您当前的位置是:  首页 > 技术 > 企业通信 > 技术 > 数据网络 > 技术动态 >
技术 - 企业通信 - 数据网络技术频道
  首页 > 技术 > 企业通信 > 技术 > 数据网络 > 技术动态 > Apache Struts含有远端程式攻击漏洞

Apache Struts含有远端程式攻击漏洞

2017-09-07 16:15:05   作者:   来源:CTI论坛   评论:0  点击:

  研究人员发现Apache Struts在反序列化不可靠资料上存在漏洞,只要是以Struts与REST通讯外挂打造的应用程式,骇客可自远端执行任何程式,影响所及包括自2008年以来的所有Struts版本,以及采用该框架知名REST外挂程式的网络应用程式。
  Apache软件基金会(Apache Software Foundation)在本周二(9/5)释出了Struts 2.5.13,并修补当中一个自2008年就存在的重大安全漏洞,可能允许骇客自远端执行任意程式,呼吁用户尽速更新。
  Apache Struts为一开源的网页应用程式框架,主要用来开发Java EE网络应用程式,受到众多企业的青睐。Igtm.com的一名安全研究人员Man Yue Mo发现该框架反序列化不可靠资料的方式出了问题,造成只要是以Struts与流行的REST通讯外挂打造的应用程式,其代管伺服器都将允许骇客自远端执行任何程式。
  Igtm主要提供自动化的程式码分析服务,并免费供应给开源码专案,根据Igtm的说法,此一编号为CVE-2017-9805的安全漏洞影响了2008年以来的所有Struts版本,各种采用该框架知名REST外挂程式的网络应用程式都受到波及。
  Mo表示,有非常多的组织使用Struts框架,且这个漏洞带来具大的风险,因为该框架通常被用来设计公开的网络应用程式,例如航空公司的订票系统,或者是金融机构的网络金融应用等,此外,要开采该漏洞对骇客来说极为简单,唯一需要的工具就是浏览器。
  根据RedMonk分析师Fintan Ryan的估计,财星(Fortune)一百大企业中,至少有65%正在使用以Struts框架建立的网络应用程式。
  Igtm团队已打造了一支针对该漏洞的有效攻击程式,只是目前并不打算公开,即使迄今尚未发现其他已知的攻击程式,不过Igtm相信它很快就会现身。
  Apache软件基金会已藉由Struts 2.5.13修补了此一漏洞,并说相关漏洞可能带来阻断服务或远端程式攻击。不论是该基金会或资安业者都呼吁Struts用户应该立即更新。
【免责声明】本文仅代表作者本人观点,与CTI论坛无关。CTI论坛对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。
相关阅读:

专题