2017年度安全报告--应用漏洞.pdf

《2017年度安全报告--应用漏洞》 在2017年，网络安全成为全球关注的焦点，尤其是应用漏洞的出现，对个人隐私和企业业务的稳定性构成了严重威胁。360 Computer Emergency Readiness Team发布的这份年度安全报告，详细梳理了当年的主要应用漏洞，以期提高公众对网络安全的认识。 报告中提到了多个著名应用和框架的安全问题，包括Struts2的S2-045和S2-046漏洞，这两个漏洞允许远程代码执行，影响范围广泛，主要由于Struts2的默认配置和OGNL（Object-Graph Navigation Language）引擎的不安全使用。Struts2是一个广泛用于构建Java EE网络应用程序的开源框架，但其强大的功能也带来了安全风险。攻击者能够构造特定的Content-Type值，以触发远程代码执行，而Struts2的安全管理器未能有效阻止这些攻击。 此外，报告还提到了DotNetNuke的CVE-2017-9822漏洞，这是一个影响Windows IIS 6.0 WebDAV服务的漏洞（CVE-2017-7269），以及FFmpeg的安全问题，这些问题可能导致系统受到攻击。Nginx的CVE-2017-7529漏洞让服务器面临被利用的风险，而Cisco WebEx的CVE-2017-6753漏洞则暴露了会议软件的脆弱性。Git的ssh CVE-2017-1000117漏洞则可能让版本控制系统遭受攻击，Exim-UAF漏洞（CVE-2017-16943）影响了电子邮件服务器的安全。 报告统计了2017年漏洞最多的50个产品，其中Android、Linux Kernel和iPhone OS位居前三，分别有841、435和387个漏洞。在应用类产品中，Image-Magick的漏洞数量最多，达到357个，主要涉及文件解析和编辑器的漏洞，虽然数量庞大，但大多数危害较低且利用难度大。 报告强调了评估漏洞价值的三个关键因素：应用的使用量、漏洞的利用难度以及漏洞可能造成的危害。虽然2017年披露的漏洞数量众多，但真正有价值的、可被恶意利用的漏洞并不多。 2017年的一个重要事件是3月6日Struts2发布的S2-045漏洞公告，此漏洞通过精心构造的Content-Type值可以实现远程代码执行，影响了大量Struts2的版本。仅仅两周后，S2-046漏洞曝光，进一步扩大了攻击面。这两个漏洞的广泛影响和低利用成本使得它们成为了当年最具代表性的安全事件之一。 2017年的安全报告显示，虽然漏洞数量多，但真正构成严重威胁的并不多。企业和个人应加强网络安全意识，及时更新和修补软件，以防止潜在的安全风险。同时，开发人员应更加重视代码的安全性，减少漏洞的产生，以保障互联网环境的稳定和用户的数据安全。