目录

⊙Windows RDP 远程桌面漏洞（CVE-2019-0708）

⊙Windows NTLM认证漏洞安全预警（CVE-2019-1040）

⊙Coremail邮件系统存在配置信息泄露漏洞（CNVD-2019-16798）

⊙Coremail邮件系统存在服务未授权访问和服务接口参数注入漏洞（CNVD-C-2019-78549）

⊙Apache Axis远程命令执行漏洞

⊙Oracle WebLogic 远程命令执行漏洞预警（CVE-2019-2725补丁绕过）

⊙深信服VPN某接口有注入漏洞

[出自:jiwo.org]

1   Windows RDP 远程桌面漏洞（CVE-2019-0708）

漏洞描述

MicrosoftWindows是美国微软公司发布的视窗操作系统。远程桌面连接是微软从Windows 2000 Server开始提供的组件。

2019年5月14日，微软发布了本月安全更新补丁，其中修复了远程桌面协议（RDP）远程代码执行漏洞。未经身份验证的攻击者利用该漏洞，向目标Windows主机发送恶意构造请求，可以在目标系统上执行任意代码。由于该漏洞存在于RDP协议的预身份验证阶段，因此漏洞利用无需进行用户交互操作，存在被不法分子利用进行蠕虫攻击的可能。

漏洞等级

高危(High)

影响范围

受影响版本：

Windows7 for 32-bit Systems Service Pack 1

Windows7 for x64-based Systems Service Pack 1

WindowsServer 2008 for 32-bit Systems Service Pack 2

WindowsServer 2008 for 32-bit Systems Service Pack 2 (Server Coreinstallation)

WindowsServer 2008 for Itanium-Based Systems Service Pack 2

WindowsServer 2008 for x64-based Systems Service Pack 2

WindowsServer 2008 for x64-based Systems Service Pack 2 (Server Coreinstallation)

WindowsServer 2008 R2 for Itanium-Based Systems Service Pack 1

WindowsServer 2008 R2 for x64-based Systems Service Pack 1

WindowsServer 2008 R2 for x64-based Systems Service Pack 1 (Server Coreinstallation)

WindowsXP SP3 x86

WindowsXP Professional x64 Edition SP2

WindowsXP Embedded SP3 x86

WindowsServer 2003 SP2 x86

WindowsServer 2003 x64 Edition SP2

注意：Windows8和Windows10及之后版本的用户不受此漏洞影响

修复建议

       1）临时措施：

禁用远程桌面服务；

通过主机防火墙对远程桌面服务端口进行阻断（默认为TCP 3389）；

开启网络身份验证（NLA）：因为NLA要求的身份验证在漏洞触发点之前，所以受影响的系统可以利用NLA防御此漏洞的“蠕虫”恶意软件或高级恶意软件威胁。但是，如果攻击者具有可用于成功进行身份验证的有效凭据，则受影响的系统仍然容易受到远程执行代码执行（RCE）的攻击。

2）官方补丁：

目前，微软官方已发布补丁修复此漏洞，建议用户立即升级至最新版本：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

2    Windows NTLM认证漏洞安全预警（CVE-2019-1040）

漏洞描述

2019年6月11日，微软官方在6月的补丁中发布了漏洞CVE-2019-1040的安全补丁。通过这种攻击能使攻击者在仅有一个普通域账号的情况下可远程控制Windows域内的任何机器，包括域控服务器，危害较大。XFSEC团队提醒用户和企业采取必要防御应对措施。该漏洞成因在于Microsoft服务器并不验证'msvAvFlag'字段，即服务器允许无MIC的NTLM_AUTHENTICATE消息，这使得不强制执行签名的服务器容易受到中间人攻击，当中间人攻击者能够成功绕过NTLM MIC(消息完整性检查)保护时，攻击者可以修改NTLM身份验证流程中的签名要求，完全删除签名验证，并尝试中继到目标服务器，不强制执行签名的服务器都易受到攻击。

影响范围

受影响版本：

Windows 10 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1703 for 32-bit Systems

Windows 10 Version 1703 for x64-based Systems

Windows 10 Version 1709 for 32-bit Systems

Windows 10 Version 1709 for ARM64-based Systems

Windows 10 Version 1709 for x64-based Systems

Windows 10 Version 1803 for 32-bit Systems

Windows 10 Version 1803 for ARM64-based Systems

Windows 10 Version 1803 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows 8.1 for 32-bit systems

