还记得去年Equifax网站被侵入的事件吗?攻击者正是利用了Apache Struts中的漏洞而展开攻击的。作为世界上更流行的Java Web服务器框架之一,Apache Struts2本周再被曝出其在开源Web框架中出现了一个新的远程攻击漏洞,可被利用传播挖矿或勒索病毒。
新Struts漏洞可招致远程攻击
据悉,新的漏洞名为CVE-2018-11776,由Semmle安全研究团队的研究人员Man Yue Mo发现。此漏洞属于Struts的核心功能,允许在以某种方式配置框架时进行远程代码执行(RCE)。
虽然常规配置不会触发该漏洞,但当系统以某种方式配置时,却可以让攻击者利用到Struts中存在的漏洞。攻击者可利用此次Apache Struts2漏洞对采用Apache Struts2框架的企业Web服务器实施入侵,从而导致企业服务器被完全控制、企业敏感信息泄露、被植入勒索病毒加密破坏服务器,或利用服务器资源运行挖矿木马等严重后果。
安全研究人员指出,新漏洞所触及的框架部分可能比其早期的漏洞更具影响力,因为其在端点的使用范围更为广泛。不过,虽然此漏洞具备较大危险性,但需注意的是,它们仍需要非常具体的配置才能允许攻击者利用到这个漏洞。
根据Apache Foundation的说法,一旦你的网站配置存在以下两点就需要注意了:
1、Struts配置中的alwaysSelectFullNamespace标志设置为true。如果应用程序使用l 流行的Struts Convention插件,则看下是否是默认设置。
2、应用程序的Struts配置文件中包含了<action ...>字段,而该字段则未指定可选的命名空间属性或指定通配符命名空间(例如“/ *”)。
为此,Semmle与Apache Foundation合作披露了该高危漏洞,并在披露漏洞的同时发布了一系列补丁更新。Apache Foundation和多名安全专业人员都建议使用受影响的Struts版本的网站应该立即更新相关软件。
Struts是Apache基金会Jakarta项目组的一个开源项目,它采用MVC模式,帮助Java开发者利用J2EE开发 Web 应用。目前,Struts广泛应用于大型互联网企业、 *** 、金融机构等网站建设,并作为网站开发的底层模板使用。因此,广大网站运维人员应及时验证漏洞情况,并采取相应有效的防范措施,以免遭受更为严重的影响。
我的记性不好,背不了单词和课文, 但请相信我,你永远在我心里。 毕业的时候你让我别流泪, 可你早已满脸泪痕。 那时候没有表白的勇气, 现在都变成了来不及。 世界再大,我也能遇见你,...
第二种状况:全部电脑桌面图标都下落不明了,连工作量都没了,电脑鼠标也没法右键了; 常见故障见下面的图 电脑上不显示桌面系统详解4 1,最先大家应用键盘快捷键“ctrl键 alt键...
找黑客恢复聊天记录怎样收费相关问题 模拟黑客网站手机软件相关问题 什么黑客网站 英伦节拍月季(英伦节拍月季花)...
受肺炎疫情的危害,迪斯尼《花木兰》改档,现如今又有喜讯传出,再次定好排期,花木兰这一角色坚信很多人也不生疏,让我们一起希望赵丽颖的演译,那麼,花木兰电影何时公映?下边我就而言说。 花木兰电影何时...
BRIDGE.DLL - 过程信息内容 过程文档: BRIDGE 或是 BRIDGE.DLL过程名字: Flingstone Bridge Spyware Module叙述:BRIDGE.DLL是Fl...
中国政府出台的4万亿经济刺激方案,创造的需求刺激了中国经济的恢复增长,对世界经济走出泥潭起到了重要的拉动作用。但是,短期的经济刺激政策也创造了很多没有。 德国在经历第一次世界大战战败后百废待兴,希特勒...