绿盟科技网络安全威胁周报2017.36 Struts2远程代码执行漏洞(S2-052)CVE-2017-9805

简介:

绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-36,绿盟科技漏洞库本周新增29条,其中高危6条。本次周报建议大家关注 Apache Struts2远程代码执行漏洞(S2-052) 。Struts2 REST插件的XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。该漏洞利用简单、危害较大、影响面较广,请用户及时排查是否收到影响,若受影响,需到 Apache官方网站 下载升级补丁,修复漏洞。

焦点漏洞

Apache Struts2远程代码执行漏洞(S2-052)

  • NSFOCUS ID 37544
  • CVE ID CVE-2017-9805

受影响版本

  • Apache Group Struts 2.5-2.5.12
  • Apache Group Struts 2.1.2-2.3.33

漏洞点评

Struts2 是构建企业级Jave Web应用的可扩展框架,被大量金融、电信等企业客户采用。但近日,Struts2的REST插件被发现存在远程代码执行漏洞。Struts2 REST插件的XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。该漏洞利用简单、危害较大、影响面较广,请用户及时排查是否收到影响,若受影响,需到 Apache官方网站 下载升级补丁,修复漏洞。

(数据来源:绿盟科技安全研究部&产品规则组)

互联网安全态势

CVE统计

cve-201735.png

最近一周CVE公告总数与前期相比有所上升。值得关注的高危漏洞如下:

cvss-201735.png

威胁信息回顾

  • 标题:A code execution flaw in LabVIEW will remain unpatched

    • 时间:2017-09-03
    • 摘要:Security researchers at Cisco Talos have discovered a code execution issue in LabVIEW software that will remain unpatched.
    • 链接:http://securityaffairs.co/wordpress/62588/hacking/labview-code-execution-flaw.html
  • 标题: Taringa: Over 28 Million Users’ Data Exposed in Massive Data Breach

    • 时间:2017-09-04
    • 摘要:Exclusive — If you have an account on Taringa, also known as “The Latin American Reddit,” your account details may have compromised in a massive data breach that leaked login details of almost all of its over 28 million users.
    • 链接:http://thehackernews.com/2017/09/taringa-data-breach-hacking.html
  • 标题:Critical Flaw in Apache Struts2 Lets Hackers Take Over Web Servers

    • 时间:2017-09-05
    • 摘要:Security researchers have discovered a critical remote code execution vulnerability in the popular Apache Struts web application framework, allowing a remote attacker to run malicious code on the affected servers.
    • 链接:http://thehackernews.com/2017/09/apache-struts-vulnerability.html
  • 标题:Apache Software Foundation Releases Security Update

    • 时间:2017-09-06
    • 摘要:US-CERT encourages users and administrators to review the Apache Security Bulletin and Vulnerability Note VU#112992 and upgrade to Struts 2.5.13.
    • 链接:https://www.us-cert.gov/ncas/current-activity/2017/09/06/Apache-Software-Foundation-Releases-Security-Update
  • 标题:European Companies Must Tell Employees If Their Work Emails Are Being Monitored

    • 时间:2017-09-05
    • 摘要:The European Court of Human Rights (ECHR) on Tuesday gave a landmark judgement concerning privacy in the workplace by overturning an earlier ruling that gave employers the right to spy on workplace communications.
    • 链接:http://thehackernews.com/2017/09/employee-monitoring.html
  • 标题:Experts discover a new sophisticated malware dubbed xRAT tied to mRAT threat

    • 时间:2017-09-05
    • 摘要:Researchers at Lookout spotted a new mobile remote access Trojan dubbed xRAT tied to 2014 “Xsser / mRAT” surveillance campaign against Hong Kong protesters.
    • 链接:http://securityaffairs.co/wordpress/62737/malware/xrat-malware.html
  • 标题: Military Contractor’s Vendor Leaks Resumes in Misconfigured AWS S3

    • 时间:2017-09-05
    • 摘要:Thousands of resumes and job applications containing the personal information of U.S. veterans, many with top secret clearances, and law enforcement officers were left exposed in an Amazon Web Services S3 bucket, continuing a trend where poorly configured cloud-storage services are putting people at risk.
    • 链接:https://threatpost.com/military-contractors-vendor-leaks-resumes-in-misconfigured-aws-s3/127803/
  • 标题:XPwn2017

