近日,Struts2与ghostcript接连曝出高危漏洞,攻击者可利用漏洞远程执行代码,影响广泛。网宿科技第一时间关注了事件进展,紧急启动应急响应,通过对网宿网盾WAF防火墙,及时更新防御策略,开启最高防御等级,平台客户无需任何操作即可避免利用上述漏洞展开的攻击。

事件回顾

ghostscript命令执行漏洞

Ghostscript是一套建基于Adobe、PostScript及可移植文档格式(PDF)的页面描述语言等而编译成的免费软件,应用十分广泛,ImageMagick、python-matplotlib、libmagick 等图像处理应用均有引用。

8 月 21 号,Tavis Ormandy 通过公开邮件列表[.]org/p/project-zero/issues/detail?id=1640,再次指出 ghostscript 的安全沙箱可以被绕过,通过构造恶意的图片内容,可造成命令执行。

以往,针对安全问题,gs官方通常采用增加参数-dSAFER来开启安全沙箱,该沙箱在程序执行过程中由LockSafetyParams这个值进行控制,此次Taviso发现通过restore操作会将该值成功覆盖,导致安全沙箱被绕过,引发命令执行漏洞。

影响范围

软件全版本、全平台均受到影响。

漏洞导致所有引用ghostscript的应用受到影响,例如:

Imagemagick、libmagick、graphicsmagick、gimp、python-matplotlib、texlive-core、texmacs、latex2html、latex2rtf等。

官方修复方案

官方尚未更新缓解措施。

漏洞危害

黑客可以通过构造包含恶意代码的图片,执行系统命令入侵服务器。

CVE-2018-11776(S2-057)漏洞

Struts2是流行和成熟的基于MVC设计模式的Web应用程序框架,2018年8月23日,Apache Strust2发布最新安全公告,Apache Struts2 存在远程代码执行的高危漏洞。

影响范围

Struts 2.3 -2.3.34、Struts 2.5 -2.5.16

官方修复方案

升级至Apache Struts 2  2.3.35或2.5.17版本,同时重启服务。

漏洞危害

Struts2在XML配置中如果namespace值未设置且(Action Configuration)中未设置或用通配符namespace时可能会导致远程代码执行,黑客可以利用该漏洞执行java命令获取权限进而入侵web服务器。

网宿云WAF实时响应

网宿云WAF已于漏洞公开后的第一时间更新防护策略,为平台客户实时抵御威胁。同时,网宿云安全已开通漏洞响应快速通道,受本次漏洞影响的网站负责人可以致电网宿科技7*24小时客服热线,在安全专家的指导下快速接入网站,立即启动防护。

网宿云WAF能够防护已知的各类漏洞,同时,还可以基于对大量监控数据的实时分析,可以第一时间发现并防护新出现的漏洞,保障网站底层框架的安全。

客服热线