绿盟科技网络安全威胁周报2017.36 Struts2远程代码执行漏洞(S2-052)CVE-2017-9805

简介:

绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-36,绿盟科技漏洞库本周新增29条,其中高危6条。本次周报建议大家关注 Apache Struts2远程代码执行漏洞(S2-052) 。Struts2 REST插件的XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。该漏洞利用简单、危害较大、影响面较广,请用户及时排查是否收到影响,若受影响,需到 Apache官方网站 下载升级补丁,修复漏洞。

焦点漏洞

Apache Struts2远程代码执行漏洞(S2-052)

  • NSFOCUS ID 37544
  • CVE ID CVE-2017-9805

受影响版本

  • Apache Group Struts 2.5-2.5.12
  • Apache Group Struts 2.1.2-2.3.33

漏洞点评

Struts2 是构建企业级Jave Web应用的可扩展框架,被大量金融、电信等企业客户采用。但近日,Struts2的REST插件被发现存在远程代码执行漏洞。Struts2 REST插件的XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。该漏洞利用简单、危害较大、影响面较广,请用户及时排查是否收到影响,若受影响,需到 Apache官方网站 下载升级补丁,修复漏洞。

(数据来源:绿盟科技安全研究部&产品规则组)

互联网安全态势

CVE统计

最近一周CVE公告总数与前期相比有所上升。值得关注的高危漏洞如下:

威胁信息回顾

  • 标题:A code execution flaw in LabVIEW will remain unpatched

    • 时间:2017-09-03
    • 摘要:Security researchers at Cisco Talos have discovered a code execution issue in LabVIEW software that will remain unpatched.
    • 链接:http://securityaffairs.co/wordpress/62588/hacking/labview-code-execution-flaw.html
  • 标题: Taringa: Over 28 Million Users’ Data Exposed in Massive Data Breach

    • 时间:2017-09-04
    • 摘要:Exclusive — If you have an account on Taringa, also known as “The Latin American Reddit,” your account details may have compromised in a massive data breach that leaked login details of almost all of its over 28 million users.
    • 链接:http://thehackernews.com/2017/09/taringa-data-breach-hacking.html
  • 标题:Critical Flaw in Apache Struts2 Lets Hackers Take Over Web Servers

    • 时间:2017-09-05
    • 摘要:Security researchers have discovered a critical remote code execution vulnerability in the popular Apache Struts web application framework, allowing a remote attacker to run malicious code on the affected servers.
    • 链接:http://thehackernews.com/2017/09/apache-struts-vulnerability.html
  • 标题:Apache Software Foundation Releases Security Update

    • 时间:2017-09-06
    • 摘要:US-CERT encourages users and administrators to review the Apache Security Bulletin and Vulnerability Note VU#112992 and upgrade to Struts 2.5.13.
    • 链接:https://www.us-cert.gov/ncas/current-activity/2017/09/06/Apache-Software-Foundation-Releases-Security-Update
  • 标题:European Companies Must Tell Employees If Their Work Emails Are Being Monitored

    • 时间:2017-09-05
    • 摘要:The European Court of Human Rights (ECHR) on Tuesday gave a landmark judgement concerning privacy in the workplace by overturning an earlier ruling that gave employers the right to spy on workplace communications.
    • 链接:http://thehackernews.com/2017/09/employee-monitoring.html
  • 标题:Experts discover a new sophisticated malware dubbed xRAT tied to mRAT threat

    • 时间:2017-09-05
    • 摘要:Researchers at Lookout spotted a new mobile remote access Trojan dubbed xRAT tied to 2014 “Xsser / mRAT” surveillance campaign against Hong Kong protesters.
    • 链接:http://securityaffairs.co/wordpress/62737/malware/xrat-malware.html
  • 标题: Military Contractor’s Vendor Leaks Resumes in Misconfigured AWS S3

