作的建議

按照《網(wǎng)絡(luò)安全法》有關(guān)規(guī)定（如第二十六條：開展網(wǎng)絡(luò)安全認(rèn)證、檢測、風(fēng)險評估等活動，向社會發(fā)布系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息，應(yīng)當(dāng)遵守國家有關(guān)規(guī)定），參照主管部門制定的《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》、《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案》和國家技術(shù)標(biāo)準(zhǔn)（如：《GB/T 30276-2013 信息安全技術(shù) 信息安全漏洞管理規(guī)范》）以及正在制定的《個人信息和重要數(shù)據(jù)出境安全評估辦法》等規(guī)定，針對Apache Struts 2等軟硬件產(chǎn)品高危漏洞管理和應(yīng)急存在的問題，CNVD提出如下兩方面建議：

一是加強(qiáng)學(xué)習(xí)，提高認(rèn)識。國內(nèi)網(wǎng)絡(luò)安全從業(yè)者應(yīng)樹立守法意識，加強(qiáng)對法律法規(guī)和部門規(guī)定的學(xué)習(xí)。目前網(wǎng)絡(luò)安全監(jiān)管還正處于不斷完善的階段，從業(yè)者應(yīng)充分領(lǐng)會主管部門提出的管理思路和要求，圍繞保障國家關(guān)鍵信息基礎(chǔ)設(shè)施、保障行業(yè)和個人信息安全、共同提升國內(nèi)網(wǎng)絡(luò)安全防護(hù)水平等工作大局，自覺遵守和執(zhí)行有關(guān)規(guī)定和要求。

二是完善流程，協(xié)同自律。加強(qiáng)對有可能對國內(nèi)用戶造成大規(guī)模威脅的漏洞的前置管理，在“漏洞修復(fù)”、“威脅消除”等環(huán)節(jié)給國內(nèi)黨政機(jī)關(guān)、重要行業(yè)單位以及廣大用戶預(yù)留必要的準(zhǔn)備時間。重點(diǎn)從漏洞發(fā)現(xiàn)和報(bào)告環(huán)節(jié)入手，密切配合國家網(wǎng)絡(luò)安全主管部門和應(yīng)急組織提出的工作要求，完善報(bào)告策略和處理流程。加強(qiáng)行業(yè)自律，不得從企業(yè)和個人利益出發(fā)，做出有損于或不利于共同安全利益的漏洞報(bào)告和披露行為。

參考鏈接：

http://www.npc.gov.cn/npc/xinwen/2016-11/07/content_2001605.htm

http://www.cac.gov.cn/2017-06/27/c_1121220113.htm

http://www.cac.gov.cn/2017-04/11/c_1120785691.htm

https://cwiki.apache.org/confluence/display/WW/S2-048

https://cwiki.apache.org/confluence/display/WW/S2-045

https://cwiki.apache.org/confluence/display/WW/S2-032

http://www.cnvd.org.cn/flaw/show/CNVD--2017-13259

（注：CNVD合作方漏洞盒子（屬上海斗象信息科技有限公司）及時報(bào)告了S2-048漏洞詳情，同時CNVD技術(shù)組成員單位奇虎360公司、杭州安恒公司、綠盟科技公司、恒安嘉新公司、天融信公司也報(bào)告相關(guān)分析情況）

另附：S2-048漏洞修復(fù)措施

官方已在Struts 2.5.10.1版本中修復(fù)了該漏洞，請參考官網(wǎng)及時升級：http://struts.apache.org/download.cgi#struts25101。同時未能及時升級的可以參照官方給出的臨時解決方案，或啟用已生成有針對性防護(hù)策略的國內(nèi)廠商網(wǎng)絡(luò)側(cè)防護(hù)產(chǎn)品（如：防火墻、云WAF等）。

臨時解決方案：

應(yīng)使用資源鍵（resource keys），而不是將原始消息直接傳遞給ActionMessage類。正確和錯誤的方式如下所示：

（正確的方式）messages.add("msg",newActionMessage("struts1.gangsterAdded", gform.getName()));

（錯誤的方式）messages.add("msg",new ActionMessage("Gangster " + gform.getName() + " wasadded"));