作者wrltertnnn (http://www.ealover.com/)
看板java
标题[J2EE] Struts 2高风险漏洞酿灾
时间Fri Aug 16 03:25:58 2013
Struts 2高风险漏洞酿灾,基金会呼吁尽快安装安全更新
文/林妍溱 2013-07-19
分享到facebook
这些漏洞已在中国酿成灾难。新浪网报导,包括百度、阿里巴巴、腾讯等大型网站及政府、金融机构都受到影响。其中百度更为此针对百度站长平台的使用者发出紧急安全通告。
Apache Software基金会针对Apache Struts2 二项可让骇客取得企业网站伺服器控制权的高风险漏洞发出安全更新,由於骇客已经针对漏洞发动攻击,基金会强烈建议使用者迅速下载并安装更新。
Java Web应用的开发框架Struts 2.3.15.1公众版安全更新旨在修复Struts2中两项和DefaultActionMapper class及其Action有关的两项安全漏洞。安全专家表示,漏洞出在缩写的导航和重定向前缀 (short-circuit navigation parameter prefix) 三个Actions:「action:」、 「redirect:」、「redirectAction:」上,由於这些参数前缀的内容没有被正确过滤,让骇客可以透过漏洞执行命令,存取受害伺服器的讯息,进一步取得最高控制权限。
根据Apache软体基金会的公告,两项漏洞中,S2-016会导致系统遭到骇客远端执行程式码,Apache软体基金会将它列为高风险 (highly critical) 。S2-017则会给骇客开启重导引 (redirect) 的机会。
这些漏洞已在中国酿成灾难,新浪网报导,包括百度、阿里巴巴、腾讯等大型网站及政府、金融机构都受到影响。其中百度在周四(7/18)更针对百度站长平台的使用者发出安全通告:「昨日,互联网遭受了一场漏洞风波——Apache Struts2高危漏洞,影响到Struts 2.0.0 - Struts
2.3.15的所有版本。全球千万网站及国内各大网站均受到不同程度的影响。攻击者可以利用该漏洞执行恶意java代码,最终导致网站资料被窃取、网页被篡改等严重後果。为了避免站长们的损失,百度站长平台现发出安全风险通告,请您排查网站是否使用Struts2框架,如使用请您及时诊断自己网站是否存在该漏洞。」
Apache基金会强烈建议使用者迅速下载并安装更新。 Struts开发人员已在更新中加入可过滤「action: 」前缀资讯的程式码,且移除「redirect: 」及「redirectAction: 」前缀的支援。由於使用旧版前缀的应用无法使用最新版的Struts 2.3.15.1,因此Apache基金会也建议企业以修改过的导航规则取代之。(编译/林妍溱)
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 27.109.215.231
1F:推 qrtt1:都上个月的事了,再不更新不就是.........BJ4 08/16 21:07
2F:→ Lordaeron:已经六年的BUG 了,现在才在吵而已. 而这东西在 08/17 22:39
3F:推 now99:很多系统就算更新 上线都需要一定时间 08/18 17:03
4F:→ wrltertnnn:value="<s:property value='#task.tid'/>"/> 09/29 03:58
6F:→ wrltertnnn:pdf5.org 10/01 01:59
9F:→ wrltertnnn:slatedroid.com/topic/76825-chuwi-v88-bricked-fixed/ 02/16 12:47
10F:→ wrltertnnn:/topicdetail.php?f=605&t=3532476&p=2 ifive 3 02/16 22:20