写点什么

Struts 官方再次公布 4 个安全漏洞,建议尽快修复

  • 2017-09-17
  • 本文字数:988 字

    阅读完需:约 3 分钟

美国征信巨头 Equifax 近日公开披露,其公司数据遭到黑客攻击并泄露,并且可能会涉及 1.43 亿用户。而本次泄露信息的内容包括个人信息,例如姓名、住址、出生日期、社会保障号、驾照信息等。受此消息影响,Equifax 本周一股价下跌 10.11 美元,跌幅 8.2%,收于 113.12 美元。自披露消息之后,其股价已累计下跌逾 20%,市值蒸发 35 亿多美元。

从 Equifax 官方发布的网络安全事件更新公告中可以确认,引起此次数据泄露的原因是Web 框架Apache Struts 的一个漏洞(CVE-2017-5638)。 CVE-2017-5638 是一个 RCE 的远程代码执行漏洞,最初是被安恒信息的 Nike Zheng 发现的,并于 3 月 7 日上报。这个漏洞被官方鉴定为严重级别,同时,在披露的当天,Apache 也发布了新的 Struts 版本进行修复。但 Equifax 在漏洞出现的两个月内都没有修复,导致 5 月份黑客利用这个漏洞进行攻击,泄露其敏感数据。

而在 9 月初,Struts 官方又连续发布了两份安全公告。第一份安全公告于 9 月 5 日发布,涉及的三个安全漏洞分别是 CVE-2017-9804 CVE-2017-9805 CVE-2017-9793 。其中 CVE-2017-9805 被定性为严重级别,根据版本迭代历史推断,该漏洞已有九年历史,但直到最近才被发现,也就是说,自 2008 年以来的所有版本 Struts2 都会受到影响,用户需要尽快升级。简单来说,漏洞是由于 Struts2 的 REST 插件引起的,其 XStream 组件存在反序列化漏洞,但 Struts2 使用带有 XStream 实例的 XStreamHandler 进行反序列化操作时,没有进行任何类型过滤。

第二份安全公告于 9 月 7 日发布,涉及的漏洞是 CVE-2017-12611 ,漏洞等级是中危,漏洞根因是由于 Freemarker 标签,当用户在 Freemarker 标签中使用表达式常量或强制表达式时使用请求值就可能会导致远程代码执行漏洞。该漏洞的报告作者之一是京东安全团队的 Lupin。

受这些漏洞的影响,思科也在上周连续发布了两个安全公告,并着手进行自身主要产品的安全性审查。据了解,世界上约 65% 的财富 100 强公司都有使用 Struts 作为基础设施,这其中包括美国国税局、花旗集团、Equifax 等。而根据绿盟科技威胁情报中心的数据得知,中国又是世界上使用 Struts 框架最多的国家之一,甚至在今年 7 月,国家信息安全漏洞共享平台还发布过关于做好 Apache Struts2 高危漏洞管理和应急工作的安全公告

关于 Equifax 数据泄露的具体详情可以阅读这篇新闻,关于 Struts2 漏洞的详细信息读者可以在这里进一步了解

2017-09-17 19:272336
用户头像

发布了 219 篇内容, 共 138.6 次阅读, 收获喜欢 191 次。

关注

评论

发布
暂无评论
发现更多内容

甲方日常 23

句子

生活 随笔杂谈 减肥

架构师训练营第 1 期 - 第2周 - 学习总结

wgl

架构师训练营第二周作业

郎哲158

极客大学架构师训练营

第二周作业

极客大学架构师训练营

第二周作业 (作业二)

Geek_83908e

极客大学架构师训练营

架构师训练营第 1 期第二周学习总结

郑凯元

极客大学架构师训练营

第二周作业及学习笔记

橘子皮嚼着不脆

架构一期二班-吴水金-第二课作业

吴水金

架构师训练营第二周笔记-带你认识框架设计原则和设计模式

郎哲158

学习 极客大学架构师训练营 框架设计

架构师训练营第 2 周课后练习

叶纪想

极客大学架构师训练营

第二周作业2

sean

Architecture Phase1 Week2:Framework Design

phylony-lu

极客大学架构师训练营

第二周作业 (作业一)

Geek_83908e

极客大学架构师训练营

第二周作业1

sean

Architecture Phase1 Week2:HomeWork

phylony-lu

极客大学架构师训练营

第二周 框架设计 作业一

应鹏

极客大学架构师训练营

【架构师训练营第 1 期 02 周】 学习总结

Bear

极客大学架构师训练营

架构训练营第二周练习

灰羽零

架构师训练营第一期 - 第二周课后作业

卖猪肉的大叔

用十六年时间,造一座声音“博物馆”:OPPO的影音进击之路

脑极体

架构师训练营 - 学习笔记 - 第二周

徐时良

week2

Geek_deb968

第二周-学习总结

Yangjing

极客大学架构师训练营

Week 2 作业 02

Croesus

作业一:

静海

VS Code 搭建 C++ 开发环境(Mac 环境)

hungxy

c++ vscode

架构师训练营 2 期 - 第二周总结

Geek_no_one

极客大学架构师训练营

设计模式

knight

罗辑思维(得到APP)要上市了,你不知道的27件事

赵新龙

罗辑思维 IPO

第二周 框架设计 学习笔记

应鹏

学习 极客大学架构师训练营

架构师训练营 -week02- 作业

大刘

极客大学架构师训练营

Struts官方再次公布4个安全漏洞,建议尽快修复_安全_小盖_InfoQ精选文章