【AICon】探索RAG 技术在实际应用中遇到的挑战及应对策略!AICon精华内容已上线73%>>> 了解详情
写点什么

Struts 官方再次公布 4 个安全漏洞,建议尽快修复

  • 2017-09-17
  • 本文字数:988 字

    阅读完需:约 3 分钟

美国征信巨头 Equifax 近日公开披露,其公司数据遭到黑客攻击并泄露,并且可能会涉及 1.43 亿用户。而本次泄露信息的内容包括个人信息,例如姓名、住址、出生日期、社会保障号、驾照信息等。受此消息影响,Equifax 本周一股价下跌 10.11 美元,跌幅 8.2%,收于 113.12 美元。自披露消息之后,其股价已累计下跌逾 20%,市值蒸发 35 亿多美元。

从 Equifax 官方发布的网络安全事件更新公告中可以确认,引起此次数据泄露的原因是Web 框架Apache Struts 的一个漏洞(CVE-2017-5638)。 CVE-2017-5638 是一个 RCE 的远程代码执行漏洞,最初是被安恒信息的 Nike Zheng 发现的,并于 3 月 7 日上报。这个漏洞被官方鉴定为严重级别,同时,在披露的当天,Apache 也发布了新的 Struts 版本进行修复。但 Equifax 在漏洞出现的两个月内都没有修复,导致 5 月份黑客利用这个漏洞进行攻击,泄露其敏感数据。

而在 9 月初,Struts 官方又连续发布了两份安全公告。第一份安全公告于 9 月 5 日发布,涉及的三个安全漏洞分别是 CVE-2017-9804 CVE-2017-9805 CVE-2017-9793 。其中 CVE-2017-9805 被定性为严重级别,根据版本迭代历史推断,该漏洞已有九年历史,但直到最近才被发现,也就是说,自 2008 年以来的所有版本 Struts2 都会受到影响,用户需要尽快升级。简单来说,漏洞是由于 Struts2 的 REST 插件引起的,其 XStream 组件存在反序列化漏洞,但 Struts2 使用带有 XStream 实例的 XStreamHandler 进行反序列化操作时,没有进行任何类型过滤。

第二份安全公告于 9 月 7 日发布,涉及的漏洞是 CVE-2017-12611 ,漏洞等级是中危,漏洞根因是由于 Freemarker 标签,当用户在 Freemarker 标签中使用表达式常量或强制表达式时使用请求值就可能会导致远程代码执行漏洞。该漏洞的报告作者之一是京东安全团队的 Lupin。

受这些漏洞的影响,思科也在上周连续发布了两个安全公告,并着手进行自身主要产品的安全性审查。据了解,世界上约 65% 的财富 100 强公司都有使用 Struts 作为基础设施,这其中包括美国国税局、花旗集团、Equifax 等。而根据绿盟科技威胁情报中心的数据得知,中国又是世界上使用 Struts 框架最多的国家之一,甚至在今年 7 月,国家信息安全漏洞共享平台还发布过关于做好 Apache Struts2 高危漏洞管理和应急工作的安全公告

关于 Equifax 数据泄露的具体详情可以阅读这篇新闻,关于 Struts2 漏洞的详细信息读者可以在这里进一步了解

公众号推荐:

2024 年 1 月,InfoQ 研究中心重磅发布《大语言模型综合能力测评报告 2024》,揭示了 10 个大模型在语义理解、文学创作、知识问答等领域的卓越表现。ChatGPT-4、文心一言等领先模型在编程、逻辑推理等方面展现出惊人的进步,预示着大模型将在 2024 年迎来更广泛的应用和创新。关注公众号「AI 前线」,回复「大模型报告」免费获取电子版研究报告。

AI 前线公众号
2017-09-17 19:272216
用户头像

发布了 219 篇内容, 共 134.5 次阅读, 收获喜欢 190 次。

关注

评论

发布
暂无评论
发现更多内容

【优化技术专题】「线程间的高性能消息框架」再次细节领略Disruptor的底层原理和优势分析

洛神灬殇

Disruptor 异步高性能 高并发处理 性能提升 10月月更

Vue进阶(幺贰捌):Vue插槽:slot、slot-scope与指令v-slot应用讲解

No Silver Bullet

Vue 插槽 10月月更

系统召回太慢?上 Milvus × PaddleRec 双剑合璧大法!

Zilliz

数据库 推荐算法 召回 向量检索

高并发中的 限流、熔断、降级、预热、背压!

进击的王小二

高并发 java

想了解Xtrabackup备份原理和常见问题分析,看这篇就够了

华为云开发者联盟

MySQL 数据库 华为云 备份 XtraBackup

【LeetCode】无重复字符的最长子串Java题解

Albert

算法 LeetCode 10月月更

【Flutter 专题】34 图解自定义 View 之 Canvas (二)

阿策小和尚

Flutter 小菜 0 基础学习 Flutter Android 小菜鸟 10月月更

架构实战课程 模块6作业

Frank

KubeVela 1.1 发布,开启混合环境应用交付新里程碑

阿里巴巴云原生

阿里云 云原生 KubeVela

爱奇艺数据质量监控的探索和实践

爱奇艺技术产品团队

监控 数据治理 pingback

BPM软件是什么?BPM软件跟BPA有关联吗?

低代码小观

企业管理 业务流程管理 信息管理

直播回顾 | 云和恩墨范计杰:Oracle DBA的SQL编写技能提升宝典(含SQL资源)

墨天轮

oracle sql 函数

企业运维监控管理系统我给推荐行云管家!

行云管家

云计算 运维 运维监控 云管平台

盘点后端领域的点点滴滴 | 引航计划|后端

xcbeyond

后端 引航计划 内容合集 技术专题合集

Pandas教程:数据处理基石-数据探索

Peter

Python pandas

物理服务器是什么意思?怎么构成?与云服务器有啥区别?

行云管家

云计算 服务器 云服务器 物理服务器

细节理解!阿里内部Java高并发系统设计全彩手册曝光!霸榜GitHub

进击的王小二

Java 架构 高并发 Java性能调优

强化学习RL AWS 自动驾驶DeepRacer ROS 架构 易筋 ARTS 打卡 Week 71

John(易筋)

ARTS 打卡计划

私有云部署系列之动态获取IP(程序执行)

稻草鸟人

Python

Golang语言HTTP客户端实践

FunTester

golang 性能测试 HTTP 接口测试 FunTester

Pandas教程:数据类型操作

Peter

Python pandas

字节跳动是如何落地微前端的

字节跳动终端技术

字节跳动 大前端 Web应用开发

9. python 入门教程快速复习,序列,数值类型,字符串方法,列表、集合、字典方法,文件操作,解析式

梦想橡皮擦

10月月更

这些行业用ERP系统会有很大帮助

低代码小观

企业管理 ERP

新一代容器平台ACK Anywhere,来了

阿里巴巴云原生

阿里云 云原生 ACK Anywhere

华为技术官珍藏版:SpringBoot全优笔记,面面俱到,实在太全面了

Java 架构 面试 微服务 后端

[ Golang 中的 DDD 实践] 值对象

baiyutang

golang 设计模式 领域驱动设计 DDD 10月月更

100台机器上海量IP如何查找出现频率 Top 100?

秦怀杂货店

IP 海量数据 top

架构实战课程 模块5作业

Frank

云资源是什么意思?有什么特点?

行云管家

云计算 云服务 多云服务 云资源

2021年10月4日Facebook史上最严重宕机复盘分析

郑州埃文科技

ip数据 网络波动 网动仪

Struts官方再次公布4个安全漏洞,建议尽快修复_安全_小盖_InfoQ精选文章