解决方案-Apache Struts2 再爆严重安全漏洞-入门白帽子详细教程
近日,各大网站都报道了黑客从征信企业 窃取了 1.43 亿美国人的详细个人信息,事件相关报导表明 框架存在安全漏洞。
是一种开源的 MVC 框架,用于创建基于 Java 的 Web 应用。它几乎曾是 Java Web 应用开发的普遍选择,其应用遍布业界并依然被大量使用,尤其是在企业的一些历史遗留应用范围内。
作为这一框架的管理者, 软件基金会发布声明对此做出了回应。
认为凶手是 CVE-2017-5638
据媒体最初报道表明,漏洞可能是由 的一个 未公开漏洞 所导致。但是, 已经确认在攻击中所使用的 漏洞是早已经被公开的 CVE-2017-5638。
CVE-2017-5638 是一个 RCE 的远程代码执行漏洞,最初是被安恒信息的 Nike Zheng 发现的,并于 3 月 7 日上报。这个漏洞被官方鉴定为 严重级别,同时,在披露的当天, 也发布了新的 版本进行修复。
但是 在漏洞出现的两个月内都没有将其修复,导致 5 月份以来,黑客利用这个漏洞进行攻击,泄露其敏感数据,而直到 7 月份该问题才被暴露出来。
该漏洞位于 解析器中,对于 2 的 2.3 版本,在 2.3.32 之前的版本中存在;对于 2 的 2.5 版本,在 2.5.10.1 之前的版本中存在。
在此期间,攻击者已经访问了不少客户的个人数据,其中包括 社会保障码、出生日期 和 住址 等。有 20.9 万名客户的信用卡号被访问,未知数量的英国和加拿大居民的个人数据也被泄露了。
该事件的发生,使得 的股价在华尔街下跌了近 14%,据 BBC 报道,两个美国国会委员会将对此次数据泄漏事件举行听证会。此外,纽约、伊利诺伊州、马赛诸塞州、康涅提格洲和宾夕法尼亚州的州检察长将在本州内对此次事件开展调查。
基金会回应
软件基金会的项目管理委员会( ) 在媒体上对 的声明做出了回应,其中提出了多点意见。
首先,依然不能确定泄漏的源头的确是由于 的漏洞所导致。其次,如果的确是源于 的漏洞,那么“或是 服务器 未打补丁,使得一些更早期公布的漏洞被攻击者利用,或者是攻击者利用了一个到目前为止 尚未被发现 的漏洞”。
根据推测,该声明提出黑客所使用的软件漏洞可能是 CVE-2017-9805 漏洞,该漏洞是在 9 月 5 日(下文详述)公布的,这是在 发现出现泄漏后的一个月。
声明中还列出了一些软件工程上的原则。如果这些原则得到了所有使用开源或不公开软件库的开发人员的遵守,将“有助于防止 所经历的不幸泄露事件重现”。
CVE-2017-9805 或是真凶
9 月初, 官方连续发布了两份安全公告。第一份安全公告于 9 月 5 日发布,涉及的三个安全漏洞分别是 CVE-2017-9804、CVE-2017-9805 和 CVE-2017-9793。
其中 CVE-2017-9805 被定性为 严重级别,根据版本迭代历史推断,该漏洞已有 九年历史,但直到最近才被发现,也就是说,自 2008 年以来的所有版本 都会受到影响,用户需要尽快升级。据 基金会的回应,推测本次攻陷 的黑客所使用的软件漏洞可能就是 CVE-2017-9805,而不是 指出的 CVE-2017-5638。
简单来说,漏洞是由于 的 REST 插件引起的,其 组件存在反序列化漏洞,但 使用带有 实例的 进行反序列化操作时,没有进行任何类型过滤。
第二份安全公告于 9 月 7 日发布,涉及的漏洞是 CVE-2017-12611,漏洞等级是中危,漏洞根因是 标签,当用户在 标签中使用表达式常量或强制表达式时使用请求值就可能会导致 远程代码执行漏洞。该漏洞的报告作者之一是京东安全团队的 Lupin。
受这些漏洞的影响,思科也在上周连续发布了两个安全公告,并着手进行自身主要产品的安全性审查。
据了解,世界上约 65% 的财富 100 强公司都有使用 作为基础设施,这其中包括美国国税局、花旗集团、 等。
而根据绿盟科技威胁情报中心的数据得知,中国又是世界上使用 框架最多的国家之一,甚至在今年 7 月,国家信息安全漏洞共享平台还发布过关于做好 高危漏洞管理和应急工作的安全公告。
今日荐文
点击下方图片即可阅读
如何保障微服务架构下的数据一致性
如何用AI造聊天机器人?如何用机器学习获得两亿活跃用户?10月QCon上海站,还有来自Uber、、、等顶尖技术专家前来分享前沿实践经验。
网络安全学习路线图(思维导图)
网络安全学习路线图可以是一个有助于你规划学习进程的工具。你可以在思维导图上列出不同的主题和技能,然后按照逻辑顺序逐步学习和掌握它们。这可以帮助你更清晰地了解自己的学习进展和下一步计划。
1. 网络安全视频资料
2. 网络安全笔记/面试题
3. 网安电子书PDF资料
~
4303
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
