Struts 2框架驚爆危險漏洞，暗藏6年災情難估計

加好友 · 發表於 2013-8-11 21:25

馬上加入Android 台灣中文網，立即免費下載應用遊戲。

您需要登錄才可以下載或查看，沒有帳號？註冊

x

Java企業版應用框架Apache Struts 2爆出嚴重漏洞，駭客能從遠端操控受害伺服器植入木馬程式，取得伺服器最高管理權限

快速了解Apache Struts 2漏洞
● 漏洞版本：Struts 2.0.0以上版本
● 漏洞說明：駭客能藉由修改網址列參數，在伺服器應用程式名稱後的「redirect:」、「redirectAction:」「action:」等前綴詞後加入特定指令，從遠端執行惡意程式
● 危害風險：駭客可從遠端取得伺服器最高管理權限
● 因應方式：立即至Apache官網將Struts更新至2.3.15.1版，套用更新後再重新開啟伺服器
Java企業版應用框架Apache Struts 2爆出嚴重漏洞，駭客能從遠端操控受害伺服器植入木馬程式，取得伺服器最高管理權限

開源的Java企業版網頁應用框架Apache Struts 2驚爆嚴重安全性漏洞。駭客能在應用程式的網址參數上，輸入特定前綴詞夾帶的控制指令，就能遠端遙控執行Struts 2應用的伺服器，暗中植入惡意程式來入侵，進一步取得伺服器管理權限。更嚴重的是，根據聖藍科技執行長王建興指出，這個漏洞從6年前的2.0.0版本就已經存在了。

Apache基金會官網將此漏洞等級標示為「非常嚴重」（Highly Critical），也已在中國釀災，大陸有不少大型網站採用此框架而遭受此一漏洞威脅，如百度也緊急對百度平臺站長發布安全通告，要求站長清查系統，騰訊安全部門也發布安全預警，通知平臺上的開發者修補漏洞。而臺灣不少中小企業或政府網站都使用Struts 2，也面臨著漏洞威脅。

漏洞已存在6年，受駭範圍難以估計
王建興表示，根據Apache官網資料，此漏洞從2007年的Struts 2.0.0版本開始就一直存在了，因此，只要使用了Struts 2以上版本的企業，都是此次漏洞的潛在受害者。

王建興表示，這個漏洞的嚴重性，在於駭客能輕易從遠端在網址列上輸入像「http://”被駭伺服器應用程式位置”?action:%{“惡意指令碼”}」這樣的字串，於前綴詞「action:」後加入欲執行的惡意指令，就能讓被害伺服器執行指令碼內容，舉如，駭客可以在惡意指令碼中，讓伺服器新增一個Java程序，執行FTP相關指令，迫使該伺服器連到駭客端FTP，將惡意程式下載至伺服器內，接下來，駭客即可藉此惡意程式取得被駭伺服器的管理權限，進行進一步破壞。

Apache基金會已在7月16日緊急發布最新的2.3.15.1版本，並強烈建議用戶升級至最新版本。Apache已在新版中移除「redirect:」、「redirectAction:」前綴詞的相關支援，並增強了「action:」前綴詞支援的安全性與使用限制，避免災害進一步擴大。

公布漏洞細節，乃開源碼軟體必要之惡
而漏洞產生後的第一時間，Apache即在其官網上公布漏洞細節。此舉引起臺灣Java論壇Java World上使用者的質疑聲浪，認為公布細節會降低駭客的攻擊門檻。然而對此，王建興卻表示，由於Struts 2是開源碼應用框架，因此修正的內容，也會不可避免地公開其漏洞細節。

但王建興也同時補充，公布細節雖然有可能讓駭客能更輕易進行攻擊，卻同時能讓開源碼開發者幫忙測試、檢查、回報問題，協助Apache更快釋出補丁。短期而言，開源碼軟體的漏洞會不斷被發現、揭露，因其問題能在更短的周期內被提出、解決，因此長期來說，其安全性會較封閉型軟體更高。文⊙楊智傑
來源 ithome
====================================================
缺積分?? 缺碎鑽?? 缺鑽石?? 缺權限?? ...還是什麼都缺嗎?
可以參考以下兩篇 :
1. 共襄盛挙:結縁*随縁*感恩*惜福 APK.TW送給您\*伴手禮*/
2. 新會員必讀 ~升級密技~ 鑽石-任務-積分-權限-簽到-搜尋-發文
====================================================
歡迎大家踴躍加入群組內的 "九局棒棒歡樂新天地"/"香蕉卯上芭樂"和"韓流瘋"及" 爆爆遊樂園"不定期會有些小活動...歡迎踴躍參與...
====================================================
【其它小分享福利帖】
(第343波大放送) : 人人回帖有獎勵
(第342波大放送) : 人人回帖有獎勵
(第341波大放送) : 人人回帖有獎勵
(第340波大放送) : 人人回帖有獎勵
(第339波大放送) : 人人回帖有獎勵
<如須查詢更多相關內容,請自行爬文>

★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
★                         **以上報告完畢**                         ★
★    如果可以的話,幫我評個分數或是送一多花給我^^       ★
★    您的評分與鮮花,是我下次再發帖的原動力                ★
★                               謝謝~                                  ★
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★

====================================================
                                                                                 2013/08/11 By 游幃翔

[科技] Struts 2框架驚爆危險漏洞，暗藏6年災情難估計

馬上加入Android 台灣中文網，立即免費下載應用遊戲。

瀏覽過的版塊

警告：您的Adblck已啟用