Windows 8.1 for x64-based systems

Windows RT 8.1

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Coreinstallation)

Windows Server 2008 for Itanium-Based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Coreinstallation)

Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Coreinstallation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016 (Server Core installation)

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version 1803 (Server Core Installation)

Windows Server, version 1903 (Server Core installation)

漏洞等级

高危(High)

修复建议

1）临时措施：

开启强制 SMB 签名功能，防止攻击者发起更简单的 NTLM 中继攻击，请务必在网络中的所有计算机上启用 SMB 签名。

屏蔽 NTLMv1 - 该版本相当不安全，建议通过适当的组策略来完全封禁。

强制执行 LDAP / S 签名 - 要防止 LDAP 中的 NTLM 中继，请在重点服务器强制执行 LDAP 签名和 LDAPS 通道绑定。

实施 EPA - 为防止 Web 服务器上的 NTLM 中继，请强化所有 Web 服务器（OWA / ADFS），仅接受使用 EPA 的请求。

减少 NTLM 的使用 - 因为即便采用了完整的安全配置，NTLM 也会比 Kerberos 带来更大的安全隐患，建议在不必要的环境中彻底弃用。

2）官方补丁：

目前，微软官方已发布补丁修复此漏洞，建议所有受影响的 Windows 客户端、服务器及时安装更新补丁：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040

3   Coremail邮件系统存在配置信息泄露漏洞（CNVD-2019-16798）

漏洞描述

Coremail邮件系统是论客科技（广州）有限公司（以下简称论客公司）自主研发的大型企业邮件系统，为客户提供电子邮件整体技术解决方案及企业邮局运营服务。Coremail邮件系统作为我国第一套中文邮件系统，客户范围涵盖党政机关、高校、知名企业以及能源、电力、金融等重要行业单位，在我国境内应用较为广泛。

2019年5月22日，互联网爆出Coremail邮件系统信息泄露漏洞（CNVD-2019-16798）。由于Coremail邮件系统的mailsms模块的参数大小写敏感存在缺陷，使得攻击者利用该漏洞，在未授权的情况下，通过远程访问URL地址获知Coremail服务器的系统配置文件，造成数据库连接参数等系统敏感配置信息泄露。

影响范围

受影响版本：

Coremail XT 3.0.1至XT 5.0.9版本

漏洞等级

高危(High)

修复建议

1）临时措施：

在不影响使用的情况下，仅允许VPN连接后才可访问；

在Web服务器（nginx/apache）上限制外网对 /mailsms 路径的访问；

建议使用Coremail构建邮件服务器的信息系统运营者立即自查，发现存在漏洞后及时修复。

2）官方补丁：

目前，论客公司已发布补丁进行修复，针对Coremail XT5和Coremail XT3/CM5版本，补丁编号为CMXT5-2019-0002，程序版本号1.1.0-alpha build20190524(3813d273)

如已安装的程序包的版本号日期早于20190524，建议用户及时更新补丁：用户可以在Coremail云服务中心的补丁管理模块，根据补丁编号下载并按照操作指引进行手动更新。

如有疑问，也可通过400-888-2488 或 support@coremail.cn 联系厂商售后人员提供协助。

4   Coremail邮件系统存在服务未授权访问和服务接口参数注入漏洞（CNVD-C-2019-78549）

漏洞描述

Coremail邮件系统是论客科技（广州）有限公司（以下简称论客公司）自主研发的大型企业邮件系统，为客户提供电子邮件整体技术解决方案及企业邮局运营服务。Coremail邮件系统作为我国第一套中文邮件系统，客户范围涵盖党政机关、高校、知名企业以及能源、电力、金融等重要行业单位，在我国境内应用较为广泛。

2019年6月15日，互联网爆出Coremail邮件系统服务未授权访问漏洞和服务接口（API）参数注入漏洞。Coremail邮件系统apiws模块上的部分WebService服务存在访问策略缺陷和某API服务参数存在注入缺陷，使得攻击者综合利用上述漏洞，在未授权的情况下远程访问Coremail部分服务接口，通过参数构造注入进行文件操作。