    • 时间:2017-09-05
    • 摘要:Thousands of resumes and job applications containing the personal information of U.S. veterans, many with top secret clearances, and law enforcement officers were left exposed in an Amazon Web Services S3 bucket, continuing a trend where poorly configured cloud-storage services are putting people at risk.
    • 链接:https://threatpost.com/military-contractors-vendor-leaks-resumes-in-misconfigured-aws-s3/127803/
  • 标题:XPwn2017

    • 时间:2017-09-06
    • 摘要:2017年9月6日,由XCon组委会、北京未来安全信息技术有限公司联合主办,蚂蚁金服安全应急响应中心、百度安全共同支持的“XPwn2017 未来安全探索盛会”在北京隆重召开。本届盛会以“极智·未来”为主题广邀国内外信息安全爱好者、信息安全工作者以及信息安全行业专家共赴安全“极智”盛宴。
    • 链接:http://www.ijiandao.com/safe/it/68488.html
  • 标题: Mobile Bootloaders From Top Manufacturers Found Vulnerable to Persistent Threats

    • 时间:2017-09-05
    • 摘要:Security researchers have discovered several severe zero-day vulnerabilities in the mobile bootloaders from at least four popular device manufacturers that could allow an attacker to gain persistent root access on the device.
    • 链接:http://thehackernews.com/2017/09/hacking-android-bootloader-unlock.html
  • 标题: Dragonfly 2.0 Gains Operational Access to U.S. Energy Companies

    • 时间:2017-09-05
    • 摘要:Hacker group Dragonfly 2.0 just breached U.S. and European energy companies, gaining operational access to power grids. This recent infiltration allows hackers to “flip the switch” at power companies, stopping electricity flow to homes and business in the U.S.
    • 链接:http://resources.infosecinstitute.com/dragonfly-2-0-gains-operational-access-u-s-energy-companies/
  • 标题:WireX Variant Capable of UDP Flood Attacks

    • 时间:2017-09-06
    • 摘要:The WireX botnet presented defenders with many superlatives: the largest mobile botnet ever; hundreds of mobile apps spreading application-layer DDoS malware; unprecedented cooperation between technology companies—even competitors—to halt some of its activities.
    • 链接:https://threatpost.com/wirex-variant-capable-of-udp-flood-attacks/127825/
  • 标题: Breach at Equifax May Impact 143M Americans

    • 时间:2017-09-06
    • 摘要:Equifax, one of the “big-three” U.S. credit bureaus, said today a data breach at the company may have affected 143 million Americans, jeopardizing consumer Social Security numbers, birth dates, addresses and some driver’s license numbers.
    • 链接:https://krebsonsecurity.com/2017/09/breach-at-equifax-may-impact-143m-americans/
  • 标题:Wikileaks Unveils Project Protego: CIA’s Secret Missile Control System

    • 时间:2017-09-07
    • 摘要:Every week since March Wikileaks has been leaking secrets from the United States Central Intelligence Agency (CIA), which mainly focus on surveillance techniques and hacking tools employed by its agents.
    • 链接:Every week since March Wikileaks has been leaking secrets from the United States Central Intelligence Agency (CIA), which mainly focus on surveillance techniques and hacking tools employed by its agents.

(数据来源:绿盟科技 威胁情报与网络安全实验室 收集整理)

