远程执行代码漏洞_如何处理远程执行代码漏洞

远程执行代码漏洞

Visual Studio Code是Microsoft为Windows，Max OS和Linux开发的免费源代码编辑器 。 2019年2月12日，Symantec安全中心在MS Visual Studio Code中发现了一个严重的远程执行代码漏洞（CVE-2019-0728）。 此漏洞与2018年6月的另一个漏洞有关，当时报告了一个不受信任的搜索路径漏洞 （CVE-2018-0597）。

在2019年4月，Linux作为一个快照可用，可用于在40多个Linux发行版本中运行。 当源代码准备好部署到生产服务器时，该编辑器内置了Git，可帮助开发人员在DevOps中管理版本控制。 源代码是只能在服务器上编译的一种服务器端脚本。

远程执行代码漏洞的严重性

这两个远程执行代码漏洞都会完全丧失机密性，完整性和可用性。 它们带有0-10等级的7.8常见漏洞评分系统3.0.

第一个漏洞可能允许未经授权的攻击者在当前用户的上下文中执行任意代码。 成功防御攻击需要用户采取一些措施，然后才能利用此漏洞，例如为代码安装恶意软件扩展。 失败的利用尝试可能会导致拒绝服务条件。

第二个漏洞可能使攻击者可以通过未指定目录中的Trojan DLL获得特权。

精通编程的攻击者可能以SecurityHeaders为目标，该SecurityHeaders将有关HTTP安全标头和服务器信息的报告发送回本地浏览器。 攻击者可以利用正在使用的IIS版本的默认值广播：

服务器：Microsoft-IIS / 8.0

其中Server是HTTP服务器头， Microsoft-IIS / 8.0是默认值。

攻击者还可以利用HTTP Strict Transport Security安全标头协议的预加载。 当将preload指令添加到安全性标头时，在指定的时间段内将包括所有子域。 与此漏洞相关的主要风险是，指定的时间段设置可能长达一年。 而且，开发人员将无法将此设置缩短为90天以解决子域问题，并且更新可能要等到原始最大时间指令到期后才能传播。

远程执行代码漏洞风险的缓解步骤

以下是有关如何缓解潜在的远程代码执行漏洞的一些建议。

自动下载：设置自动下载Visual Studio Code更新的默认设置。

访问权限：向个人和团队成员授予最小的访问权限，例如只读，读和写。 避免允许除管理员负责人之外的成员拥有完全访问权限。

网络流量：运行网络入侵检测系统IDS，以监视网络流量是否存在恶意活动，攻击者利用Visual Studio Code漏洞后可能会发生这种恶意活动。 确保IDS也没有漏洞。

分析报告：如上所述实现HTTP响应标头后，请按照以下三个步骤接收分析报告。 首先，将脚本的最新版本从本地计算机传输到服务器。 其次，在本地浏览器中输入任何网站地址，以在脚本中实现HTTP响应标头。 第三，转到安全标题或其他网站来分析发送回浏览器的报告。 所有安全标头都包括一个总体等级，该报告默认情况下会公开服务器信息，并且如果您在HTTP安全标头中使用预加载列表，则不会提供有关风险的警告。

服务器信息：避免广播默认服务器信息。 IIS 8.0软件允许开发人员在将其部署到服务器之前向Web.config之类的脚本添加新值。 SecurityHeaders的报告应显示如下新信息：

服务器：世界您好！

若要禁止HTTP服务器标头发送到本地浏览器，开发人员应使用Windows 10，Windows Server 2016和其他选件附带的IIS 10. 脚本中只需要一行代码即可隐藏标题removeServerHeader属性，该属性可以设置为true。

<安全性>

用于运行脚本的编译器语言是VB和C的变体之一。 非窗口平台可能无法删除或禁止HTTP安全标头。

预加载列表：从HTTP Strict Transport Security标头中排除preload指令，以避免预加载所有子域的列表。 max-age指令以秒（一年）表示。

如果使用了预加载列表，请从较低的最大有效期限开始，即30天，以确保所有子域都支持HTTPS。 最好等到30天期限到期后再解决一年。

或者，对仅HTTP服务器使用HTTPS前端-应该在保护后端服务器之前完成此操作 。

翻译自: https://www.theserverside.com/blog/Coffee-Talk-Java-News-Stories-and-Opinions/How-to-deal-with-a-remote-code-execution-vulnerability

远程执行代码漏洞