ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全网络安全新闻 → Apache Struts RCE漏洞允许黑客入侵Web服务器

Apache Struts RCE漏洞允许黑客入侵Web服务器

时间:2018-08-26 00:00:00人气:作者:本站作者我要评论

Apache Struts RCE漏洞允许黑客入侵Web服务器

来自Semmle公司的安全研究员Man Yue Mo在流行的Apache Struts web应用程序框架中发现了的一个关键的远程代码执行(RCE)漏洞,该漏洞允许远程攻击者在受影响的服务器上运行恶意代码。

Apache Struts是开源网页应用程序框架,用于以Java编程语言开发Web应用程序。它在全球范围内被各种规模的企业广泛使用,包括位列《财富》100强企业中65%的企业,如跨国移动电话营办商沃达丰(Vodafone)、美国航空航天制造商洛克希德·马丁(Lockheed Martin)和英国维珍大西洋航空公司(Virgin Atlantic),也包括美国国内税务局(IRS)。

这个漏洞已经被分配为CVE-2018-11776,存在于Apache Struts的内核中。它来源于在某些配置下,用户在Struts框架的内核中提供的不可信输入没有得到充分的验证。

新发现的Apache Struts漏洞可以通过访问受影响的Web服务器上的恶意URL来触发,允许攻击者执行恶意代码,并最终完全控制运行易受攻击应用程序的目标服务器。

CVE-2018-11776漏洞的影响范围

目前已经被确认受该漏洞影响的Apache Struts版本包括:Struts 2.3到Struts 2.3.34和Struts 2.5到Struts 2.5.16,但并不意味着其他版本就一定不受影响。

满足以下条件中的任意一个,都可能会导致远程代码执行:

1)在使用Struts2框架定义XML配置时,如果namespace值未设置且上层动作配置(Action Configuration)中未设置或用通配符namespace;

2)url标签未设置value和action值且上层动作未设置或用通配符namespace。

这个漏洞为什么应该被认真对待?

就在几个月以前,作为美国三大信用评级机构之一的Equifax公司遭遇了一起大规模的数据泄露事件,涉及1.43亿消费者。经调查发现,此次事件就是因为该公司没有及时修补在去年早些时候就已经被公开披露的类似的Apache Struts漏洞(CVE-2017-5638)而引起的。

根据相关报道显示,发生在Equifax身上的数据泄露事件导致该公司损失了超过6亿美元。

“Struts被用于面向客户的可公开访问网站,易受攻击的系统很容易被识别出来,而且对于这个漏洞而言,漏洞利用非常简单。” Semmle公司的联合创始人兼副总裁Pavel Avgustinov表示,“黑客完全可以在几分钟之内找出攻击方法,并从被入侵的系统中窃取数据,或实施进一步的攻击。”

Apache Struts已经通过发布Struts版本2.3.35和2.5.17来修复了这个漏洞,我们强烈建议使用Apache Struts的企业和开发人员应尽快升级自己的Struts组件。

相关文章

猜你喜欢

  • Ougishi绿色版下载 V4.00 中文版

    2020-06-19 / 561k

  • 谷歌地图下载助手睿智版破解下载 V9.5绿色版

    2020-06-19 / 32.7M

  • OfficeFIX中文破解版V6.110 注册版

    2020-06-19 / 26.8M

  • Plotagraph破解版V1.2.0 免费版 32/64位

    2020-06-19 / 31.5M

  • IP查详细地址工具下载 V1.1 官方免费版

    2020-06-19 / 408K

  • 内存扫把中文版下载V1.97绿色版

    2020-06-19 / 1.3M

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 蜀ICP备19039426号-2| 蜀ICP备19039426号-2

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网