Apache软件基金会修补Struts 2的远端程式攻击漏洞,,此一编号为CVE-2

原标题：Apache软件基金会修补Struts 2的远端程式攻击漏洞

图片来源: Man△Yue△Mo Apache软件基金会（Apache△Software△Foundation）于本周三（8/22）修补了Apache△Struts△2中一个可能会引发远端程式攻击的安全漏洞，有鉴于Apache△Struts△2过去出现类似的重大漏洞时，相...

图片来源:

Man△Yue△Mo

Apache软件基金会（Apache△Software△Foundation）于本周三（8/22）修补了Apache△Struts△2中一个可能会引发远端程式攻击的安全漏洞，有鉴于Apache△Struts△2过去出现类似的重大漏洞时，相关攻击程式在24小时之内就现身，因而呼吁用户尽速更新。

此一编号为CVE-2018-11776的安全漏洞被归类为重大（Critical）漏洞，它会在两种情况下被触发，一是当XML配置中未设定命名空间（Namespace），同时上层动作配置没有或使用通配符号命名空间时，其次是所使用的URL标签没有设定行动与值，同时上层动作配置没有或使用通配符号命名空间时，就可能允许骇客执行远端程式攻击。

发现该漏洞的安全研究人员Man△Yue△Mo表示，若执行特定配置的Struts伺服器造访了骇客特别打造的网页时，就能触发该漏洞。

Apache△Struts为一开源的网络应用程序框架，主要用来开发基于Java△EE的网络应用，根据去年的统计，Fortune△100大企业中，至少有65%依赖Apache△Struts框架。

去年爆出1.4亿名用户资料遭窃的美国第三大消费者信用报告业者Equifax就是因为没有修补编号为CVE-2017-5638的Struts△2漏洞，才让骇客有机可趁，盗走了1/3的美国人口资料。Apache△Struts团队是在去年3月修补了CVE-2017-5638漏洞，而Equifax则是在5月遭到攻击。

Mo是在今年4月向Apache△Struts安全团队提报了该漏洞，后者则在本周释出更新程式，该漏洞影响Struts△2.3~Struts△2.3.34，以及Struts△2.5 ~Struts△2.5.16，也可能影响已经终止支援的旧版本，Apache△Struts团队鼓励用户应尽快升级到2.3.35或2.5.17。

Mo并未公开针对该漏洞的攻击程式，也呼吁其它开发人员应暂缓揭露攻击程式，以让用户有时间修补。

橙山网（Csnd.net）简评：此一编号为CVE-2018-11776的安全漏洞被归类为重大（Critical）漏洞，它会在两种情况下被触发，一是当XML配置中未设定命名空间（Namespace），同时上层动作配置没有或使用通配符号