馬上加入Android 台灣中文網,立即免費下載應用遊戲。
您需要 登錄 才可以下載或查看,沒有帳號?註冊
x
這些漏洞已在中國釀成災難。新浪網報導,包括百度、阿里巴巴、騰訊等大型網站及政府、金融機構都受到影響。其中百度更為此針對百度站長平台的使用者發出緊急安全通告。
Apache Software基金會針對Apache Struts2 二項可讓駭客取得企業網站伺服器控制權的高風險漏洞發出安全更新,由於駭客已經針對漏洞發動攻擊,基金會強烈建議使用者迅速下載並安裝更新。
Java Web應用的開發框架Struts 2.3.15.1公眾版安全更新旨在修復Struts2中兩項和DefaultActionMapper class及其Action有關的兩項安全漏洞。安全專家表示,漏洞出在縮寫的導航和重定向前綴 (short-circuit navigation parameter prefix) 三個Actions:「action:」、 「redirect:」、 「redirectAction:」上,由於這些參數前綴的內容沒有被正確過濾,讓駭客可以透過漏洞執行命令,存取受害伺服器的訊息,進一步取得最高控制權限。
根據Apache軟體基金會的公告,兩項漏洞中,S2-016會導致系統遭到駭客遠端執行程式碼,Apache軟體基金會將它列為高風險 (highly critical) 。S2-017則會給駭客開啟重導引 (redirect) 的機會。
這些漏洞已在中國釀成災難,新浪網報導,包括百度、阿里巴巴、騰訊等大型網站及政府、金融機構都受到影響。其中百度在周四(7/18)更針對百度站長平台的使用者發出安全通告:「昨日,互聯網遭受了一場漏洞風波——Apache Struts2高危漏洞,影響到Struts 2.0.0 - Struts 2.3.15的所有版本。全球千萬網站及國內各大網站均受到不同程度的影響。攻擊者可以利用該漏洞執行惡意java代碼,最終導致網站資料被竊取、網頁被篡改等嚴重後果。為了避免站長們的損失,百度站長平臺現發出安全風險通告,請您排查網站是否使用Struts2框架,如使用請您及時診斷自己網站是否存在該漏洞。」
Apache基金會強烈建議使用者迅速下載並安裝更新。Struts開發人員已在更新中加入可過濾「action: 」前綴資訊的程式碼,且移除「redirect: 」及「redirectAction: 」前綴的支援。由於使用舊版前綴的應用無法使用最新版的Struts 2.3.15.1,因此Apache基金會也建議企業以修改過的導航規則取代之。(編譯/林妍溱)
更正啟事:
原文引言及第四段有「由於Apache是最受歡迎的Web伺服器...」文字,該段文字經讀者指正有誤導及混淆的問題,因此已刪除。
來源 ithome
====================================================
缺積分?? 缺碎鑽?? 缺鑽石?? 缺權限?? ...還是什麼都缺嗎?
可以參考以下兩篇 :
1. 共襄盛挙:結縁*随縁*感恩*惜福 APK.TW送給您\*伴手禮*/
2. 新會員必讀 ~升級密技~ 鑽石-任務-積分-權限-簽到-搜尋-發文
====================================================
歡迎大家踴躍加入 群組 內的 "九局棒棒歡樂新天地"/"香蕉卯上芭樂"和"韓流瘋"及" 爆爆遊樂園"不定期會有些小活動...歡迎踴躍參與...
====================================================
【其它小分享 福利帖】
(第216波大放送) : 人人回帖有獎勵
(第215波大放送) : 人人回帖有獎勵
(第214波大放送) : 人人回帖有獎勵
(第213波大放送) : 人人回帖有獎勵
(第212波大放送) : 人人回帖有獎勵
<如須查詢更多相關內容,請自行爬文>
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
★ **以上報告完畢** ★
★ 如果可以的話,幫我評個分數或是送一多花給我^^ ★
★ 您的評分與鮮花,是我下次再發帖的原動力 ★
★ 謝謝~ ★
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
====================================================
2013/07/19 By 游幃翔 |
鑽石
碎鑽
金豆
收藏
分享
專題
提升卡
變色卡
排首位