Struts2高危漏洞凶残 安全宝用户暂可高枕无忧

DOIT 发表于:13年07月19日 10:49 [综述] DOIT.com.cn

  • 分享:
[导读]Struts2被曝存在重大远程任意代码执行安全漏洞,影响Struts2全系版本。而对于此次堪比棱镜事件的危害,安全宝指出,众多大型互联网厂商均存在该漏洞,且影响厂商仍在扩大之中。

Struts2被曝存在重大远程任意代码执行安全漏洞,影响Struts2全系版本。而对于此次堪比棱镜事件的危害,安全宝指出,众多大型互联网厂商均存在该漏洞,且影响厂商仍在扩大之中。同时漏洞利用代码已经被强化,可直接通过浏览器的提交对服务器进行任意操作并获取敏感内容。目前安全宝用户暂可高枕无忧。同时也建议使用Struts开源架构的网站用户尽快加入安全宝云体系,以保护网站免受漏洞的威胁。

据悉,Struts2漏洞由网安全宝在昨日率先拦截到其攻击,漏洞涉及Struts2.0及以上的版本,是一个远程命令执行漏洞和开放重定向漏洞。利用漏洞,黑客可发起远程攻击,不但可以窃取网站数据信息,甚至还可取得网站服务器控制权。而且,目前针对此漏洞的自动化工具开始出现,攻击者无需具备与漏洞相关的专业知识即可侵入服务器,直接执行命令操作,盗取数据甚至进行毁灭性操作。

安全宝联合产品副总裁吴翰清指出:“Struts2是一个帮助java开发者利用j2ee开发Web应用的开发框架,作为网站开发的底层通用模板,在大型互联网企业、政府、金融机构等网站建设中应用广泛。因此,此次Struts 2远程执行漏洞,将会威胁很多规模型网站。如今,开源架构下漏洞频频爆出,并且大多属于突发性威胁、爆发迅速快、波及范围广,这警示网站安全必须由一次性维护转向即时关注,以应对层出不穷的网站安全威胁。”

为了防范攻击者可能利用此漏洞发起的攻击,安全宝提醒广大网站管理员,应该尽快采取如下措施:

1、DNSPOD的用户直在DNSPOD域名管理列表中开启安全中心,即可一键防御攻击。

2 、从Struts2的官方网站下载最新的补丁程序,并尽快将Struts 2升级到最新的2.3.15.1版本,避免遭遇严重的安全攻击(下载地址http://struts.apache.org/download.cgi#struts23151)。鉴于Struts 2至今为止已经多次曝出严重的高危漏洞,如果不是必要,建议开发者以后考虑采用其它类似的Java开发框架。

3、网站加入安全宝云安全防护系统 https://www.anquanbao.com/,安装Struts 2的虚拟补丁。

4、虽然官方网址已经升级补丁,但是经过阿里安全专家空虚浪子心测试,仍然存在被绕过的攻击威胁,为此阿里安全专家空虚浪子心提供的加强版补丁(下载地址:https://www.inbreak.net/archives/507)。

[责任编辑:李洪亮]
李洪亮
2013年7月11-12日,IBM在北京国家会议中心举行以“见智,见未来”为主题的2013 IBM软件技术峰会。此次大会聚焦移动应用、大数据、云计算、DevOpes软件持续交付、应用整合、社交商务、专家集成系统等九大主题。
官方微信
weixin
精彩专题更多
存储风云榜”是由DOIT传媒主办的年度大型活动。回顾2014年,存储作为IT系统架构中最基础的元素,已经成为了推动信息产业发展的核心动力,存储产业的发展迈向成熟,数据经济的概念顺势而为的提出。
华为OceanStor V3系列存储系统是面向企业级应用的新一代统一存储产品。在功能、性能、效率、可靠性和易用性上都达到业界领先水平,很好的满足了大型数据库OLTP/OLAP、文件共享、云计算等各种应用下的数据存储需求。
联想携ThinkServer+System+七大行业解决方案惊艳第十六届高交会
 

公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册 | 订阅中心

Copyright © 2013 DOIT Media, All rights Reserved. 北京楚科信息技术有限公司 版权所有.