各镇、街道，区委、区政府各部、委、办、局，各区级机关、人民团体、直属事业单位、区级公司：

2017年第四季度本区电子政务网络与信息安全状况保持平稳，全区未发生有影响的重大信息安全案（事）件。

一、互联网网络与信息安全预警

当前互联网环境中出现的新型病毒及漏洞提示：

（一）Apache Synapse存在远程代码执行漏洞

1.漏洞情况分析

2017年12月11日国家信息安全漏洞共享平台（CNVD）收录了Apache Synapse远程代码执行漏洞CNVD-2017-36700对应CVE-2017-15708。攻击者可利用上述漏洞通过注入特制的序列化对象远程执行代码。

Apache Synapse远程代码执行漏洞是一个简单的、高质量开放源代码的替代方法，为实现 SOA 提供了一种途径，它可以公开现有的应用程序，而无需重新编写任何代码。该漏洞源于Apache CommonsCollections库包含“functor”包中的各个类可被序列化。攻击者可以通过注入特制的序列化对象，并在其类路径中包含Apache Commons Collections库，且不执行任何类型的输入验证，导致可远程执行代码。CNVD对该漏洞的综合评级为“高危”。

2.漏洞影响范围

漏洞影响Apache Synapse 3.0.1之前的所有版本。

3.防护建议

Apache Synapse官方已经发布了最新的3.0.1版本修复该漏洞，请受影响的用户尽快升级到最新版本进行防护。http://synapse.apache.org/download/3.0.1/download.cgi

（二）Microsoft office组件EQNEDT32.EXE内存破坏漏洞

1.漏洞情况分析

2017年11月14日，微软发布了安全补丁修复了office组件中的一个内存破坏漏洞，该漏洞位于文档中插入和编辑公式(OLE对象)的MS办公组件EQNEDT32.EXE中。由于内存操作不正确, 组件无法正确处理内存中的对象,从而使攻击者可以在登录用户的上下文中执行恶意代码。2000年，微软厂商在office 2000中引入了EQNEDT32EXE，并保存在 office 2007之后发布的所有版本中, 以确保软件与旧版本文档的兼容性。利用此漏洞需要使用受影响的微软office 或Microsoft写字板程序打开恶意文件，使未经身份验证的远程攻击者可以在目标系统上执行恶意代码，远程安装恶意软件，进而可能控制整个操作系统。CNVD对该漏洞的综合评级为“高危”。

2.漏洞影响范围

Microsoft office 2007及其以后包括office 365在内的所有Microsoft office版本。

3.防护建议

微软公司已经发布该漏洞的补丁，鉴于该漏洞广泛存在，且易于被用于发起网络攻击，CNVD强烈建议office用户尽快更新安全补丁, 以防止黑客和网络控制他们的计算机。临时解决方案：不能及时更新安全补丁的用户，用户可以在命令提示符下运行以下命令, 在 Windows 注册表中禁用该组件:

regadd"HKLM\SOFTWARE\Microsoft\Office\Common\COMCompatibility\{0002CE02-0000-0000-C000-000000000046}"/v"Compatibility Flags" /t REG_DWORD /d 0x400

对于X64 OS中的32位Microsoft Office软件包, 运行以下命令:

regadd"HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM  Compatibility\{0002CE02-0000-0000-C000-000000000046}"/v"Compatibility Flags" /t REG_DWORD /d 0x400

（三）Adobe ColdFusion 存在反序列化远程代码执行漏洞

1.漏洞情况分析

ColdFusion是Adobe旗下的一个动态Web服务器，其CFML（ColdFusionMarkup Language）是一种程序设计语言，类似现在的JSP里的JSTL（JSP Standard Tag Lib）。

ColdFusion存在反序列化漏洞，其在开启“RemoteAdobe LiveCycle Data Management access”功能的条件下会开启rmiregistery服务，且会在本地监听1099端口。由于程序未对不可信的数据做校验就进行了反序列化的操作，攻击者可通过RMI协议向Adobe ColdFusion服务端发送精心构造的反序列化代码来触发漏洞实现远程代码执行，并且在返回数据包中泄漏ColdFusion路径以及jar包等敏感数据。CNVD对漏洞的综合评级均为“高危”。

2.漏洞影响范围

ColdFusion 11 Update 12及之前版本，ColdFusion （2016 release） Update 4及之前版本

3.漏洞处置建议

根据官方发布的安全更新，建议升级最新补丁：

ColdFusion 11 Update13:

http://helpx.adobe.com/coldfusion/kb/coldfusion-11-update-13.html

ColdFusion (2016 release) Update5: 

http://helpx.adobe.com/coldfusion/kb/coldfusion-2016-update-5.html

不能及时升级补丁的，可以采用如下临时解决方案：

检查1099端口是否开放，如果开放则存在安全隐患，请及时关闭“Remote AdobeLiveCycleDataManagement access”服务。

二、本区电子政务重要网络与信息系统安全情况

（一）本区主要网络与信息安全漏洞发现情况

第四季度本区网络与信息安全漏洞主要集中于跨站脚本、SQL注入、Microsoft IIS 目录枚举三种类型。

1、跨站脚本

“跨站点脚本编制”攻击是一种隐私违例，可让攻击者获取合法用户的凭证，并在与特定Web站点交互时假冒这位用户。攻击者诱惑合法用户点击攻击者生成的链接，用户点击该链接时，便会生成对于Web站点的请求，其中的参数值含有恶意的JavaScript代码。如果Web站点将这个参数值嵌入在相应的HTML页面中（这正是站点问题的本质所在），恶意代码便会在用户浏览器中运行。

