黑基网 首页 资讯 安全圈 查看内容

Struts 官方再次公布 4 个安全漏洞

2017-9-18 11:08| 投稿: lofor |来自: 互联网

摘要: 美国征信巨头 Equifax 近日公开披露,其公司数据遭到黑客攻击并泄露,并且可能会涉及 1.43 亿用户。而本次泄露信息的内容包括个人信息,例如姓名、住址、出生日期、社会保障号、驾照信息等。受此消息影响,Equifax ...

美国征信巨头 Equifax 近日公开披露,其公司数据遭到黑客攻击并泄露,并且可能会涉及 1.43 亿用户。而本次泄露信息的内容包括个人信息,例如姓名、住址、出生日期、社会保障号、驾照信息等。受此消息影响,Equifax 本周一股价下跌 10.11 美元,跌幅 8.2%,收于 113.12 美元。自披露消息之后,其股价已累计下跌逾 20%,市值蒸发 35 亿多美元。

从 Equifax 官方发布的 网络安全事件更新公告 中可以确认,引起此次数据泄露的原因是 Web 框架 Apache Struts 的一个漏洞(CVE-2017-5638)。 CVE-2017-5638 是一个 RCE 的远程代码执行漏洞,最初是被安恒信息的 Nike Zheng 发现的,并于 3 月 7 日上报。这个漏洞被官方鉴定为严重级别,同时,在披露的当天,Apache 也发布了新的 Struts 版本进行修复。但 Equifax 在漏洞出现的两个月内都没有修复,导致 5 月份黑客利用这个漏洞进行攻击,泄露其敏感数据。

而在 9 月初,Struts 官方又连续发布了两份安全公告。第一份安全公告于 9 月 5 日发布,涉及的三个安全漏洞分别是 CVE-2017-9804 、 CVE-2017-9805 和 CVE-2017-9793 。其中 CVE-2017-9805 被定性为严重级别,根据版本迭代历史推断,该漏洞已有九年历史,但直到最近才被发现,也就是说,自 2008 年以来的所有版本 Struts2 都会受到影响,用户需要尽快升级。简单来说,漏洞是由于 Struts2 的 REST 插件引起的,其 XStream 组件存在反序列化漏洞,但 Struts2 使用带有 XStream 实例的 XStreamHandler 进行反序列化操作时,没有进行任何类型过滤。

第二份安全公告于 9 月 7 日发布,涉及的漏洞是 CVE-2017-12611 ,漏洞等级是中危,漏洞根因是由于 Freemarker 标签,当用户在 Freemarker 标签中使用表达式常量或强制表达式时使用请求值就可能会导致远程代码执行漏洞。该漏洞的报告作者之一是京东安全团队的 Lupin。

受这些漏洞的影响,思科也在上周连续发布了两个安全公告,并着手进行自身主要产品的安全性审查。 据了解 ,世界上约 65%的财富 100 强公司都有使用 Struts 作为基础设施,这其中包括美国国税局、花旗集团、Equifax 等。而根据 绿盟科技威胁情报中心 的数据得知,中国又是世界上使用 Struts 框架最多的国家之一,甚至在今年 7 月,国家信息安全漏洞共享平台还发布过 关于做好 Apache Struts2 高危漏洞管理和应急工作的安全公告 。

关于 Equifax 数据泄露的具体详情可以阅读这篇 新闻 ,关于 Struts2 漏洞的详细信息读者可以在这里进一步 了解 。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部