当前位置: 安全纵横 > 安全公告

一周安全动态(2013年7月11日-2013年7月18日)

来源:安恒信息 日期:2013-07

2013年7月第三周(7.11-7.18)

本周预警状态为三级:本周 Apache Struts2 曝出严重漏洞,目前该漏洞已呈扩散趋势,国内使用该框架的网站大部分已经沦陷。

 

 

 

1.安全新闻

1.1 Struts2漏洞解读:官方惹祸 黑客攻防

随着苹果开发者网站的沦陷,已经曝光一周的Apache Struts2漏洞再次成为热门话题,今天有消息称由于该漏洞被利用,淘宝的数据库已经被盗,尽管淘宝官方否认了这一说法,但是从乌云漏洞平台的报告看,该漏洞已经波及到了包括京东、淘宝等在内的大型网站。

Struts2应用范围有多广?此次漏洞有多严重?哪些网站受到了波及?可怕在哪里?网易科技请教了多名安全界人士,对该漏洞进行详细解读。

1、什么是Struts 2漏洞?

Struts 是Apache软件基金会(ASF)赞助的一个开源项目,通过采用JavaServlet/JSP技术,实现基于Java EEWeb应用的MVC设计模式的应用框架,Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。

Struts框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设,作为网站开发的底层模板使用。

此次爆发的漏洞是Struts 2的一个远程执行漏洞,利用这个漏洞,攻击者可以上传后门,黑掉一个网站或者盗取用户数据库。

2、为什么此次Struts 2漏洞影响巨大?

第一,Apache官方在漏洞公告中直接把漏洞利用代码公开了,这是一个令人震惊的做法,因为在公布之前还有很多网站没有及时打上补丁。公布后该漏洞疯狂传播,并出现了直接利用该漏洞进行入侵的傻瓜工具,一些未及时更新补丁的网站被入侵。

第二,Apache Struts2是一个应用框架,它的漏洞并不像Windows一样,及时发个补丁推送给用户,更新了就没事了,而是需要站长和网站维护人员自己去更新这个补丁,国内并不是每个网站的技术人员都会第一时间注意并更新这个漏洞。

第三,在漏洞被公布后黑客们为了展示“战果”,把大量存在漏洞的网站公布在第三方平台上,很多之前没有关注到该漏洞的黑客们开始关注并寻找漏洞。

3、哪些网站中招了?

乌云漏洞平台最新确认的漏洞名单中,中国电信、中国联通等运营商部分分站,中科院、工信部、交通部、中国邮政等部分站点,以及腾讯、淘宝、搜狐等大型互联网公司的部分分站均在列,不过很多分站并不涉及数据库。

中招的不止是国内网站,苹果开发者网站“宕机”5天后,苹果也终于承认是遭到入侵,业内猜测可能是由于Stuts2漏洞,随后Ubuntu的开发者社区也被黑,182万用户数据被盗,尽管数据已经加密,仍然存在一定安全隐患。

此次受影响最严重的是京东,在乌云平台上有十几个漏洞被提交,涉及的站点包括奢侈品站360Top、彩票页面、充值页面、支付成功页面等。

4、波及的网站包括一些银行网站和淘宝等电商网站,对用户而言是不是很危险?

此次波及的网站中有一部分银行的分站,并不涉及数据库,不过如果是存在登录功能,则黑客可以通过挂马的方式在用户登录过程中盗取银行账号和密码,所以还是有一定危险性。

淘宝网今天发布声明否认了漏洞被利用的说法。淘宝确实在一些非常边缘的站点使用过Stuts 2框架,但是后来开发了自己的框架,主要业务并没有受到影响。

5、是否已经有网站被拖库?

