【警報！】昨夜大批網(wǎng)站受最新Struts2漏洞血洗，漏斗社區教您保障網(wǎng)站信息安全

發(fā)布時(shí)間： 2016-04-28 10:12:27  

分享到：

Struts2是一款優(yōu)秀的網(wǎng)站框架，在互聯(lián)網(wǎng)上有十分廣泛的應用，近期apache官方發(fā)布了高危漏洞通告Apache Struts 任意代碼執行漏洞（CVE-2016-3081，S2-032），該漏洞風(fēng)險等級為高級且廣泛影響Struts2各版本，利用該漏洞黑客可以執行任意命令、可直接獲取網(wǎng)站服務(wù)器權限等，具有嚴重的危害性。中國國家信息安全漏洞庫于4月26日正式發(fā)布了該漏洞信息，一夜之間烏云等互聯(lián)網(wǎng)漏洞平臺已曝出大量銀行、互聯(lián)網(wǎng)公司、傳統企業(yè)的網(wǎng)站受該漏洞影響。

在漏斗社區的支持下，新東網(wǎng)科技已快速開(kāi)啟了應急響應，對自有業(yè)務(wù)進(jìn)行排查和修復工作。為了保障您的信息安全，漏斗社區建議各企業(yè)單位也及時(shí)檢查您的信息系統，如受到該漏洞影響請及時(shí)修復漏洞，避免安全漏洞可能帶來(lái)的損失。

Apache Struts是美國阿帕奇（Apache）軟件基金會(huì )負責維護的一款用于創(chuàng )建企業(yè)級Java Web應用的開(kāi)源框架。

Apache Struts 2.0.0版本至2.3.28版本中存在安全漏洞。當程序啟用動(dòng)態(tài)方法調用（Dynamic Method Invocation）時(shí)，遠程攻擊者可利用該漏洞在服務(wù)器端執行任意代碼。

【影響范圍】

Struts2.0.0 - Struts2.5.BETA3

（即除了2.3.20.2，2.3.24.2，2.3.28.1三個(gè)已修復樓的版本以外，所有版本均會(huì )受到影響）

【解決方案】

1. 關(guān)閉動(dòng)態(tài)方法調用：

2. 升級struts2至2.3.20.2，2.3.24.2或2.3.28.1，補丁獲取鏈接： 

https://struts.apache.org/download.cgi#struts23281

【參考鏈接】

http://www.cnnvd.org.cn/vulnerability/show/cv_id/2016040585

如對于漏洞修復存在疑問(wèn)或需要協(xié)助，可通過(guò)漏斗社區郵箱security@doone.com.cn或技術(shù)支持熱線(xiàn)18960732042與漏斗社區技術(shù)團隊取得聯(lián)系。

漏斗社區是新東網(wǎng)科技傾力打造的信息安全技術(shù)社區，是一個(gè)學(xué)習信息安全技術(shù)的優(yōu)秀渠道，也是信息安全技術(shù)人員進(jìn)行交流和提升的平臺。