360：2017年度安全报告––应用漏洞(37页)（37页）.pdf

1、360 Computer Emergency Readiness Team, February 2018 文中部分信息直接参考外部文章（见参考），如有侵权或异议请联系 2017 年度安全报告 应用漏洞 Struts2 S2-045/S2-046 漏洞 Struts2 S2-052 漏洞 DotNetNuke CVE-2017-9822 漏洞 IIS 6.0 WebDAV CVE-2017-7269 漏洞 FFmpeg 安全问题 Nginx CVE-2017-7529 漏洞 Cisco WebEx CVE-2017-6753 漏洞 Git ssh CVE-2017-1000117 漏洞 CVE-

2、2017-16943 Exim-UAF 漏洞 Application Vulnerabilities 2017 年度安全报告应用漏洞 360 Computer Emergency Readiness Team, February 20182 应用程序作为计算机服务的直接提供者，其存在是不可或缺的。除了传统的 CS 应用之外还出现了 各种的 web 应用，相应的还有提供 web 服务的各类 web 容器。应用是广泛的存在于我们的日 常生活中的，如若其中出现了漏洞，将可能直接影响业务的正常运作。本文是 360CERT 对 2017 年应用漏洞的总结。 Application Vulnerabili

3、ties 2017 年度安全报告应用漏洞 360 Computer Emergency Readiness Team, February 20183 漏洞情况 统计出 2017 年，漏洞最多的 50 个产品，其中系统类 20 个，应 用类 30 个。可以看到漏洞最多的是 Android，Linux Kernel， Iphone OS，分别 841，435，387 枚漏洞。 筛选出应用类产品漏洞 top10，大多来自 Adobe，Microsoft， Apple ，Google 和开源社区的产品。排在首位的是 Image- Magick， 大多数都是文件解析及编辑器方面的漏洞， 多达 357 枚

4、， 大部分是本地 DOS 和溢出，危害低且利用难度大。这也反映了整 体现象：漏洞多，但是价值高的可利用漏洞太少。 简单的说，评判漏洞有三个维度：应用的使用量，漏洞的利用难度， 漏洞造成的危害。接下来，对 2017 年有价值的应用漏洞进行详细 分析。 2017 年度安全报告应用漏洞 360 Computer Emergency Readiness Team, February 20184 2017 年披露的有价值应用漏洞进行梳理 2017 年度安全报告应用漏洞 360 Computer Emergency Readiness Team, February 20185 2017 年 3 月 6 日

5、，Struts2 发布 了关于 S2-045 的漏洞公告，提 及到可以通过构造好的 Content- Type 值来实现远程代码执行攻 击，影响的版本为 Struts2 2.3.5 - Struts2 2.3.31，Struts2 2.5 - Struts2 2.5.10。由于在默认的情 况下便可触发漏洞，并且有人发出 了可以实现命令执行的 Payload 导致该漏洞的影响不仅广而且利 用成本低，从一些 SRC 平台上对 该漏洞的提交情况也可以看出这 一点。随后在 20 日出来的 S2- 046 是在 S2-045 的基础上还存 在其它的触发点。由于该漏洞造成 的影响非常广，在这里进行回顾。

6、Struts2 S2-045/S2-046 漏洞 Struts2 及漏洞相关背景 Apache Struts2 是一个用于开发 Java EE 网络应用程序的 开放源代码网页应用程序架构。它利用并延伸了 Java Servlet API，鼓励开发者采用 MVC 架构。缘起于 Apache Struts 的 WebWork 框架，旨在提供相对于 Struts 框架的增强和改进，同 时保留与 Struts 框架类似的结构。2005 年 12 月，WebWork 宣布 WebWork 2.2 以 Apache Struts2 的名义合并至 Struts。 由于 Struts2 中的 OGNL 引擎功