拖库是指将从数据库导出数据,各大网站通常会将数据库进行加密,黑客会将这些数据库破解并获得数据。

目前还没有确切证据标明已经有大型网站的数据库被拖库,黑市上也没有新的数据库出现,因为漏洞公开时间不长,影响可能要到几个月后才会显现。

6、业内传言

①、黑客很忙。很多黑客此前已经掌握了一些网站的漏洞,并获取了权限,此次Struts漏洞泄露后,为了防止其他黑客通过该漏洞也获得这些网站的权限,这些黑客会主动去修复“肉鸡”的漏洞,一方面另一波黑客要争取抢在漏洞被修复前完成入侵,于是双方展开了攻防战,在这期间很多网站发现其漏洞被“自动修复”。

②、Apache作恶。有黑客称自己在5月份已经发现两个远程执行漏洞,提交后Apache官方只是出了一个声明确认了该漏洞,但是并未发布补丁。这已经不是Struts第一次出现漏洞,但是官方对于安全问题的处理简单粗暴,甚至需要修补多次才能修好,此次更是“奇葩”到直接公布了漏洞的利用方法。

尽管目前官方发布了补丁,不过按照此前的经验,该补丁是否可以彻底消除安全隐患还有待观察。

以上信息引用自多名安全行业从业者口述,以及“道哥的黑板报”等公众账号。

1.2 后“棱镜”时代 莫让信息安全鸿沟越拉越大

斯诺登因曝光“棱镜”计划而迈上一条四处逃亡的路。在我们怀着追美剧般的好奇心去关注其命运时,我们恐怕需要更多地聚焦“棱镜”计划本身,反思自我。“棱镜”计划只是美国情报监控系统冰山一角,该系统设立的初衷是保证美国国家安全,它针对的不是美国公民,而是它认为需要监控的一切美国之外的信息,而被监控的对象当然也包括中国。

在这个互联网高度发达的时代,美国拥有最先进的技术和产品,具备软件环境和硬件资源等多重优势,整体形成了发展模式上的主导地位。如今,在享受其所提供的便利时,我们不得不对它产生越来越多的依赖,但与此同时,我们也已在不知不觉中让自身信息更多地暴露出去。正因如此,当“棱镜”计划曝光出来,我们有些不知所措。如果再不增强自身信息安全自主可控能力,继续无节制地依赖他国,我们可能就会像温水中的青蛙一样慢慢被煮掉。

“棱镜”下的美国情报冰山

今年6月,美国中情局(CIA)前职员爱德华·斯诺登将两份绝密资料交给英国《卫报》和美国《华盛顿邮报》,使美国国家安全局代号为“棱镜”的秘密项目公之于众,在“棱镜”项目下,过去6年,美国国家安全局和联邦调查局通过进入谷歌、苹果、雅虎等九大网络巨头的服务器,可实时跟踪用户电邮、聊天记录、视频、音频、文件、照片等上网信息,全面监控特定目标及其联系人的一举一动。

“棱镜”起源于2001年美国副总统切尼所倡导的星风计划(StellarWind),2004年,由于该项目未能通过美国司法部的审查,美国前总统小布什将其一拆为四,即 “主干道”(MainWay)、“码头”(Marina)、“核子”(Nucleon)和“棱镜”(PRISM),其中,“棱镜”的主要作用是通过美国互联网厂商所开放的数据接口进行数据信息收集。

实际上,与美国完备的监控系统和网络空间战略相比,“棱镜”只是冰山一角。

2010年,美国互联网监控成本接近300亿元人民币,其中包括间谍设备、间谍设备保养、数据存储、互联网流量、数量分析等各方面费用。今天这一数字变得更大。美国在监听中所采用的光纤弯曲法(电缆弯曲形成散射以便对信号进行侦听)、窃听散射法(利用激光技术窃听)等先进技术已超出普通人想象。

在美国,政府联合大公司进行监控的行为由来已久。早在1916年至1918年间,美国的战争部(国防部前身)、海军部、国务院等机构,就是主要依靠私营企业协助,来完成密码编制、破译等各项工作的。从20世纪初期到21世纪的今天,美国政府与公司之间围绕国家安全展开的密切合作,已经拓展为一个产业,2008年的统计数据显示,美国政府每年有70%的情报预算都外包给了私人公司。

美国网络空间威力令人咂舌

在全球网络空间中,美国有着绝对的控制力,互联网起源于美国,美国各大互联网公司完全有能力帮助政府影响别国的信息安全。5年前,微软“黑屏事件”已经向我们展示出这种威力。所有连接网络的计算机需要服务时,必须通过域名系统才能找到正确的服务器。而目前,全球共有13台域名根服务器,其中,1台为主根服务器,设在美国,其他12台副根服务器有9台设在美国,另外3台分别在英国、瑞典和日本。从理论上说,美国通过根服务器,可轻易地进行全球范围的情报窃取、网络监控和攻击。反观中国,并没有自己的根域名服务器,我国对网上服务器的访问只能依赖于国外服务器的指示。

