【警報!】昨夜大批網站受最新Struts2漏洞血洗,漏斗社區教您保障網站信息安全
發布時間: 2016-04-28 10:12:27
Struts2是一款優秀的網站框架,在互聯網上有十分廣泛的應用,近期apache官方發布了高危漏洞通告Apache Struts 任意代碼執行漏洞(CVE-2016-3081,S2-032),該漏洞風險等級為高級且廣泛影響Struts2各版本,利用該漏洞黑客可以執行任意命令、可直接獲取網站服務器權限等,具有嚴重的危害性。中國國家信息安全漏洞庫于4月26日正式發布了該漏洞信息,一夜之間烏云等互聯網漏洞平臺已曝出大量銀行、互聯網公司、傳統企業的網站受該漏洞影響。
在漏斗社區的支持下,新東網科技已快速開啟了應急響應,對自有業務進行排查和修復工作。為了保障您的信息安全,漏斗社區建議各企業單位也及時檢查您的信息系統,如受到該漏洞影響請及時修復漏洞,避免安全漏洞可能帶來的損失。
Apache Struts是美國阿帕奇(Apache)軟件基金會負責維護的一款用于創建企業級Java Web應用的開源框架。
Apache Struts 2.0.0版本至2.3.28版本中存在安全漏洞。當程序啟用動態方法調用(Dynamic Method Invocation)時,遠程攻擊者可利用該漏洞在服務器端執行任意代碼。
【影響范圍】
Struts2.0.0 - Struts2.5.BETA3
(即除了2.3.20.2,2.3.24.2,2.3.28.1三個已修復樓的版本以外,所有版本均會受到影響)
【解決方案】
1. 關閉動態方法調用:
2. 升級struts2至2.3.20.2,2.3.24.2或2.3.28.1,補丁獲取鏈接:
https://struts.apache.org/download.cgi#struts23281
【參考鏈接】
http://www.cnnvd.org.cn/vulnerability/show/cv_id/2016040585
如對于漏洞修復存在疑問或需要協助,可通過漏斗社區郵箱security@doone.com.cn或技術支持熱線18960732042與漏斗社區技術團隊取得聯系。
漏斗社區是新東網科技傾力打造的信息安全技術社區,是一個學習信息安全技術的優秀渠道,也是信息安全技術人員進行交流和提升的平臺。
閩公網安備 35010202001006號