查老公微信聊天记录(查老公删掉的微信记录怎么查)还记得去年Equifax网站被侵入的事件吗?攻击者正是利用了Apache Struts中的漏洞而展开攻击的。作为世界上最流行的Java Web服务器框架之一,Apache Struts2本周再被曝出其在开源Web框架中出现了一个新的
还记得去年Equifax网站被侵入的事件吗?攻击者正是利用了Apache Struts中的漏洞而展开攻击的。作为世界上最流行的Java Web服务器框架之一,Apache Struts2本周再被曝出其在开源Web框架中出现了一个新的远程攻击漏洞,可被利用传播挖矿或勒索病毒。
新Struts漏洞可招致远程攻击
据悉,新的漏洞名为CVE-2018-11776,由Semmle安全研究团队的研究人员Man Yue Mo发现。此漏洞属于Struts的核心功能,允许在以某种方式配置框架时进行远程代码执行(RCE)。
虽然常规配置不会触发该漏洞,但当系统以某种方式配置时,却可以让攻击者利用到Struts中存在的漏洞。攻击者可利用此次Apache Struts2漏洞对采用Apache Struts2框架的企业Web服务器实施入侵,从而导致企业服务器被完全控制、企业敏感信息泄露、被植入勒索病毒加密破坏服务器,或利用服务器资源运行挖矿木马等严重后果。
安全研究人员指出,新漏洞所触及的框架部分可能比其早期的漏洞更具影响力,因为其在端点的使用范围更为广泛。不过,虽然此漏洞具备较大危险性,但需注意的是,它们仍需要非常具体的配置才能允许攻击者利用到这个漏洞。
根据Apache Foundation的说法,一旦你的网站配置存在以下两点就需要注意了:
1、Struts配置中的alwaysSelectFullNamespace标志设置为true。如果应用程序使用l 流行的Struts Convention插件,则看下是否是默认设置。
2、应用程序的Struts配置文件中包含了<action ...>字段,而该字段则未指定可选的命名空间属性或指定通配符命名空间(例如“/ *”)。
为此,Semmle与Apache Foundation合作披露了该高危漏洞,并在披露漏洞的同时发布了一系列补丁更新。Apache Foundation和多名安全专业人员都建议使用受影响的Struts版本的网站应该立即更新相关软件。
Struts是Apache基金会Jakarta项目组的一个开源项目,它采用MVC模式,帮助Java开发者利用J2EE开发 Web 应用。目前,Struts广泛应用于大型互联网企业、政府、金融机构等网站建设,并作为网站开发的底层模板使用。因此,广大网站运维人员应及时验证漏洞情况,并采取相应有效的防范措施,以免遭受更为严重的影响。
内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/9973.html