美国在网络空间战的准备中不遗余力。美军黑客部队雏形最早可追溯到1988年,当时,美国国防部建立了三军计算机应急反应中队,各军种分别设一分队,而那个时候,世界多数国家对计算机网络还知之甚少。此后20多年,美国一直在系统地发展网络战能力,并逐步将执行网络空间任务作为美军建设的重点领域。2009年,美国创建了网络战司令部,成为全球首个公开将战争机构引入互联网的国家。2010年美军网络战司令部运行之初,其活动预算是1.5亿美元,2013年已增长到1.82亿美元。

从信息安全方面看,美国政府在信息安全研发上的投入也一直在增加。2014年,美国政府各部门在信息安全技术研究方面的经费将占整个信息技术研发投入的1/4,这一比例仅次于对高性能计算机的经费投入。

值得深思的是,纵然美国已经控制了网络基础技术,在技术和产品方面也早已实现完全“自主可控”,美国的信息安全之弦依然绷得比谁都紧。2012年,美国政府强调,网络袭击等同于武装袭击,应该受到战争法则的约束,这意味着,对付网络攻击,美国将不排除采用常规战争手段。美国元首出访别国,所用的防窃听手段也令人惊叹。他们会尽量选择“自己人”开的酒店,实在没有“安全”的地方,就在行李中带上移动“保密帐篷”(学名为“敏感信息隔离设施”),这种“保密帐篷”有独立的空气供给,能保证其中的笔记本电脑、收音机、电话等设备的电磁辐射不会泄漏,它还有“入侵检测系统”以防范各种形式的闯入。

国内信息安全现实堪忧

中国是被监视的重灾区。中国国家互联网应急中心的报告显示,仅去年就有7.3万个境外IP地址参与了控制中国境内1400余万台主机的网络攻击事件;有3.2万个境外IP地址通过植入后门,对中国境内近3.8万个网站进行了远程控制。

然而,我们的信息安全意识却与美国差距甚大。互联网时代,我们已越来越习惯于享受信息系统带来的种种便利,在不知不觉中对相关软硬件产品、服务乃至模式产生无法摆脱的依赖,同时对信息安全隐患却表现出不应有的麻木。在信息和网络的漫长链条上,谁都有机会接触到我们提交的数据(不乏机密数据),任何一个环节都可能出现安全问题。

谈到信息安全,我们可能谈得更多的是产品安全、技术水平等,聚焦供应链安全的却很少。但实际上,由于我们对外依赖度高,从信息系统的生产者,到信息系统的运行维护者,再到服务的提供者,谁都可能接触到我们的机密数据。正如启明星辰首席战略官潘柱廷所说,“棱镜”的曝光应该让我们认识到,主流供应链安全比其他安全问题更具有根本性和彻底性,目前我们对此重视不够,甚至损失供应链安全去换取一些其他东西,这非常危险。

而在中国信息安全自主可控能力不足的背后,是中国信息安全顶层战略设计的缺失。在IDF互联网威慑防御实验室联合创始人万涛看来,中国信息安全产业经历的20年,最需要反思的是国家层面的安全,但事实上,从业者在实践中却常常急功近利,怎么赚钱怎么来。“棱镜门”警醒我们,如果只有投机而没有战略,就根本谈不上与别国展开博弈。

在安全技术层面,国家网络信息安全技术研究所所长、中国国家互联网应急中心(CNCERT/CC)副总工程师杜跃进指出,目前,我国在网络安全能力上全面不足,包括:漏洞研究与漏洞处理、事件发现与早期预警、事件处置与应急响应、应急预案与应急演练、安全测试与渗透测试、软件安全与安全编程、攻防研究与演练验证,都存在能力缺陷。

信息安全人才的缺乏让安全产业发展后劲不足。与英美发达国家相比,中国高校的信息安全专业教育与实际人才需求存在较大的鸿沟,缺乏适合实践的体系化培训。国内高校信息安全相关专业教学中,很多信息安全专业的主要学习内容是密码学,这对信息安全实践工作来说远远不够。