    • 时间:2017-09-06
    • 摘要:2017年9月6日,由XCon组委会、北京未来安全信息技术有限公司联合主办,蚂蚁金服安全应急响应中心、百度安全共同支持的“XPwn2017 未来安全探索盛会”在北京隆重召开。本届盛会以“极智·未来”为主题广邀国内外信息安全爱好者、信息安全工作者以及信息安全行业专家共赴安全“极智”盛宴。
    • 链接:http://www.ijiandao.com/safe/it/68488.html
  • 标题: Mobile Bootloaders From Top Manufacturers Found Vulnerable to Persistent Threats

    • 时间:2017-09-05
    • 摘要:Security researchers have discovered several severe zero-day vulnerabilities in the mobile bootloaders from at least four popular device manufacturers that could allow an attacker to gain persistent root access on the device.
    • 链接:http://thehackernews.com/2017/09/hacking-android-bootloader-unlock.html
  • 标题: Dragonfly 2.0 Gains Operational Access to U.S. Energy Companies

    • 时间:2017-09-05
    • 摘要:Hacker group Dragonfly 2.0 just breached U.S. and European energy companies, gaining operational access to power grids. This recent infiltration allows hackers to “flip the switch” at power companies, stopping electricity flow to homes and business in the U.S.
    • 链接:http://resources.infosecinstitute.com/dragonfly-2-0-gains-operational-access-u-s-energy-companies/
  • 标题:WireX Variant Capable of UDP Flood Attacks

    • 时间:2017-09-06
    • 摘要:The WireX botnet presented defenders with many superlatives: the largest mobile botnet ever; hundreds of mobile apps spreading application-layer DDoS malware; unprecedented cooperation between technology companies—even competitors—to halt some of its activities.
    • 链接:https://threatpost.com/wirex-variant-capable-of-udp-flood-attacks/127825/
  • 标题: Breach at Equifax May Impact 143M Americans

    • 时间:2017-09-06
    • 摘要:Equifax, one of the “big-three” U.S. credit bureaus, said today a data breach at the company may have affected 143 million Americans, jeopardizing consumer Social Security numbers, birth dates, addresses and some driver’s license numbers.
    • 链接:https://krebsonsecurity.com/2017/09/breach-at-equifax-may-impact-143m-americans/
  • 标题:Wikileaks Unveils Project Protego: CIA’s Secret Missile Control System

    • 时间:2017-09-07
    • 摘要:Every week since March Wikileaks has been leaking secrets from the United States Central Intelligence Agency (CIA), which mainly focus on surveillance techniques and hacking tools employed by its agents.
    • 链接:Every week since March Wikileaks has been leaking secrets from the United States Central Intelligence Agency (CIA), which mainly focus on surveillance techniques and hacking tools employed by its agents.

(数据来源:绿盟科技 威胁情报与网络安全实验室 收集整理)

