【警報!】昨夜大批網(wǎng)站受最新Struts2漏洞血洗,漏斗社區(qū)教您保障網(wǎng)站信息安全
發(fā)布時間: 2016-04-28 10:12:27
Struts2是一款優(yōu)秀的網(wǎng)站框架,在互聯(lián)網(wǎng)上有十分廣泛的應(yīng)用,近期apache官方發(fā)布了高危漏洞通告Apache Struts 任意代碼執(zhí)行漏洞(CVE-2016-3081,S2-032),該漏洞風(fēng)險等級為高級且廣泛影響Struts2各版本,利用該漏洞黑客可以執(zhí)行任意命令、可直接獲取網(wǎng)站服務(wù)器權(quán)限等,具有嚴(yán)重的危害性。中國國家信息安全漏洞庫于4月26日正式發(fā)布了該漏洞信息,一夜之間烏云等互聯(lián)網(wǎng)漏洞平臺已曝出大量銀行、互聯(lián)網(wǎng)公司、傳統(tǒng)企業(yè)的網(wǎng)站受該漏洞影響。
在漏斗社區(qū)的支持下,新東網(wǎng)科技已快速開啟了應(yīng)急響應(yīng),對自有業(yè)務(wù)進(jìn)行排查和修復(fù)工作。為了保障您的信息安全,漏斗社區(qū)建議各企業(yè)單位也及時檢查您的信息系統(tǒng),如受到該漏洞影響請及時修復(fù)漏洞,避免安全漏洞可能帶來的損失。
Apache Struts是美國阿帕奇(Apache)軟件基金會負(fù)責(zé)維護的一款用于創(chuàng)建企業(yè)級Java Web應(yīng)用的開源框架。
Apache Struts 2.0.0版本至2.3.28版本中存在安全漏洞。當(dāng)程序啟用動態(tài)方法調(diào)用(Dynamic Method Invocation)時,遠(yuǎn)程攻擊者可利用該漏洞在服務(wù)器端執(zhí)行任意代碼。
【影響范圍】
Struts2.0.0 - Struts2.5.BETA3
(即除了2.3.20.2,2.3.24.2,2.3.28.1三個已修復(fù)樓的版本以外,所有版本均會受到影響)
【解決方案】
1. 關(guān)閉動態(tài)方法調(diào)用:
2. 升級struts2至2.3.20.2,2.3.24.2或2.3.28.1,補丁獲取鏈接:
https://struts.apache.org/download.cgi#struts23281
【參考鏈接】
http://www.cnnvd.org.cn/vulnerability/show/cv_id/2016040585
如對于漏洞修復(fù)存在疑問或需要協(xié)助,可通過漏斗社區(qū)郵箱security@doone.com.cn或技術(shù)支持熱線18960732042與漏斗社區(qū)技術(shù)團隊取得聯(lián)系。
漏斗社區(qū)是新東網(wǎng)科技傾力打造的信息安全技術(shù)社區(qū),是一個學(xué)習(xí)信息安全技術(shù)的優(yōu)秀渠道,也是信息安全技術(shù)人員進(jìn)行交流和提升的平臺。
閩公網(wǎng)安備 35010202001006號