2、SQL注入

Web应用程序通常在后端使用数据库，与数据库交互，查询数据库的标准语言是SQL（各大数据库供应商都有不同版本）。Web应用程序通常会获取用户输入（取自HTTP请求），将它并入SQL查询中，然后发送到后端数据库，接着应用程序便处理查询结果，并向用户显示结果。

如果应用程序对用户（攻击者）的输入处理不够小心，攻击者便可以利用这种操作方式。在此情况下，攻击者可以注入恶意的数据，当该数据并入SQL查询中时，就将查询的原始语法更改掉。例如，如果应用程序使用用户输入（如用户名和密码）来查询帐户的数据库表以认证用户，而攻击者能够将恶意数据注入查询的用户名及密码部分，查询便可能更改成完全不同的数据复制查询，可能修改数据库的查询，或在数据库服务器上运行Shell命令的查询。

3、Microsoft IIS 目录枚举

Internet Information Services（IIS，互联网信息服务）是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。

Microsoft IIS在现实上存在文件枚举漏洞，攻击者可利用此漏洞枚举网络服务器根目录中的文件。主要是用“～”字符猜解、遍历服务器中的文件名，或对IIS服务器中的.Net Framework进行拒绝服务攻击。

（二）本区互联网网站区域安全检测情况

本季度重点对本区党政机关、事业单位和国有企业等63家单位的175个互联网网站开展了远程及人工渗透安全检测工作，共发现高、中、低安全漏洞1202处（10月份发现420处，11月份发现422处，12月份发现360处），其中8家单位的互联网网站存在高危漏洞16处，占检测网站安全漏洞总数的1.33%，涉及的网站高危漏洞类型主要为跨站脚本、SQL注入、Microsoft IIS 目录枚举。

同时对本区电子政务核心机房内互联网网站服务器开展了实地安全检测工作，涵盖57家单位的130台服务器，共发现高、中、低安全漏洞1057处（10月份发现357处，11月份发现352处，12月份发现348处），其中４家单位的互联网网站服务器存在高危漏洞153处，占检测服务器安全漏洞总数的14.47%，涉及的服务器高危漏洞类型主要为数据库补丁未更新和中间件版本较低针对上述情况，区网安办已及时通知并督促相关单位及负责人开展后续整改工作，要求立即消除安全隐患。

（三）本区政务外网区域安全检测情况

本季度重点对本区电子政务核心机房内政务外网核心应用服务器开展了实地安全检测工作，涵盖22家单位的255台服务器，共发现高、中、低安全漏洞5584处（10月份发现2106处，11月份发现1830处，12月份发现1648处），其中7家区级部门和4个镇的应用服务器存在高危漏洞共计862处，占检测服务器安全漏洞总数的15.44%，涉及的服务器高危漏洞类型主要为数据库补丁未更新和中间件版本较低。针对上述情况，区网安办已及时通知并督促相关单位及负责人开展后续整改工作，要求立即消除安全隐患。

（四）四季度本区电子政务网络与信息安全工作大事记

为深入推进本区重要领域密码应用，进一步提升重要网络和信息系统的安全防护能力，根据国家密码管理局《信息安全等级保护商用密码管理办法》及上海市密码管理局《信息安全等级保护商用密码技术应用指南》的有关精神，我区按照国家等级保护的有关规定、贴合业务模式，深化密码安全管理体系完成对身份认证系统的部署，实施“青浦区政府网站信息发布系统”数字证书身份认证项目。该项目被上海市委密码工作领导小组列入了市级国产密码推进试点项目。

10月中旬完成该试点项目测试，11月初组织举办了“2017年青浦区政府网站信息发布系统密码应用试点工作专题培训”。培训会就青浦区政府网站信息发布系统密码应用试点工作的目的意义、现状概述、安全规范、管理职责等方面进行了介绍，并结合演示就如何安装、使用认证网关客户端及申请、管理数字证书等方面进行了全面讲解，为有效落实试点项目的实施奠定了良好基础。12月1日正式切换启用数字认证系统并发布青浦区政府网站信息发布系统数字证书（USBKEY）使用管理规范。

12月15日，上海市密码管理局组织专家召开“金融和重要领域国产密码应用试点工作方案论证会”，对我区政府网站信息发布系统密码应用解决方案、密码应用实施方案和应急处置方案进行论证和研讨，与会专家听取了项目实施单位青浦区科委的汇报，一致通过项目评审，成为上海市国产密码推进试点项目首个完成并通过论证的项目。

“青浦区政府网站信息发布系统”数字证书身份认证项目的成功实施，落实健全了网络信任体系的建设与推进，确保了青浦区政府网站信息发布系统的安全性、权威性和规范性，为保障全区重要领域密码应用工作奠定了坚实基础。

 

三、相关工作建议

结合本季度远程、实地、人工渗透安全检测及重点工作开展情况，工作建议如下：一是各相关单位应按照区网安办每月编制的网络与信息安全告知单，及时实施整改工作，落实修复措施，消除安全隐患，进一步提高相关信息系统安全能级；二是各相关单位合理安排积极配合机房设备搬迁工作，并做好方案和应急预案；三是近期网络病毒频发，各单位应高度重视并不断加强网络与信息安全防范，做好安全漏洞的梳理排查，及时修复安全漏洞，定期检查并更新补丁，谨防网站页面或服务器被攻击及篡改。

 

 

青浦区网络与信息安全协调小组办公室

                                                                     2018年1月12日