【Struts漏洞预警】7月17日爆发的Struts漏洞预计今日将继续发酵,攻击者可以利用该漏洞,执行恶意Java代码,最终导致网站数据被窃取、网页被篡改等严重后果。许多大型网站、电商网站、政府类网站、电信运营商公司网站都采用Struts框架进行开发,中大型网站、政府、电信运营商等网站昨日已有一大部分已经紧急修复该漏洞,但预计仍有一大部分中小型网站还未及时修复。
*该漏洞仍是Struts框架中OGNL惹得的祸(历史上已经出现过多次这方面的漏洞),本次漏洞主要由于Struts框架对"action:", "redirect:" 和 "redirectAction:" 没有正确的处理导致的。该漏洞修复方案升级Struts框架到最新版本Struts 2.3.15.1 。
据@乌云漏洞报告平台的消息,淘宝、京东、腾讯等大型互联网厂商存在该漏洞,目前影响厂商扔在增长中。而且漏洞利用代码已经被强化,可直接通过浏览器的提交对服务器进行任意操作并获取敏感内容!
由于Struts官方直接公布了该漏洞的利用方法,导致众多网站没有足够的时间进行修复,另外也给攻击者更加容易的做出各种攻击工具。安全界对Struts这种披露漏洞的方式进行了谴责,同时也提醒众多使用Struts框架的网站尽快修复该漏洞。还未修复该漏洞的用户,安全狗安全专家建议立即修复该漏洞。
由于该漏洞可以导致执行任意命令、写入文件等恶意行为,因此建议用户修复完后使用安全狗对网站文件进行一次安全性扫描,以免被黑客留下后门。
同时,安全狗安全专家建议还未修复的用户可全面开启安全狗的安全防护,防止黑客利用该漏洞执行一些非法命令、非法创建账号或者写入恶意文件。
白帽子向乌云漏洞报告平台提交的漏洞列表:
 | 
已绑定手机
已实名认证
发表于 2013-7-21 10:06:55