Struts 官方再次公布 4 个安全漏洞,建议尽快修复

  • 郭蕾

2017 年 9 月 17 日

话题:安全语言 & 开发AI

美国征信巨头 Equifax 近日公开披露,其公司数据遭到黑客攻击并泄露,并且可能会涉及 1.43 亿用户。而本次泄露信息的内容包括个人信息,例如姓名、住址、出生日期、社会保障号、驾照信息等。受此消息影响,Equifax 本周一股价下跌 10.11 美元,跌幅 8.2%,收于 113.12 美元。自披露消息之后,其股价已累计下跌逾 20%,市值蒸发 35 亿多美元。

从 Equifax 官方发布的网络安全事件更新公告中可以确认,引起此次数据泄露的原因是 Web 框架 Apache Struts 的一个漏洞(CVE-2017-5638)。CVE-2017-5638是一个 RCE 的远程代码执行漏洞,最初是被安恒信息的 Nike Zheng 发现的,并于 3 月 7 日上报。这个漏洞被官方鉴定为严重级别,同时,在披露的当天,Apache 也发布了新的 Struts 版本进行修复。但 Equifax 在漏洞出现的两个月内都没有修复,导致 5 月份黑客利用这个漏洞进行攻击,泄露其敏感数据。

而在 9 月初,Struts 官方又连续发布了两份安全公告。第一份安全公告于 9 月 5 日发布,涉及的三个安全漏洞分别是CVE-2017-9804CVE-2017-9805CVE-2017-9793。其中 CVE-2017-9805 被定性为严重级别,根据版本迭代历史推断,该漏洞已有九年历史,但直到最近才被发现,也就是说,自 2008 年以来的所有版本 Struts2 都会受到影响,用户需要尽快升级。简单来说,漏洞是由于 Struts2 的 REST 插件引起的,其 XStream 组件存在反序列化漏洞,但 Struts2 使用带有 XStream 实例的 XStreamHandler 进行反序列化操作时,没有进行任何类型过滤。

第二份安全公告于 9 月 7 日发布,涉及的漏洞是CVE-2017-12611,漏洞等级是中危,漏洞根因是由于 Freemarker 标签,当用户在 Freemarker 标签中使用表达式常量或强制表达式时使用请求值就可能会导致远程代码执行漏洞。该漏洞的报告作者之一是京东安全团队的 Lupin。

受这些漏洞的影响,思科也在上周连续发布了两个安全公告,并着手进行自身主要产品的安全性审查。据了解,世界上约 65% 的财富 100 强公司都有使用 Struts 作为基础设施,这其中包括美国国税局、花旗集团、Equifax 等。而根据绿盟科技威胁情报中心的数据得知,中国又是世界上使用 Struts 框架最多的国家之一,甚至在今年 7 月,国家信息安全漏洞共享平台还发布过关于做好 Apache Struts2 高危漏洞管理和应急工作的安全公告

关于 Equifax 数据泄露的具体详情可以阅读这篇新闻,关于 Struts2 漏洞的详细信息读者可以在这里进一步了解

安全语言 & 开发AI