2017年安全报告——应用漏洞-360cert.pdf

2017 年度安全报告 ——应用漏洞 Application Vulnerabilities Struts2 S2-045/S2-046 漏洞 Nginx CVE-2017-7529 漏洞 Struts2 S2-052 漏洞 Cisco WebEx CVE-2017-6753 漏洞 DotNetNuke CVE-2017-9822 漏洞 Git ssh CVE-2017-1000117 漏洞 IIS 6.0 WebDAV CVE-2017-7269 漏洞 CVE-2017-16943 Exim-UAF 漏洞 FFmpeg 安全问题 360 Computer Emergency Readiness Team, February 2018 文中部分信息直接参考外部文章（见参考），如有侵权或异议请联系 cert@360.cn 2017 年度安全报告——应用漏洞 Application Vulnerabilities 应用程序作为计算机服务的直接提供者，其存在是不可或缺的。除了传统的 CS 应用之外还出现了 各种的 web 应用，相应的还有提供 web 服务的各类 web 容器。应用是广泛的存在于我们的日 常生活中的，如若其中出现了漏洞，将可能直接影响业务的正常运作。本文是 360CERT 对 2017 年应用漏洞的总结。 2 360 Computer Emergency Readiness Team, February 2018 2017 年度安全报告——应用漏洞 漏洞情况 统计出 2017 年，漏洞最多的 50 个产品，其中系统类 20 个，应 用类 30 个。可以看到漏洞最多的是 Android，Linux Kernel， Iphone OS，分别 841，435，387 枚漏洞。 筛选出应用类产品漏洞 top10，大多来自 Adobe，Microsoft， Apple ，Google 和开源社区的产品。排在首位的是 Image- Magick，大多数都是文件解析及编辑器方面的漏洞，多达 357 枚， 大部分是本地 DOS 和溢出，危害低且利用难度大。这也反映了整 体现象：漏洞多，但是价值高的可利用漏洞太少。 简单的说，评判漏洞有三个维度：应用的使用量，漏洞的利用难度， 漏洞造成的危害。接下来，对 2017 年有价值的应用漏洞进行详细 分析。 3 360 Computer Emergency Readiness Team, February 2018 2017 年度安全报告——应用漏洞 2017 年披露的有价值应用漏洞进行梳理 4 360 C