安全通告（2018年9月简报）

本期安全公告发布2018年9月的病毒威胁、系统漏洞和国内外安全动态等。请用户及时更新杀毒软件病毒库并且访问各厂商站点获取并安装各漏洞的补丁或升级程序。 

Microsoft发布2018年9月安全更新

近日，微软发布了2018年9月份的月度例行安全公告，修复了其多款产品存在的192个安全漏洞。受影响的产品包括Windows 10 v1803 and Server 2016（30个）、Windows 10 v1709（27个）、Windows 10 v1703（26个）、Windows 8.1 and Windows Server2012 R2（23个）、Windows Server 2012（20个）、Windows 7 and Windows Server 2008R2（19个）、Windows Server 2008（18个）、Internet Explorer（6个）、Microsoft Edge（15个）和Microsoft Office（8个）。

利用上述漏洞，攻击者可以获取敏感信息，提升权限，欺骗，绕过安全功能限制，执行远程代码，或进行拒绝服务攻击等。CNVD提醒广大Microsoft用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

参考信息：

https://support.microsoft.com/en-us/help/20180911/security-update-deployment-information-september-11-2018

关于Apache Struts2 S2-057远程代码执行漏洞的安全公告

近日，国家信息安全漏洞共享平台（CNVD）收录了Apache Struts2 S2-057远程代码执行漏洞（CNVD-2018-15894，对应CVE-2018-11776）。攻击者利用该漏洞，可在未授权的情况下远程执行代码。目前，漏洞验证脚本尚未公开，厂商已发布升级版本修复此漏洞。

一、漏洞情况分析

Struts2是第二代基于Model - View - Controller （MVC）模型的java企业级web应用框架，成为国内外较为流行的容器软件中间件。

近日，Apache Strust2发布最新安全公告，Apache Struts2存在远程代码执行的高危漏洞（CVE - 2018 - 11776），该漏洞由Semmle Security Research team的安全研究员Man YueMo发现。该漏洞是由于在Struts2开发框架中使用namespace功能定义XML配置时，namespace值未被设置且在上层动作配置（Action Configuration）中未设置或用通配符namespace，可能导致远程代码执行。同理，url标签未设置value和action值且上层动作未设置或用通配符namespace时也可能导致远程代码执行。

上述漏洞存在的代码问题位于Default Action Mapper这个类parse Name And Namespace方法里，如下图所示：

图1 代码分析

当alwaysSelectFullNamespace被设置为true时，namespace的值从uri中获取，由此可知uri是可控的，所以这就直接导致了namespace可控。最终会调用TextParseUtil.translateVariables方法解析Ognl语句。

将namespace污染为$(2333+2333)，可成功带入函数并执行。漏洞利用结果如下图所示：

图2 漏洞利用

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

目前，漏洞影响的产品版本包括但不限于：

Struts 2.3-2.3.34

Struts 2.5-2.5.16

三、漏洞处置建议

目前，Apache公司已发布了新版本（Struts 2.3.35或Struts 2.5.17）修复了该漏洞，高正信息建议用户及时升级最新版本：

https://cwiki.apache.org/confluence/display/WW/S2-057

暂无法及时更新的用户，可采用如下临时解决方案:

当上层动作配置中未设置或使用通配符namespace时，验证所有XML配置中的namespace，同时在JSP中验证所有url标签的value和action，确保上述namespace、value和action值均不可控。

附：参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-15894

https://cwiki.apache.org/confluence/display/WW/S2-057