漏洞研究

漏洞库统计

截止到2017年9月8日,绿盟科技漏洞库已收录总条目达到37561条。本周新增漏洞记录29条,其中高危漏洞数量6条,中危漏洞数量16条,低危漏洞数量7条。

vul-nsf-201736-1.png

vul-nsf-201736-2.png

  • McAfee LiveSafe (MLS) 中间人攻击漏洞(CVE-2017-3898)
    • 危险等级:中
    • cve编号:CVE-2017-3898
  • McAfee LiveSafe (MLS) 代码注入漏洞(CVE-2017-3897)
    • 危险等级:中
    • cve编号:CVE-2017-3897
  • ImageMagick ReadBMPImage 拒绝服务漏洞(CVE-2017-12693)
    • 危险等级:低
    • cve编号:CVE-2017-12693
  • QEMU 拒绝服务漏洞(CVE-2017-13711)
    • 危险等级:中
    • BID:100534
    • cve编号:CVE-2017-13711
  • ImageMagick ReadVIFFImage 拒绝服务漏洞(CVE-2017-12692)
    • 危险等级:低
    • cve编号:CVE-2017-12692
  • Linux kernel tcp_disconnect拒绝服务漏洞(CVE-2017-14106)
    • 危险等级:中
    • cve编号:CVE-2017-14106
  • ImageMagick ReadOneLayer 拒绝服务漏洞(CVE-2017-12691)
    • 危险等级:低
    • cve编号:CVE-2017-12691
  • gdk-pixbuf整数溢出及堆缓冲区溢出漏洞
    • 危险等级:高
    • BID:100541
    • cve编号:CVE-2017-2870,CVE-2017-2862
  • phpFileManager 任意命令执行漏洞(CVE-2015-5958)
    • 危险等级:中
    • cve编号:CVE-2015-5958
  • ImageMagick WriteMSLImage内存泄露漏洞(CVE-2017-14139)
    • 危险等级:低
    • cve编号:CVE-2017-14139
  • ImageMagick ReadWEBPImage内存泄露漏洞(CVE-2017-14138)
    • 危险等级:低
    • cve编号:CVE-2017-14138
  • Apache Struts2远程代码执行漏洞(S2-052)(CVE-2017-9805)
    • 危险等级:高
    • cve编号:CVE-2017-9805
  • Linux kernel atyfb_ioctl函数信息泄露漏洞(CVE-2017-14156)
    • 危险等级:低
    • cve编号:CVE-2017-14156
  • GraphicsMagick 拒绝服务漏洞(CVE-2017-13777)
    • 危险等级:低
    • BID:100575
    • cve编号:CVE-2017-13777
  • GoAhead websDecodeUrl空指针间接引用漏洞(CVE-2017-14149)
    • 危险等级:高
    • cve编号:CVE-2017-14149
  • Apache Hadoop信息泄露漏洞(CVE-2016-3086)
    • 危险等级:中
    • BID:95335
    • cve编号:CVE-2016-3086
  • Foxit Reader XFA gotoURL命令注入远程代码执行漏洞(CVE-2017-10953)
    • 危险等级:高
    • cve编号:CVE-2017-10953
  • Bitdefender Internet Security PDF Predictor远程代码执行漏洞(CVE-2017-10954)
    • 危险等级:中
    • cve编号:CVE-2017-10954
  • Cisco Prime LAN Management Solution会话固定漏洞(CVE-2017-12225)
    • 危险等级:中
    • cve编号:CVE-2017-12225
  • Cisco Emergency Responder SQL注入漏洞(CVE-2017-12227)
    • 危险等级:中
    • cve编号:CVE-2017-12227
  • Cisco Unified Communications Manager Trust Verification Service拒绝服务漏洞(CVE-2017-6791)
    • 危险等级:中
    • cve编号:CVE-2017-6791
  • Apache Struts拒绝服务漏洞(CVE-2017-9793)
    • 危险等级:中
    • BID:100611
    • cve编号:CVE-2017-9793
  • SpiderControl SCADA Web Server任意代码执行漏洞(CVE-2017-12728)
    • 危险等级:中
    • cve编号:CVE-2017-12728
  • Apache Struts拒绝服务漏洞(CVE-2017-9804)
    • 危险等级:中
    • BID:100612
    • cve编号:CVE-2017-9804
  • Cisco IR800 Integrated Services Router ROM Monitor输入验证漏洞(CVE-2017-12223)
    • 危险等级:高
    • cve编号:CVE-2017-12223
  • Cisco Meeting Server信息泄露漏洞(CVE-2017-12224)
    • 危险等级:中
    • cve编号:CVE-2017-12224
  • Cisco Unity Connection反射型跨站脚本漏洞(CVE-2017-12212)
    • 危险等级:中
    • cve编号:CVE-2017-12212
  • Cisco IoT Field Network Director内存耗尽拒绝服务漏洞(CVE-2017-6780)
    • 危险等级:高
    • cve编号:CVE-2017-6780
  • Cisco ASR 5500 System Architecture Evolution Gateway拒绝服务漏洞(CVE-2017-12217)
    • 危险等级:中
    • cve编号:CVE-2017-12217

(数据来源:绿盟科技安全研究部&产品规则组)



原文发布时间:2017年9月12日

本文由:绿盟科技发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/nsfocus-internet-security-threats-weekly-201736