影响范围

受影响版本：

Coremail XT 3.0.4至 XT5.0.8A版本

漏洞等级

高危(High)

修复建议

1）临时措施：

在不影响正常使用的情况下，通过部署VPN服务限制对Coremail服务器的公网访问；

在Web服务器（nginx/apache）上限制外网对 /apiws 路径的访问。建议使用Coremail产品构建邮件服务的信息系统运营者，立即自检，发现存在漏洞及时修复。

2）官方补丁：

目前，论客公司已发布补丁进行修复：针对CoremailXT3/CM5版本，补丁编号为CMXT3-2019-0001，程序版本号XT3.0.8 dev build20190610(cb3344cf)；

针对CoremailXT5，补丁编号为CMXT5-2019-0001，程序版本号XT5.0.9abuild 20190604(696d1518)。

如已安装的程序包的版本号日期早于20190604，建议用户及时更新补丁：用户可以在Coremail云服务中心的补丁管理模块，根据补丁编号下载并按照操作指引进行手动更新。

如有疑问，可通过400-888-2488 或support@coremail.cn联系厂商售后人员提供协助。

5  Apache Axis远程命令执行漏洞

漏洞描述

ApacheAxis 是一个开源、建基于XML的Web服务架构。它包含了Java和C++语言实现的SOAP服务器，以及各种公用服务及API以生成和部署Web服务应用。用Apache Axis开发者能够创造可互操作的，分布式的计算应用。Axis是在Apache软件基金会主持下制订的。

近日，互联网爆发出Apache Axis远程命令执行漏洞。攻击者可以发送精心构造的恶意HTTP-POST请求，获得目标服务器的权限，在未授权的情况下远程执行命令。

影响范围

受影响版本：

ApacheAxis <= 1.4

漏洞等级

高危(High)

修复建议

1）配置URL访问控制策略：

部署于公网的Axis服务器，可通过ACL禁止对

/services/AdminService及/services/FreeMarkerService路径的访问。

2）禁用Axis远程管理功能：

Axis<= 1.4版本默认关闭了远程管理功能，如非必要请勿开启。

若需关闭，则需修改Axis目录下WEB-INF文件夹中的server-config.wsdd文件，将其中"enableRemoteAdmin"的值设置为false。

6        Oracle WebLogic 远程命令执行漏洞预警（CVE-2019-2725补丁绕过）

漏洞描述

2019年4月26日，Oracle官方发布了WebLogicwls9-async及wls-wsat组件远程命令执行漏洞的补丁（CVE-2019-2725），https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html，该补丁存在安全缺陷，在低版本JDK的环境中可以被绕过导致任意远程命令执行。由于该漏洞能使攻击者远程执行任意命令，目前官方补丁尚未发布且已有用户受到疑似该漏洞的攻击，建议所有使用Oracle WebLogic的用户主动采取相应措施进行防护。

影响范围

受影响版本：

OracleWebLogic Server 10.3.6.0版本

OracleWebLogic Server 12.1.3.0版本

漏洞等级

高危(High)

修复建议

1）删除不安全文件：

查找并删除wls9_async_response.war、wls-wsat.war，然后重启Weblogic服务；

2）配置URL访问控制策略：

限制访问/_async/*、/wls-wsat/*路径,如果部署有相应的安全设备，请监控对该路径的请求记录。

7   深信服VPN某接口有注入漏洞

漏洞描述

近日，互联网爆出深信服VPN某接口有注入漏洞，经分析，SSL、VPN某接口存在注入漏洞，攻击者可以构造特殊参数来利用此漏洞，以达到非法登录控制台的目的。该漏洞仅存在于SSL VPN产品的特定版本，深信服其他产品不存在此漏洞。

自查方法

按处置建议里的联系方式咨询或直接联系您的专属客户经理，涉及到安全边界风险，请一定不要通过互联网渠道解决或轻易相信上门服务的工作人员。

修复建议

深信服对上述漏洞安全风险高度重视，在获悉漏洞信息后第一时间启动紧急晌应机制，并制定应对措施：

6月13日晚完成自动升级包和手动升级包的发布。

6月14日开始主动联系客户，通过在线升级和人工升级结合的方式保障升级包及时完整升级。