写点什么

Struts 官方再次公布 4 个安全漏洞,建议尽快修复

  • 2017-09-17
  • 本文字数:988 字

    阅读完需:约 3 分钟

美国征信巨头 Equifax 近日公开披露,其公司数据遭到黑客攻击并泄露,并且可能会涉及 1.43 亿用户。而本次泄露信息的内容包括个人信息,例如姓名、住址、出生日期、社会保障号、驾照信息等。受此消息影响,Equifax 本周一股价下跌 10.11 美元,跌幅 8.2%,收于 113.12 美元。自披露消息之后,其股价已累计下跌逾 20%,市值蒸发 35 亿多美元。

从 Equifax 官方发布的网络安全事件更新公告中可以确认,引起此次数据泄露的原因是Web 框架Apache Struts 的一个漏洞(CVE-2017-5638)。 CVE-2017-5638 是一个 RCE 的远程代码执行漏洞,最初是被安恒信息的 Nike Zheng 发现的,并于 3 月 7 日上报。这个漏洞被官方鉴定为严重级别,同时,在披露的当天,Apache 也发布了新的 Struts 版本进行修复。但 Equifax 在漏洞出现的两个月内都没有修复,导致 5 月份黑客利用这个漏洞进行攻击,泄露其敏感数据。

而在 9 月初,Struts 官方又连续发布了两份安全公告。第一份安全公告于 9 月 5 日发布,涉及的三个安全漏洞分别是 CVE-2017-9804 CVE-2017-9805 CVE-2017-9793 。其中 CVE-2017-9805 被定性为严重级别,根据版本迭代历史推断,该漏洞已有九年历史,但直到最近才被发现,也就是说,自 2008 年以来的所有版本 Struts2 都会受到影响,用户需要尽快升级。简单来说,漏洞是由于 Struts2 的 REST 插件引起的,其 XStream 组件存在反序列化漏洞,但 Struts2 使用带有 XStream 实例的 XStreamHandler 进行反序列化操作时,没有进行任何类型过滤。

第二份安全公告于 9 月 7 日发布,涉及的漏洞是 CVE-2017-12611 ,漏洞等级是中危,漏洞根因是由于 Freemarker 标签,当用户在 Freemarker 标签中使用表达式常量或强制表达式时使用请求值就可能会导致远程代码执行漏洞。该漏洞的报告作者之一是京东安全团队的 Lupin。

受这些漏洞的影响,思科也在上周连续发布了两个安全公告,并着手进行自身主要产品的安全性审查。据了解,世界上约 65% 的财富 100 强公司都有使用 Struts 作为基础设施,这其中包括美国国税局、花旗集团、Equifax 等。而根据绿盟科技威胁情报中心的数据得知,中国又是世界上使用 Struts 框架最多的国家之一,甚至在今年 7 月,国家信息安全漏洞共享平台还发布过关于做好 Apache Struts2 高危漏洞管理和应急工作的安全公告

关于 Equifax 数据泄露的具体详情可以阅读这篇新闻,关于 Struts2 漏洞的详细信息读者可以在这里进一步了解

2017-09-17 19:272323
用户头像

发布了 219 篇内容, 共 138.2 次阅读, 收获喜欢 191 次。

关注

评论

发布
暂无评论
发现更多内容

Beyond Compare 4 实现class文件对比【最新】

白粥

工具 Beyond Compare 文件对比

阿里Java架构师面试高频300题:集合+JVM+Redis+并发+算法+框架等

程序员啊叶

墨天轮高分技术文档分享——数据库安全篇(共48个)

墨天轮

MySQL 数据库 oracle postgresql 数据库安全

今天去 OPPO 面试,被问麻了

程序员啊叶

Java 编程 程序员 架构 java面试

从业务需求出发,开启IDC高效运维之路

鲸品堂

IDC

华为被迫开源!从认知到落地SpringBoot企业级实战手册(完整版)

程序猿阿宇

Java 程序员、 秋招 构架 面试‘

众人呼唤的 Java 单商户系统,究竟有什么过人之处?

CRMEB

怒冲GitHub榜首!京东T8幕后打造高并发面试手册,狂虐阿里面试官

程序猿阿宇

Java 高并发 阿里 构架 面试‘

如何构建面向海量数据、高实时要求的企业级OLAP数据引擎?

字节跳动数据平台

数据仓库 云原生 OLAP Clickhouse

终极套娃 2.0 | 云原生交付的封装

尔达Erda

云计算 程序员 微服务 云原生 开发

测试驱动开发(TDD)在线练功房 | 9月17日开课

ShineScrum捷行

敏捷 测试 TDD 代码 测试驱动开发

手把手教你在 Vue3 中自定义指令

江南一点雨

CircleIndicator组件,使指示器风格更加多样化

OpenHarmony开发者

OpenHarmony

闭关吃透Java性能手册,成功拿到字节Offer!不愧是阿里内部资料

程序猿阿宇

Java 后端 阿里 Java工程师 构架

不愧是阿里内部“千亿级并发系统架构设计笔记”面面俱到,太全了

冉然学Java

Java 高并发系统设计 技术栈 构架 高并发处理

城市燃气安全再拉警钟,如何防患于未“燃”?

AIRIOT

物联网 天然气管理平台 燃气安全

1000个字带你一次性搞懂JavaAgent技术,反正我是彻底服了

程序员啊叶

Java 编程 程序员 java面试 构架

一次性把Docker的概念、容器与虚拟机的区别、容器交付的优势讲清

程序员啊叶

Java 编程 程序员 架构 java面试

离谱!这本书居然将高深莫测的Java高并发知识讲解得浅显易懂

了不起的程序猿

Java Java并发 java程序员

HDD杭州站·HarmonyOS技术专家分享HUAWEI DevEco Studio特色功能

HarmonyOS开发者

HarmonyOS

哪个led显示屏厂家更好

Dylan

LED显示屏 led显示屏厂家

阿里架构师花近三个月时间整理出来的Java独家面试题(Java岗)

程序员啊叶

Java 编程 程序员 架构 java面试

兆骑科创海内外高层次创新创业人才服务平台,双创成果转化平台

兆骑科创凤阁

兆骑科创高质量海归人才双创服务平台,线上直播路演

兆骑科创凤阁

十字链表的存储结构

乔乔

7月月更

优必选大型仿人服务机器人Walker X的核心技术突破

优必选科技

机器人

算法题每日一练---第9天:第几个幸运数字

知心宝贝

算法 前端 后端 7月月更

柏睿数据加入阿里云PolarDB开源数据库社区

阿里云数据库开源

开源数据库 polarDB PolarDB-X 阿里云数据库 PolarDB for PostgreSQL

Okaleido上线聚变Mining模式,OKA通证当下产出的唯一方式

鳄鱼视界

华为2023届提前批预热开始!左 神的程序代码面试指南终派上用场

程序猿阿宇

Java 算法 后端 Java工程师 算法刷题

BATM面试Java岗:精选200+面试题及答案、6大重点规划和经验总结

程序员啊叶

Java 编程 程序员 架构 java面试

Struts官方再次公布4个安全漏洞,建议尽快修复_安全_小盖_InfoQ精选文章