噜噜噜综合,又色又爽又高潮免费观看,综合无码一区二区三区四区五区,中文字幕无码人妻aaa片,四虎成人精品永久网站

struts2高危漏洞或可引發(fā)互聯(lián)網(wǎng)安全災(zāi)難

ZDnet 發(fā)表于:13年07月18日 10:24 [轉(zhuǎn)載] DOIT.com.cn

  • 分享:
[導(dǎo)讀]2013年7月17日是許多安全運維、黑客的不眠之夜……Struts2高危漏洞造成大規(guī)模的信息泄露將會影響無數(shù)網(wǎng)民(可能無人能夠幸免……)利用漏洞,黑客可發(fā)起遠程攻擊,輕則竊取網(wǎng)站數(shù)據(jù)信息,嚴重的可取得網(wǎng)站服務(wù)器控制權(quán),構(gòu)成信息泄露和運行安全威脅。

2013年7月17日是許多安全運維、黑客的不眠之夜……Struts2高危漏洞造成大規(guī)模的信息泄露將會影響無數(shù)網(wǎng)民(可能無人能夠幸免……)利用漏洞,黑客可發(fā)起遠程攻擊,輕則竊取網(wǎng)站數(shù)據(jù)信息,嚴重的可取得網(wǎng)站服務(wù)器控制權(quán),構(gòu)成信息泄露和運行安全威脅。

據(jù)烏云目前掌握的情況:Struts漏洞影響巨大,受影響站點以電商、銀行、門戶、政府居多。而且一些自動化、傻瓜化的利用工具開始出現(xiàn),填入地址可直接執(zhí)行服務(wù)器命令,讀取數(shù)據(jù)甚至直接關(guān)機等操作...

以下是國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心發(fā)布的關(guān)于Apache Struts2 遠程命令執(zhí)行高危漏洞和開放重定向高危漏洞的情況通報:

安全公告編號:CNTA-2013-0022

近期,我中心主辦的國家信息安全漏洞共享平臺收錄了Apache Struts存在一個遠程命令執(zhí)行漏洞和一個開放重定向漏洞(編號:CNVD-2013-28972,對應(yīng)CVE-2013-2251; CNVD-2013-28979,對應(yīng)CVE-2013-2248)。利用漏洞,可發(fā)起遠程攻擊,輕則竊取網(wǎng)站數(shù)據(jù)信息,嚴重的可取得網(wǎng)站服務(wù)器控制權(quán),構(gòu)成信息泄露和運行安全威脅,F(xiàn)將有關(guān)情況通報如下:

一、漏洞情況分析

Struts2 是第二代基于Model-View-Controller (MVC)模型的java企業(yè)級web應(yīng)用框架。它是WebWork和Struts社區(qū)合并后的產(chǎn)物。具體分析情況如下:

1、 Apache Struts遠程命令執(zhí)行漏洞

由于Apache Struts2的action:、redirect:和redirectAction:前綴參數(shù)在實現(xiàn)其功能的過程中使用了Ognl表達式,并將用戶通過URL提交的內(nèi)容拼接入Ognl表達式中,從而造成攻擊者可以通過構(gòu)造惡意URL來執(zhí)行任意Java代碼,進而可執(zhí)行任意命令。

2、 Apache Struts開放重定向漏洞

Apache Struts 2DefaultActionMapper在處理短路徑重定向參數(shù)前綴"redirect:"或"redirectAction:"時存在開放重定向漏洞,允許遠程攻擊者利用漏洞操作"redirect:"或"redirectAction:"后的信息,重定向URL到任意位置。

二、漏洞影響評估

CNVD對遠程命令執(zhí)行漏洞(CNVD-2013-28972)和開放重定向漏洞(CNVD-2013-28979)的評級為“高危”,由于redirect:和redirectAction:此兩項前綴為Struts默認開啟功能,因此ApacheStruts 2.3.15.1以下版本受到漏洞影響。該漏洞與在2012年對我國境內(nèi)政府和重要信息系統(tǒng)部門、企事業(yè)單位網(wǎng)站造成嚴重威脅的漏洞(編號:CNVD-2013-25061,對應(yīng)CVE-2013-1966)相比,技術(shù)評級相同且受影響版本更多。

三、漏洞處置建議

廠商已經(jīng)發(fā)布Apache Struts 2.3.15.1以修復(fù)此安全漏洞,建議Struts用戶及時升級到最新版本。

廠商安全公告:S2-016,S2-017

鏈接:https://struts.apache.org/release/2.3.x/docs/s2-016.html

https://struts.apache.org/release/2.3.x/docs/s2-017.html

軟件升級頁面:https://struts.apache.org/download.cgi#struts23151

CNCERT/CNVD將繼續(xù)跟蹤事件后續(xù)情況,做好國內(nèi)相關(guān)用戶受影響情況的監(jiān)測和預(yù)警工作。同時,請國內(nèi)相關(guān)單位做好信息系統(tǒng)應(yīng)用情況排查工作,及時采取措施。如需技術(shù)支援,請聯(lián)系CNVD。電子郵箱:vreport@cert.org.cn,聯(lián)系電話:010-82990286。

參考鏈接:

1. https://struts.apache.org/release/2.3.x/docs/s2-016.html

2. https://struts.apache.org/release/2.3.x/docs/s2-017.html

3. https://www.nsfocus.net/vulndb/24131

4. https://www.nsfocus.net/index.php?act=alert&do=view&aid=138

5. https://www.cnvd.org.cn/flaw/show/CNVD-2013-28979

6. https://www.cnvd.org.cn/flaw/show/CNVD-2013-28972

[責任編輯:李洪亮]
李洪亮
2013年7月11-12日,IBM在北京國家會議中心舉行以“見智,見未來”為主題的2013 IBM軟件技術(shù)峰會。此次大會聚焦移動應(yīng)用、大數(shù)據(jù)、云計算、DevOpes軟件持續(xù)交付、應(yīng)用整合、社交商務(wù)、專家集成系統(tǒng)等九大主題。
官方微信
weixin
精彩專題更多
存儲風云榜”是由DOIT傳媒主辦的年度大型活動;仡2014年,存儲作為IT系統(tǒng)架構(gòu)中最基礎(chǔ)的元素,已經(jīng)成為了推動信息產(chǎn)業(yè)發(fā)展的核心動力,存儲產(chǎn)業(yè)的發(fā)展邁向成熟,數(shù)據(jù)經(jīng)濟的概念順勢而為的提出。
華為OceanStor V3系列存儲系統(tǒng)是面向企業(yè)級應(yīng)用的新一代統(tǒng)一存儲產(chǎn)品。在功能、性能、效率、可靠性和易用性上都達到業(yè)界領(lǐng)先水平,很好的滿足了大型數(shù)據(jù)庫OLTP/OLAP、文件共享、云計算等各種應(yīng)用下的數(shù)據(jù)存儲需求。
聯(lián)想攜ThinkServer+System+七大行業(yè)解決方案驚艷第十六屆高交會
 

公司簡介 | 媒體優(yōu)勢 | 廣告服務(wù) | 客戶寄語 | DOIT歷程 | 誠聘英才 | 聯(lián)系我們 | 會員注冊 | 訂閱中心

Copyright © 2013 DOIT Media, All rights Reserved. 北京楚科信息技術(shù)有限公司 版權(quán)所有.