安恒研究院发现Struts2网络安全漏洞[新华网]
信息安全、网络安全在“互联网+”始终是一个非常重要的问题。没有网络安全就没有国家安全。近日,安恒信息安全研究院WEBIN实验室高级安全研究员Nike Zheng发现著名J2EE框架——Struts2存在远程代码执行的严重漏洞。目前Struts2官方已经确认漏洞(漏洞编号S2-045,CVE编号:cve-2017-5638),并定级为高危风险。
由于该漏洞影响范围较广(Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10),漏洞危害程度严重,可造成直接获取应用系统所在服务器的控制权限。因此,建议相关行业提前做好该严重漏洞的应急准备工作。同时,安恒信息各防护、监测类相关产品针对该漏洞已提前提供更新策略,并做好了该漏洞相关的各项应对准备工作。
鉴于此漏洞的特殊性,为保障两会时期网站平稳运行,安恒信息决定为所有受此漏洞影响网站开通玄武盾快速接入绿色通道。网站负责人可以致电安恒信息7*24小时客服热线,在客服人员的指导下快速接入网站,立即启动防护。
FAQ:
该漏洞是谁发现的:安恒信息安全研究院。
该漏洞的影响范围:Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10。
修复方式:更新至Struts 2.3.32 或者 Struts 2.5.10.1 或 使用第三方的防护设备进行防护。
该漏洞的危害程度:黑客可以利用该漏洞通过浏览器在远程服务器上执行任意系统命令,将会对受影响站点造成严重影响,引发数据泄露、网页篡改、植入后门、成为肉鸡等安全事件。
为什么说本次漏洞影响极大:此前s2-016漏洞同样危害非常严重,多数站点已经打补丁,而本次漏洞在s2-016补丁后的版本均受影响;漏洞利用无任何条件限制,可绕过绝大多数的防护设备的通用防护策略。
安恒防护监测类的产品策略
目前安恒WAF、玄武盾、APT均已支持该漏洞的策略更新。
WAF:如已经更新到4.3.0.4/2017022301版本,则已经包含该漏洞的防护策略。
玄武盾:目前玄武盾已经支持该漏洞的防护策略。
APT预警平台:目前已经支持该漏洞策略。
安恒检测类产品策略
检测类产品的策略已经完成,将在稍后的一段时间内支持更新。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 习近平引领构建网络空间命运共同体 7962305
- 2 王楚钦谈与张本智和争冠 7968321
- 3 俄飞行员驾驶苏-57经停太原买买买 7800124
- 4 聆听大国外交的铿锵足音 7743731
- 5 两位抗癌网红先后去世 近期曾通话 7669804
- 6 故意冲撞石山舰 17人被抓 7533524
- 7 小伙被两年前经常投喂的流浪狗认出 7407211
- 8 前员工曝光火锅店用僵尸肉 7315290
- 9 男子打赏女主播400万自己啃馒头 7270601
- 10 9条具体措施稳外贸 7121301