7月17日,瑞星互聯網攻防實驗室向廣大互聯網企業及政府機構發出緊急安全警報,世界知名開源軟件Struts 2 存在2個高危漏洞,這些漏洞可使黑客取得網站服務器的“最高權限”,從而使企業服務器變成黑客手中的“肉雞”。據相關網站報道,目前已知的騰訊、百度、阿裡巴巴等7成大型互聯網公司及政府機關均將受到該漏洞影響。
7月17日,瑞星互聯網攻防實驗室向廣大互聯網企業及政府機構發出緊急安全警報,世界知名開源軟件Struts 2 存在2個高危漏洞,這些漏洞可使黑客取得網站服務器的“最高權限”,從而使企業服務器變成黑客手中的“肉雞”。據相關網站報道,目前已知的騰訊、百度、阿裡巴巴等7成大型互聯網公司及政府機關均將受到該漏洞影響。瑞星安全專家提醒廣大網站管理員,應到Struts 2的官方網站下載最新的補丁程序(下載地址: http://struts.apache.org/download.cgi#struts23151),盡快將Struts 2升級到最新的2.3.15.1版本,以避免可能遭遇的嚴重安全威脅。
瑞星安全專家介紹,本次曝出的2個漏洞是由於縮寫的導航和重定向前綴“action:”、 “redirect:”、 “redirectAction:”造成的。瑞星安全專家表示,由於這些參數前綴的內容沒有被正確過濾,導致黑客可以通過漏洞執行命令,獲取目標服務器的信息,並進一步取得服務器最高控制權。屆時,被攻擊網站的
數據庫將面臨全面洩密的威脅,同時黑客還可以通過重定向漏洞的手段,對其他網民進行釣魚攻擊或掛馬攻擊。
據了解, Struts是Apache基金會Jakarta項目組的一個開源項目,它采用MVC模式,幫助java開發者利用J2EE開發 Web 應用。目前,Struts廣泛應用於大型互聯網企業、政府、金融機構等網站建設,並作為網站開發的底層模板使用。因此,瑞星安全專家再次提醒廣大網站管理員,盡快將Struts 2升級到最新的2.3.15.1版本。