漏洞研究

漏洞库统计

截止到2017年9月8日,绿盟科技漏洞库已收录总条目达到37561条。本周新增漏洞记录29条,其中高危漏洞数量6条,中危漏洞数量16条,低危漏洞数量7条。

  • McAfee LiveSafe (MLS) 中间人攻击漏洞(CVE-2017-3898)
    • 危险等级:中
    • cve编号:CVE-2017-3898
  • McAfee LiveSafe (MLS) 代码注入漏洞(CVE-2017-3897)
    • 危险等级:中
    • cve编号:CVE-2017-3897
  • ImageMagick ReadBMPImage 拒绝服务漏洞(CVE-2017-12693)
    • 危险等级:低
    • cve编号:CVE-2017-12693
  • QEMU 拒绝服务漏洞(CVE-2017-13711)
    • 危险等级:中
    • BID:100534
    • cve编号:CVE-2017-13711
  • ImageMagick ReadVIFFImage 拒绝服务漏洞(CVE-2017-12692)
    • 危险等级:低
    • cve编号:CVE-2017-12692
  • Linux kernel tcp_disconnect拒绝服务漏洞(CVE-2017-14106)
    • 危险等级:中
    • cve编号:CVE-2017-14106
  • ImageMagick ReadOneLayer 拒绝服务漏洞(CVE-2017-12691)
    • 危险等级:低
    • cve编号:CVE-2017-12691
  • gdk-pixbuf整数溢出及堆缓冲区溢出漏洞
    • 危险等级:高
    • BID:100541
    • cve编号:CVE-2017-2870,CVE-2017-2862
  • phpFileManager 任意命令执行漏洞(CVE-2015-5958)
    • 危险等级:中
    • cve编号:CVE-2015-5958
  • ImageMagick WriteMSLImage内存泄露漏洞(CVE-2017-14139)
    • 危险等级:低
    • cve编号:CVE-2017-14139
  • ImageMagick ReadWEBPImage内存泄露漏洞(CVE-2017-14138)
    • 危险等级:低
    • cve编号:CVE-2017-14138
  • Apache Struts2远程代码执行漏洞(S2-052)(CVE-2017-9805)
    • 危险等级:高
    • cve编号:CVE-2017-9805
  • Linux kernel atyfb_ioctl函数信息泄露漏洞(CVE-2017-14156)
    • 危险等级:低
    • cve编号:CVE-2017-14156
  • GraphicsMagick 拒绝服务漏洞(CVE-2017-13777)
    • 危险等级:低
    • BID:100575
    • cve编号:CVE-2017-13777
  • GoAhead websDecodeUrl空指针间接引用漏洞(CVE-2017-14149)
    • 危险等级:高
    • cve编号:CVE-2017-14149
  • Apache Hadoop信息泄露漏洞(CVE-2016-3086)
    • 危险等级:中
    • BID:95335
    • cve编号:CVE-2016-3086
  • Foxit Reader XFA gotoURL命令注入远程代码执行漏洞(CVE-2017-10953)
    • 危险等级:高
    • cve编号:CVE-2017-10953
  • Bitdefender Internet Security PDF Predictor远程代码执行漏洞(CVE-2017-10954)
    • 危险等级:中
    • cve编号:CVE-2017-10954
  • Cisco Prime LAN Management Solution会话固定漏洞(CVE-2017-12225)
    • 危险等级:中
    • cve编号:CVE-2017-12225
  • Cisco Emergency Responder SQL注入漏洞(CVE-2017-12227)
    • 危险等级:中
    • cve编号:CVE-2017-12227
  • Cisco Unified Communications Manager Trust Verification Service拒绝服务漏洞(CVE-2017-6791)
    • 危险等级:中
    • cve编号:CVE-2017-6791
  • Apache Struts拒绝服务漏洞(CVE-2017-9793)
    • 危险等级:中
    • BID:100611
    • cve编号:CVE-2017-9793
  • SpiderControl SCADA Web Server任意代码执行漏洞(CVE-2017-12728)
    • 危险等级:中
    • cve编号:CVE-2017-12728
  • Apache Struts拒绝服务漏洞(CVE-2017-9804)
    • 危险等级:中
    • BID:100612
    • cve编号:CVE-2017-9804
  • Cisco IR800 Integrated Services Router ROM Monitor输入验证漏洞(CVE-2017-12223)
    • 危险等级:高
    • cve编号:CVE-2017-12223
  • Cisco Meeting Server信息泄露漏洞(CVE-2017-12224)
    • 危险等级:中
    • cve编号:CVE-2017-12224
  • Cisco Unity Connection反射型跨站脚本漏洞(CVE-2017-12212)
    • 危险等级:中
    • cve编号:CVE-2017-12212
  • Cisco IoT Field Network Director内存耗尽拒绝服务漏洞(CVE-2017-6780)
    • 危险等级:高
    • cve编号:CVE-2017-6780
  • Cisco ASR 5500 System Architecture Evolution Gateway拒绝服务漏洞(CVE-2017-12217)
    • 危险等级:中
    • cve编号:CVE-2017-12217

