欧美,精品,综合,亚洲,好吊妞视频免新费观看,免费观看三级吃奶,一级a片女人自慰免费看

您當(dāng)前的位置是:  首頁(yè) > 新聞 > 國(guó)際 >
 首頁(yè) > 新聞 > 國(guó)際 >

Apache Struts含有遠(yuǎn)端程式攻擊漏洞

2017-09-07 16:15:05   作者:   來(lái)源:CTI論壇   評(píng)論:0  點(diǎn)擊:


  研究人員發(fā)現(xiàn)Apache Struts在反序列化不可靠資料上存在漏洞,只要是以Struts與REST通訊外掛打造的應(yīng)用程式,駭客可自遠(yuǎn)端執(zhí)行任何程式,影響所及包括自2008年以來(lái)的所有Struts版本,以及采用該框架知名REST外掛程式的網(wǎng)絡(luò)應(yīng)用程式。
  Apache軟件基金會(huì)(Apache Software Foundation)在本周二(9/5)釋出了Struts 2.5.13,并修補(bǔ)當(dāng)中一個(gè)自2008年就存在的重大安全漏洞,可能允許駭客自遠(yuǎn)端執(zhí)行任意程式,呼吁用戶盡速更新。
  Apache Struts為一開(kāi)源的網(wǎng)頁(yè)應(yīng)用程式框架,主要用來(lái)開(kāi)發(fā)Java EE網(wǎng)絡(luò)應(yīng)用程式,受到眾多企業(yè)的青睞。Igtm.com的一名安全研究人員Man Yue Mo發(fā)現(xiàn)該框架反序列化不可靠資料的方式出了問(wèn)題,造成只要是以Struts與流行的REST通訊外掛打造的應(yīng)用程式,其代管伺服器都將允許駭客自遠(yuǎn)端執(zhí)行任何程式。
  Igtm主要提供自動(dòng)化的程式碼分析服務(wù),并免費(fèi)供應(yīng)給開(kāi)源碼專案,根據(jù)Igtm的說(shuō)法,此一編號(hào)為CVE-2017-9805的安全漏洞影響了2008年以來(lái)的所有Struts版本,各種采用該框架知名REST外掛程式的網(wǎng)絡(luò)應(yīng)用程式都受到波及。
  Mo表示,有非常多的組織使用Struts框架,且這個(gè)漏洞帶來(lái)具大的風(fēng)險(xiǎn),因?yàn)樵摽蚣芡ǔ1挥脕?lái)設(shè)計(jì)公開(kāi)的網(wǎng)絡(luò)應(yīng)用程式,例如航空公司的訂票系統(tǒng),或者是金融機(jī)構(gòu)的網(wǎng)絡(luò)金融應(yīng)用等,此外,要開(kāi)采該漏洞對(duì)駭客來(lái)說(shuō)極為簡(jiǎn)單,唯一需要的工具就是瀏覽器。
  根據(jù)RedMonk分析師Fintan Ryan的估計(jì),財(cái)星(Fortune)一百大企業(yè)中,至少有65%正在使用以Struts框架建立的網(wǎng)絡(luò)應(yīng)用程式。
  Igtm團(tuán)隊(duì)已打造了一支針對(duì)該漏洞的有效攻擊程式,只是目前并不打算公開(kāi),即使迄今尚未發(fā)現(xiàn)其他已知的攻擊程式,不過(guò)Igtm相信它很快就會(huì)現(xiàn)身。
  Apache軟件基金會(huì)已藉由Struts 2.5.13修補(bǔ)了此一漏洞,并說(shuō)相關(guān)漏洞可能帶來(lái)阻斷服務(wù)或遠(yuǎn)端程式攻擊。不論是該基金會(huì)或資安業(yè)者都呼吁Struts用戶應(yīng)該立即更新。
【免責(zé)聲明】本文僅代表作者本人觀點(diǎn),與CTI論壇無(wú)關(guān)。CTI論壇對(duì)文中陳述、觀點(diǎn)判斷保持中立,不對(duì)所包含內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。請(qǐng)讀者僅作參考,并請(qǐng)自行承擔(dān)全部責(zé)任。

專題