中国信息安全走向何方

斯诺登爆出的“棱镜”计划背后是美国完备的情报体系,而中美在网络空间中的巨大差距更是令人汗颜。说“棱镜”的曝光将改写中国信息安全产业格局确实有点夸张,因为改变并非一蹴而就。不过,正如万涛所言,“棱镜”事件无疑会成为一个触发变化的节点,我们已经到了一个十字路口,一个不能不改变的时刻,我们需要奋起直追。而这个过程中,政府、企业、学界,乃至个人,都不能再坐以待毙,行动,就在眼前。

面对别国监控和攻击行动,我们必须建立起自己的网络威胁应对机制,提高防范能力。安全专家建议,我们需要开展“网络战”演习,以此提高我们应对网络攻击的实战能力,并在此基础上建立应对机制,对网络威胁做到事前预防,及时处理。

今后,我们不仅需要做一些扎扎实实的技术研究,更需要从国家战略层面出台相关政策,从外交、立法等层面做一些工作。美国互联网巨头、网络设备巨头的入侵,越来越明显地威胁到中国互联网安全。“中国仅单纯地谴责,不足以给美国政府构成威慑。”北京邮电大学教授曾剑秋建议,中国尽快研究和出台一些反制政策。如针对美国企业建立严格的审查机制,加大对中国互联网设备的采购力度。从去年华为、中兴在美国受阻,到今年曝光的“棱镜门”,面对种种问题,毫无反制之力的我们却显得不知所措。

未来,我们需要打破发达国家对网络基础设施和网络服务的垄断,增强自主可控性。在网络战中,一些国外IT企业在所属国的授意下,不仅可让敌方遭到入侵,更可以拒绝对其提供网络基础设施运行等服务,使敌方网络陷入瘫痪。因此,增强自主可控是我国网络安全防御的重要任务之一。我们需要积极开发具有自主知识产权的网络软硬件系统,还需要实施核心网络与互联网隔离:军事、金融、电力等国家要害系统独立建网,以保证安全。

在互联网世界中对外依赖度颇高的情况下,在各个环节均不可靠的体系中,要构建一个基本安全可控的整体框架谈何容易。短期内要完全实现信息安全自主可控并不现实。在目前情况下,我们能做什么? 杜跃进表示,目前,我们在技术产品、系统运行、数据这三个大的领域还不能实现自主可控。在实现自主可控之前,短期内可以考虑的思路是:通过第三方安全测试和安全产品互相制约来缓解可能出现的问题。比如,如果你的大型服务器只能用A国的产品,那与此相连的其他环节就尽量不用B国的产品,如审计监测系统。此外,还需要加强自身的第三方安全测试、安全监测、协议和数据分析等方面的研究和能力建设。

“棱镜”计划被爆出,还让我们看到,美国政府部门和私营企业在关键战略产业上的完美协作,既维护了国家安全,又在国家安全产业上赢得了商业利益,这对我们而言是一个巨大的挑战,但又何尝不是一个很好的示范。在安天实验室首席技术架构师肖新光看来,未来,中国的民企将一定会在国家安全战略中起到重要作用,民企的自强有着非常重大的意义。

1.3 澳洲电信十年前与美国达成大规模监视协议

根据澳大利亚媒体获得的文档,澳洲电信及其子公司、海底光缆运营商Reach在2001年与FBI和美国司法部签署了一项协议,允许美国达成监视亚洲和美国之间的电子通讯。澳洲电信还同意每三个月报告是否有国外非政府实体要求访问它们的通信。文档称, 澳洲电信、Reach以及香港电讯盈科同意,如果不履行协议美国可能会遭受无法弥补的损害,这种损害是金钱所无法补偿的。

通过这项协议,美国情报机构可以访问的数据不仅仅包括元数据,还包括完整的电子邮件内容,在线通信和电话呼叫。澳洲电信还同意,让电信流量路由经过美国控制的连接点。

这项协议签署时,澳洲电信还是半国有,当时是澳洲自由党主政,但随后执政的澳洲工党继续这项交易,目前澳洲绿党要求政府给予解释。澳洲电信控制着数十万公里长的海底通信光缆。