(数据来源:绿盟科技安全研究部&产品规则组)



原文发布时间:2017年9月12日

本文由:绿盟科技发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/nsfocus-internet-security-threats-weekly-201736

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

相关文章
|
9天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的知识,并提供一些实用的技巧和建议,帮助读者更好地保护自己的网络安全和信息安全。
|
1天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的内容,并提供一些实用的代码示例。通过阅读本文,您将了解到如何保护自己的网络安全,以及如何提高自己的信息安全意识。
25 10
|
4天前
|
安全 算法 网络安全
网络安全的盾牌与剑:漏洞防御与加密技术深度解析
在数字信息的海洋中,网络安全是航行者不可或缺的指南针。本文将深入探讨网络安全的两大支柱——漏洞防御和加密技术,揭示它们如何共同构筑起信息时代的安全屏障。从最新的网络攻击手段到防御策略,再到加密技术的奥秘,我们将一起揭开网络安全的神秘面纱,理解其背后的科学原理,并掌握保护个人和企业数据的关键技能。
16 3
|
9天前
|
监控 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全已成为全球关注的焦点。本文将探讨网络安全漏洞、加密技术以及安全意识的重要性,并提供一些实用的建议来保护个人和组织的数据安全。我们将从网络安全漏洞的识别和防范开始,然后介绍加密技术的原理和应用,最后强调安全意识在维护网络安全中的关键作用。无论你是个人用户还是企业管理者,这篇文章都将为你提供有价值的信息和指导。
|
9天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字化时代,网络安全和信息安全成为了我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术以及安全意识等方面的内容,帮助读者更好地了解网络安全和信息安全的重要性,并提供一些实用的技巧和方法来保护个人信息和数据安全。
18 2
|
15天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第40天】在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术以及安全意识等方面的知识,帮助读者更好地了解网络安全的重要性,并提供一些实用的技巧和建议,以保护个人和组织的信息安全。
41 6
|
2天前
|
存储 安全 网络安全
云计算与网络安全:云服务、网络安全、信息安全等技术领域的融合与挑战
随着云计算技术的飞速发展,越来越多的企业和个人开始使用云服务。然而,云计算的广泛应用也带来了一系列网络安全问题。本文将从云服务、网络安全、信息安全等方面探讨云计算与网络安全的关系,分析当前面临的挑战,并提出相应的解决方案。
20 3
|
8天前
|
安全 算法 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在当今数字化时代,网络安全和信息安全已经成为了全球关注的焦点。随着技术的发展,网络攻击手段日益狡猾,而防范措施也必须不断更新以应对新的挑战。本文将深入探讨网络安全的常见漏洞,介绍加密技术的基本概念和应用,并强调培养良好安全意识的重要性。通过这些知识的分享,旨在提升公众对网络安全的认识,共同构建更加安全的网络环境。
|
8天前
|
存储 安全 网络安全
云计算与网络安全:探索云服务、网络安全和信息安全的交汇点
在数字化时代,云计算已成为企业和个人存储、处理数据的关键技术。然而,随着云服务的普及,网络安全问题也日益凸显。本文将深入探讨云计算与网络安全的关系,分析云服务中的安全挑战,并提出相应的解决方案。同时,我们还将介绍一些实用的代码示例,帮助读者更好地理解和应对网络安全问题。
|
10天前
|
安全 算法 网络协议
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
在数字时代,网络安全和信息安全已经成为了我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的内容,帮助读者更好地了解网络安全的重要性和应对措施。通过阅读本文,您将了解到网络安全的基本概念、常见的网络安全漏洞、加密技术的原理和应用以及如何提高个人和组织的网络安全意识。