写点什么

美征信巨头 Equifax 因 Struts 漏洞导致数据大规模泄露

2017 年 9 月 17 日

各新闻机构和在线新闻网站都报道了黑客从征信企业 Equifax 窃取了 1.43 亿美国人的详细个人信息,这一事件表明 Apache Struts 框架存在安全缺陷。Struts 是一种开源的 MVC 框架,用于创建基于 Java 的 Web 应用。作为这一框架管理者,Apache 软件基金会发布声明对此指责做出了回应。

据媒体最初报道表明,漏洞可能是由 Struts 的一个未公开漏洞所导致。但是,Equifax已经确认在攻击中所使用的Structs 漏洞是 CVE-2017-5638 ,而且继 Equifax 首次声明之后,Apache 基金会也对此做了确认。该漏洞位于Jakarta Multipart 解析器中,对于Apache Struts 2 的2.3 版本,在2.3.32 之前的版本中存在;对于Struts 2 的2.5 版本,在2.5.10.1 之前的版本中存在。这一漏洞已于今年三月被Apache Struts 团队打补丁,并关闭了该问题。但是Equifax 在五月中旬出现了泄漏,直到七月底才被发现。在此期间,攻击者已经访问了不少客户的个人数据,其中包括社会保障码、出生日期和住址等。有20.9 万名客户的信用卡号被访问,未知数量的英国和加拿大居民的个人数据也被泄露了。

Struts 几乎曾是 Java Web 应用开发的普遍选择,其应用遍布业界并依然被大量使用,尤其是在企业的一些历史遗留应用范围内。Apache 软件基金会的项目管理委员会(Project Management Committee) 在媒体上对 Equifax 的声明做出了回应,其中提出了多点意见。首先,依然不能确定泄漏的源头的确是由于Struts 的漏洞所导致。其次,如果的确是源于Struts 的漏洞,那么“或是Equifax 服务器未打补丁,使得一些更早期公布的漏洞被攻击者利用,或者是攻击者利用了一个到目前为止尚未被发现的漏洞”。根据推测,该声明提出黑客所使用的软件漏洞可能就是 CVE-2017-9805 漏洞,该漏洞是在九月四日公布的,这是在 Equifax 发现出现泄漏后的一个月。声明中还继续列出了一些软件工程上的原则。如果这些原则得到了所有使用开源或不公开软件库的开发人员的遵守,将“有助于防止 Equifax 所经历的不幸泄露事件重现”。

Equifax 的股价在华尔街下跌了近 14%,据 BBC 报道,两个美国国会委员会将对此次数据泄漏事件举行听证会。此外,纽约、伊利诺伊州、马赛诸塞州、康涅提格洲和宾夕法尼亚州的州检察长将在本州内对此次事件开展调查。

查看英文原文: Struts Flaw Behind Equifax Breach Disclosed and Patched in March

2017 年 9 月 17 日 19:001320
用户头像

发布了 367 篇内容, 共 88.9 次阅读, 收获喜欢 164 次。

关注

评论

发布
暂无评论
发现更多内容

附录4、Docker-compose 配置文件编写指南

悟尘

Docker Docker-compose

高性能交易系统设计原理

廖雪峰

架构

游戏夜读 | 设计师的数据模型

game1night

告诉你一个学习编程的诀窍(建议收藏)

ithuangqing

学习 编程 自学编程

spring-cloud-stream 集成 rocketmq

再见孙悟空

RocketMQ Spring Cloud

读 Guide to Java String Pool

shengjk1

Java string pool

长假将至,推荐两个好东西

池建强

算法 视觉笔记

Redis高可用-哨兵模式配置

for

redis 高可用 主从配置 redis高可用 redis哨兵模式

七、Docker Compose 入门实践

悟尘

Docker Kubernetes 容器 k8s Compose

H5功能足够强大,为什么还要微信小程序?

顾强

微信小程序 移动应用

附录1、Docker 常用命令及示例

悟尘

Docker 容器

源码分析 Vector 和 ArrayList

张sir

Java 源码 collection

Hexo-deployer-cos-cdn 插件安装使用指南

悟尘

Hexo COS CDN Hexo-deployer-cos-cdn

使用Typora + PicGo 图床 + jsDelivr CDN实现高效 Markdown 创作

悟尘

Typora PicGo iPic jsDelivr CDN

曾国藩家书嘉言钞(六)

熊小北同学

曾国藩 曾国藩家书 嘉言钞

程序员到底应该学习什么语言好?

页面仔小杨

附录2、Dockerfile 参考及最佳实践

悟尘

Docker Dockerfile

附录3、Docker-compose 命令使用指南

悟尘

Docker Docker-compose

写在开头

杨友峰

Java 期现

Node.js 必知必会(安装配置、应用实例及同步控制)

悟尘

node.js

为什么说此前的WiFi安全方案都是小弟?

石君

wifi 无线网络 无线网络安全 Wi-Fi安全

Netty 源码解析(二):Netty 的 Channel

猿灯塔

Netty

VSCode-aliyun-oss-paste-image 插件安装使用指南

悟尘

vscode Paste-image

意想不到的收获哦

南辞

Netty 源码解析(三): Netty 的 Future 和 Promise

猿灯塔

四、Docker 网络原理、分类及容器互联配置

悟尘

Docker Kubernetes 容器 k8s Compose

五、Docker 数据持久化存储与性能调优

悟尘

Docker 容器 k8s Compose kubernet

六、基于多阶段构建减小镜像体积降低复杂度

悟尘

Docker Kubernetes 容器 k8s Compose

八、Kubernetes 入门实践

悟尘

Docker Kubernetes 容器 k8s Compose

Hexo-admonition 插件安装使用指南

悟尘

Hexo Hexo-admonition Admonition

从少儿编程讲讲开发行业的大趋势

kimmking

在线教育 少儿编程

InfoQ 极客传媒开发者生态共创计划线上发布会

InfoQ 极客传媒开发者生态共创计划线上发布会

美征信巨头Equifax因Struts漏洞导致数据大规模泄露-InfoQ