2013年7月21日 星期日

Apache Struts 2高風險漏洞釀災,基金會呼籲盡快安裝安全更新

Apache Struts 2高風險漏洞釀災,基金會呼籲盡快安裝安全更新

這些漏洞已在中國釀成災難。新浪網報導,包括百度、阿里巴巴、騰訊等大型網站及政府、金融機構都受到影響。其中百度更為此針對百度站長平台的使用者發出緊急安全通告。

Apache Software基金會針對Apache Struts2 二項可讓駭客取得企業網站伺服器控制權的高風險漏洞發出安全更新,由於駭客已經針對漏洞發動攻擊,基金會強烈建議使用者迅速下載並安裝更新。

Java Web應用的開發框架Struts 2.3.15.1公眾版安全更新旨在修復Struts2中兩項和DefaultActionMapper class及其Action有關的兩項安全漏洞。安全專家表示,漏洞出在縮寫的導航和重定向前綴 (short-circuit navigation parameter prefix) 三個Actions:「action:」、 「redirect:」、 「redirectAction:」上,由於這些參數前綴的內容沒有被正確過濾,讓駭客可以透過漏洞執行命令,存取受害伺服器的訊息,進一步取得最高控制權限。

根據Apache軟體基金會的公告,兩項漏洞中,S2-016會導致系統遭到駭客遠端執行程式碼,Apache軟體基金會將它列為高風險 (highly critical) 。S2-017則會給駭客開啟重導引 (redirect) 的機會。

這些漏洞已在中國釀成災難,新浪網報導,包括百度、阿里巴巴、騰訊等大型網站及政府、金融機構都受到影響。其中百度在周四(7/18)更針對百度站長平台的使用者發出安全通告:「昨日,互聯網遭受了一場漏洞風波——Apache Struts2高危漏洞,影響到Struts 2.0.0 - Struts 2.3.15的所有版本。全球千萬網站及國內各大網站均受到不同程度的影響。攻擊者可以利用該漏洞執行惡意java代碼,最終導致網站資料被竊取、網頁被篡改等嚴重後果。為了避免站長們的損失,百度站長平臺現發出安全風險通告,請您排查網站是否使用Struts2框架,如使用請您及時診斷自己網站是否存在該漏洞。」


Apache基金會強烈建議使用者迅速下載並安裝更新。Struts開發人員已在更新中加入可過濾「action: 」前綴資訊的程式碼,且移除「redirect: 」及「redirectAction: 」前綴的支援。由於使用舊版前綴的應用無法使用最新版的Struts 2.3.15.1,因此Apache基金會也建議企業以修改過的導航規則取代之。

轉載自《iThome》