1.4 黑客们利用软件漏洞贸易牟利 大买家包括NSA

一旦曝光漏洞变成了免费、或者需要无偿提交给软件厂商,那么查找和制作安全漏洞的业务,就会发展成为一个对世界各地的支持公司和自由黑客们来说"有利可图"的生意。在《纽约时报》的一篇剖析文章中,Nicole Perlroth和David Sanger探访了最近刚"洗白"的地下黑客社区,在那里,一个由价值的Windows、Linux或iOS的0-day漏洞,甚至能够获得5到6位数的报酬——而大买家则是政府机构,包括美国的国家安全局(NSA)。

这项业务已经变得如此微妙,以至于催生了一些"经纪商"(brokers),他们通过买卖双方的中间交易而分得一杯羹。

软件制造商——最近的一次是微软——已经开始支付大笔的钞票以同黑市竞争。但是在这个圈子里,整个国家都想在这场信息战中寻得上风。

英文全文:《Nations Buying as Hackers Sell Flaws in Computer Code》

1.5 英黑客称美国防系统存安全问题致其发动攻击

一名即将引渡到美国的英国黑客称,由于美国一些主要的国防系统存在严重的安全问题,这导致他以身试法,发动了黑客攻击活动。

这名叫Gary McKinnon的黑客,被指控进行黑客活动,破坏了美国联邦的国防系统。同时,美国指出,他的攻击活动,没有造成损失,他的攻击是试图验证美国国防系统的安全性。

在接受记者采访时,Gary McKinnon指出,他吃惊地发现,美国的国防系统向全世界的人开放。7月底,他将取保候审。他宣称,美国当地的一家管理系统口令竟然是弱口令。他说,负责管理系统的人使用“基于图像的安装技术,绝大部分的设备是一样的BIOS,一样的硬盘和一样的硬件设置。因此,你无需成为域名管理员,一个系统中有5000台机器都是空口令。”

他指出,没的攻击活动没有任何恶意。“当局指控我通过远程控制安装的程序,其实,我没有这样做。因为可以很容易地接入系统,不甚至不需要破译口令。”未来,他将面临“欺诈和试图进入美国陆军、海军、空军和NASA电脑系统的相关指控。”对他的指控最为严重的指出,他试图在没有授权的情况下削弱数据、程序和信息的完整性和可靠性,造成损失金额达到了3.5万美元。

如果他被引渡并进行起诉,他可能面临最高达70年的监禁。因此,他要进行长期的斗争,躲过美国法院的审判,但是,他表示已得到了大量的支持。

 

2 本周关注病毒

2.1 Backdoor.Win32.DarkWhite.a(后门病毒)

警惕程度 ★★

病毒利用正规数字签名规避杀毒软件查杀,并在后台连接远程服务器,上传用户电脑中的信息。

2.2 Backdoor.Win32.Yjdg.a(后门病毒)

警惕程度 ★★

该病毒通过多层次注入和代码变换,躲避杀毒软件的查杀,通过创建虚拟桌面,并多次切换桌面,阻碍反病毒调试。中毒电脑将后台连接黑客指定服务器,并上传本机信息到控制端。用户将面临隐私信息泄露、网银账密被盗等危险,同时电脑还极有可能沦为黑客袭击他人的工具。

2.3 Trojan.Win32.Marko.a(‘马科尔’后门病毒)

警惕程度 ★★★

该病毒是黑客用于制造僵尸网络的工具。病毒通过多层运行病毒代码,躲避反病毒软件的静态查杀,运行后将创建傀儡进程%systemroot%\system32\wuauclt.exe,并后台连接黑客指定服务器,上传电脑信息,同时接受远程服务器发来的指令,使电脑完全暴露在黑客的掌控之中。用户电脑一旦中毒,将面临隐私信息泄露,网银账密被窃的威胁。

 

3 安全漏洞公告

3.1 Apache Struts多个前缀参数远程命令执行漏洞

Apache Struts多个前缀参数远程命令执行漏洞

发布时间:

2013-07-16

漏洞编号:

BUGTRAQ ID: 61189
CVE(CAN) ID: CVE-2013-2251

漏洞描述:

Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。它是WebWork和Struts社区合并后的产物。
Apache Struts2的action:、redirect:和redirectAction:前缀参数在实现其功能的过程中使用了Ognl表达式,并将用户通过URL提交的内容拼接入Ognl表达式中,从而造成攻击者可以通过构造恶意URL来执行任意Java代码,进而可执行任意命令。
redirect:和redirectAction:此两项前缀为Struts默认开启功能,目前Struts 2.3.15.1以下版本均存在此漏洞。

安全建议:

厂商已经发布Apache Struts 2.3.15.1以修复此安全漏洞,建议Struts用户及时升级到最新版本。
厂商安全公告:S2-016
链接:
http://struts.apache.org/release/2.3.x/docs/s2-016.html
软件升级页面:
http://struts.apache.org/download.cgi#struts23151

3.2 Apache Struts 多个开放重定向漏洞

Apache Struts 多个开放重定向漏洞

发布时间:

2013-07-16

漏洞编号:

BUGTRAQ ID: 61196
CVE(CAN) ID: CVE-2013-2248

漏洞描述:

Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。它是WebWork和Struts社区合并后的产物。
Apache Struts 2.0.0没有有效过滤"redirect:"/"redirectAction:"参数前缀内容,存在多个开放重定向漏洞,攻击者通过构建特制的URI并诱使用户点击,利用这些漏洞将这些用户重定向到攻击者控制的站点,执行钓鱼攻击。

安全建议:

厂商已经发布Apache Struts 2.3.15.1以修复此安全漏洞,建议Struts用户及时升级到最新版本。
S2-017:A vulnerability introduced by manipulating parameters prefixed with "redirect:"/"redirectAction:" allows for open redirects
链接:
http://struts.apache.org/release/2.3.x/docs/s2-017.html
补丁下载:
http://struts.apache.org/download.cgi#struts23151

3.3 Oracle Database Server远程安全漏洞

Oracle Database Server远程安全漏洞

发布时间:

2013-07-16

漏洞编号:

BUGTRAQ ID: 61207
CVE ID: CVE-2013-3774

漏洞描述:

Oracle Database Server是一个对象一关系数据库管理系统。它提供开放的、全面的、和集成的信息管理方法。
Oracle Database Server在Network Layer组件的实现上存在远程安全漏洞,此漏洞可通Oracle Net协议利用,未经身份验证的远程攻击者可利用此漏洞影响下列版本的机密性、完整性、可用性:10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.2, 11.2.0.3

安全建议:

Oracle已经为此发布了一个安全公告(cpujuly2013-1899826)以及相应补丁:
cpujuly2013-1899826:Oracle Critical Patch Update Advisory - July 2013
链接:
http://www.oracle.com/technetwork/topics/security/cpujuly2013-1899826.html

3.4 JBoss RichFaces远程代码执行漏洞

JBoss RichFaces远程代码执行漏洞

发布时间:

2013-07-10

漏洞编号:

BUGTRAQ ID: 61085
CVE(CAN) ID: CVE-2013-2165

漏洞描述:

JBoss RichFaces是一个具有Ajax和JSF特性的Web框架。
JBoss RichFaces处理反序列化时存在安全漏洞,远程攻击者可利用此漏洞触发执行服务器上所有可序列化类内的反序列化方法,基于类的反序列化逻辑,可导致各种安全影响。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.redhat.com/apps/support/errata/index.html

3.5 Apache HTTP Server远程拒绝服务漏洞

Apache HTTP Server远程拒绝服务漏洞

发布时间:

2013-07-10

漏洞编号:

BUGTRAQ ID: 61129
CVE(CAN) ID: CVE-2013-1896

漏洞描述:

Apache HTTP Server是开源HTTP服务器。
Apache HTTP Server 2.2.25之前版本的mod_dav.c没有正确确定是否启用了某个URI的DAV,该URI配置为由mod_dav_svn模块处理,但XML数据内的某个href属性引用的是非DAV URI。远程攻击者通过MERGE请求可造成拒绝服务(段错误)。

安全建议:

Apache Group已经为此发布了一个安全公告(Announcement 2.2)以及相应补丁:
Announcement 2.2:Apache HTTP Server 2.2.25 Released
链接:
http://www.apache.org/dist/httpd/Announcement2.2.html
补丁下载:http://httpd.apache.org/download.cgi
补丁下载:
https://github.com/phpmyadmin/phpmyadmin/commit/012464268420e53a9cd81cbb4a43988d70393c36