【警報(bào)!】昨夜大批網(wǎng)站受最新Struts2漏洞血洗,漏斗社區(qū)教您保障網(wǎng)站信息安全
發(fā)布時(shí)間: 2016-04-28 10:12:27
Struts2是一款優(yōu)秀的網(wǎng)站框架,在互聯(lián)網(wǎng)上有十分廣泛的應(yīng)用,近期apache官方發(fā)布了高危漏洞通告Apache Struts 任意代碼執(zhí)行漏洞(CVE-2016-3081,S2-032),該漏洞風(fēng)險(xiǎn)等級(jí)為高級(jí)且廣泛影響Struts2各版本,利用該漏洞黑客可以執(zhí)行任意命令、可直接獲取網(wǎng)站服務(wù)器權(quán)限等,具有嚴(yán)重的危害性。中國(guó)國(guó)家信息安全漏洞庫(kù)于4月26日正式發(fā)布了該漏洞信息,一夜之間烏云等互聯(lián)網(wǎng)漏洞平臺(tái)已曝出大量銀行、互聯(lián)網(wǎng)公司、傳統(tǒng)企業(yè)的網(wǎng)站受該漏洞影響。
在漏斗社區(qū)的支持下,新東網(wǎng)科技已快速開啟了應(yīng)急響應(yīng),對(duì)自有業(yè)務(wù)進(jìn)行排查和修復(fù)工作。為了保障您的信息安全,漏斗社區(qū)建議各企業(yè)單位也及時(shí)檢查您的信息系統(tǒng),如受到該漏洞影響請(qǐng)及時(shí)修復(fù)漏洞,避免安全漏洞可能帶來(lái)的損失。
Apache Struts是美國(guó)阿帕奇(Apache)軟件基金會(huì)負(fù)責(zé)維護(hù)的一款用于創(chuàng)建企業(yè)級(jí)Java Web應(yīng)用的開源框架。
Apache Struts 2.0.0版本至2.3.28版本中存在安全漏洞。當(dāng)程序啟用動(dòng)態(tài)方法調(diào)用(Dynamic Method Invocation)時(shí),遠(yuǎn)程攻擊者可利用該漏洞在服務(wù)器端執(zhí)行任意代碼。
【影響范圍】
Struts2.0.0 - Struts2.5.BETA3
(即除了2.3.20.2,2.3.24.2,2.3.28.1三個(gè)已修復(fù)樓的版本以外,所有版本均會(huì)受到影響)
【解決方案】
1. 關(guān)閉動(dòng)態(tài)方法調(diào)用:
2. 升級(jí)struts2至2.3.20.2,2.3.24.2或2.3.28.1,補(bǔ)丁獲取鏈接:
https://struts.apache.org/download.cgi#struts23281
【參考鏈接】
http://www.cnnvd.org.cn/vulnerability/show/cv_id/2016040585
如對(duì)于漏洞修復(fù)存在疑問(wèn)或需要協(xié)助,可通過(guò)漏斗社區(qū)郵箱security@doone.com.cn或技術(shù)支持熱線18960732042與漏斗社區(qū)技術(shù)團(tuán)隊(duì)取得聯(lián)系。
漏斗社區(qū)是新東網(wǎng)科技傾力打造的信息安全技術(shù)社區(qū),是一個(gè)學(xué)習(xí)信息安全技術(shù)的優(yōu)秀渠道,也是信息安全技術(shù)人員進(jìn)行交流和提升的平臺(tái)。