[摘要] 原标题:Apache软件基金会修补Struts 2的远端程式攻击漏洞 图片来源: Man△Yue△Mo Apache软件基金会(Apache△Software△Foundation)于本周三(8/22)修补了Apache△Struts△2中一个可能会引发远端程
原标题:Apache软件基金会修补Struts 2的远端程式攻击漏洞
图片来源: Man△Yue△Mo Apache软件基金会(Apache△Software△Foundation)于本周三(8/22)修补了Apache△Struts△2中一个可能会引发远端程式攻击的安全漏洞,有鉴于Apache△Struts△2过去出现类似的重大漏洞时,相...
图片来源:Man△Yue△Mo
Apache软件基金会(Apache△Software△Foundation)于本周三(8/22)修补了Apache△Struts△2中一个可能会引发远端程式攻击的安全漏洞,有鉴于Apache△Struts△2过去出现类似的重大漏洞时,相关攻击程式在24小时之内就现身,因而呼吁用户尽速更新。
此一编号为CVE-2018-11776的安全漏洞被归类为重大(Critical)漏洞,它会在两种情况下被触发,一是当XML配置中未设定命名空间(Namespace),同时上层动作配置没有或使用通配符号命名空间时,其次是所使用的URL标签没有设定行动与值,同时上层动作配置没有或使用通配符号命名空间时,就可能允许骇客执行远端程式攻击。
发现该漏洞的安全研究人员Man△Yue△Mo表示,若执行特定配置的Struts伺服器造访了骇客特别打造的网页时,就能触发该漏洞。
Apache△Struts为一开源的网络应用程序框架,主要用来开发基于Java△EE的网络应用,根据去年的统计,Fortune△100大企业中,至少有65%依赖Apache△Struts框架。
去年爆出1.4亿名用户资料遭窃的美国第三大消费者信用报告业者Equifax就是因为没有修补编号为CVE-2017-5638的Struts△2漏洞,才让骇客有机可趁,盗走了1/3的美国人口资料。Apache△Struts团队是在去年3月修补了CVE-2017-5638漏洞,而Equifax则是在5月遭到攻击。
Mo是在今年4月向Apache△Struts安全团队提报了该漏洞,后者则在本周释出更新程式,该漏洞影响Struts△2.3~Struts△2.3.34,以及Struts△2.5 ~Struts△2.5.16,也可能影响已经终止支援的旧版本,Apache△Struts团队鼓励用户应尽快升级到2.3.35或2.5.17。
Mo并未公开针对该漏洞的攻击程式,也呼吁其它开发人员应暂缓揭露攻击程式,以让用户有时间修补。
橙山网(Csnd.net)简评:此一编号为CVE-2018-11776的安全漏洞被归类为重大(Critical)漏洞,它会在两种情况下被触发,一是当XML配置中未设定命名空间(Namespace),同时上层动作配置没有或使用通配符号
网友评论