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

相关文章
|
2天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
本文将介绍网络安全和信息安全的基本概念,以及它们在现代社会中的重要性。我们将探讨网络安全漏洞的类型和影响,加密技术的作用和分类,以及如何提高个人和组织的安全意识。文章还将通过代码示例来说明一些常见的安全漏洞和攻击方式,并提供相应的防御策略。希望读者能够通过本文了解网络安全和信息安全的基本原理,增强自身的安全意识,并采取有效的措施保护自己的信息安全。
15 1
|
1天前
|
SQL 安全 网络安全
网络安全与信息安全的现代挑战:从漏洞到加密技术
在数字化时代,网络安全和信息安全成为维护数据完整性、保密性和可用性的关键。本文将探讨网络安全中的常见漏洞,介绍加密技术如何增强安全,并强调培养良好安全意识的重要性。我们还将通过代码示例,展示如何在实际环境中应用这些概念以保护系统免受潜在威胁。
14 6
|
1天前
|
SQL 安全 算法
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为全球关注的焦点。本文将探讨网络安全漏洞、加密技术和安全意识等方面的内容,以帮助读者更好地了解网络安全的重要性并采取相应的措施来保护自己的信息安全。
10 2
|
2天前
|
监控 安全 算法
网络安全与信息安全:漏洞、加密与意识
随着互联网的飞速发展,网络安全问题日益受到关注。本文将探讨网络安全中的漏洞、加密技术以及安全意识等方面的内容,以期帮助读者更好地了解和应对网络安全挑战。
|
3天前
|
SQL 安全 网络安全
网络防御的艺术:漏洞、加密与意识的交织
在数字世界的无限可能中,网络安全与信息安全成为维系现代社会正常运转的关键。本文将探讨网络安全中的常见漏洞,介绍加密技术的基本原理,并强调安全意识在个人和组织层面的重要性。通过深入浅出的方式,我们将揭示如何通过技术手段和正确的安全习惯来保护我们的数字资产。
12 2
|
3天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为全球关注的焦点。本文将深入探讨网络安全漏洞、加密技术以及安全意识的重要性。我们将从网络攻击的常见类型入手,分析其背后的原理,并介绍如何通过加密技术和提高个人及组织的安全意识来防范这些攻击。此外,我们还将分享一些实用的代码示例,帮助您更好地理解和应用这些安全措施。无论您是IT专业人士还是普通用户,这篇文章都将为您提供宝贵的信息和建议,帮助您在日益复杂的网络环境中保护自己的数字资产。
|
2天前
|
安全 算法 网络安全
网络安全的守护者:漏洞、加密与安全意识
在数字化浪潮中,网络安全已成为保护个人隐私与企业资产的盾牌。本文旨在揭示网络世界中潜藏的风险,探讨如何通过加密技术强化数据防护,并提升公众的安全意识。从最新的网络漏洞案例,到复杂的密码学原理,再到日常生活中的安全实践,我们将一同穿梭在这个由代码和数据构建的迷宫中,寻找抵御网络威胁的答案。
|
3天前
|
SQL 安全 算法
网络安全与信息安全的全面解析:应对漏洞、加密技术及提升安全意识的策略
本文深入探讨了网络安全和信息安全的重要性,详细分析了常见的网络安全漏洞以及其利用方式,介绍了当前流行的加密技术及其应用,并强调了培养良好安全意识的必要性。通过综合运用这些策略,可以有效提升个人和企业的网络安全防护水平。
|
4天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益严重。本文将从网络安全漏洞、加密技术和安全意识三个方面,探讨如何保护个人信息和网络安全。我们将通过实例分析,了解网络攻击者如何利用安全漏洞进行攻击,以及如何运用加密技术防止数据泄露。同时,我们还将讨论提高个人和企业的安全意识的重要性。
|
5天前
|
SQL 存储 安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享##
网络安全与信息安全是当今数字化世界中的重要议题,涉及网络漏洞、加密技术和安全意识等方面。本文将探讨这些关键问题,旨在提升读者对网络安全的认知和应对能力。通过了解常见的网络安全漏洞类型及其影响,掌握加密技术的基本原理和应用,以及培养良好的安全意识和行为习惯,我们可以有效保护自己的隐私和数据安全。网络安全不仅仅是技术问题,更是每个人都应该关注和参与的重要事项。希望通过这篇文章的分享,读者能够增强自身的网络安全意识,共同构建一个更加安全的网络环境。 ##