精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當前位置:安全行業動態 → 正文

中國互聯網被Struts2漏洞血洗 烏云收超100家網站漏洞報告

責任編輯:editor005 |來源:企業網D1Net  2016-04-27 12:11:50 本文摘自:快科技

Apache官方今天晚上發布安全公告(官方編號S2-032/CVE編號CVE-2016-3081),Apache Struts2服務在開啟動態方法調用(DMI)的情況下,可以被遠程執行任意命令,安全威脅程度高。

這一漏洞影響的軟件版本為2.3.20-2.3.28,不過2.3.20.2、2.3.24.2兩個版本除外,建議盡快升級到相應的最新版本,并關閉DMI。

這是自2012年Struts2命令執行漏洞大規模爆發之后,該服務時隔四年再次爆發大規模漏洞。

截止目前,烏云漏洞報告平臺已收到100多家網站的相關漏洞報告,其中銀行占了很大比例。

目前已有多個版本的漏洞利用POC在互聯網流傳,分為命令執行版本與直接寫入Web后門的版本。

今天晚上 中國互聯網被Struts2漏洞血洗

烏云平臺現在已經被該漏洞刷屏,據說后臺還有100多個漏洞待審核,因此預計今天晚上會迎來該漏洞爆發的第一個小高峰,尤其是銀行業恐怕會被血洗。

結合歷史情況分析,該漏洞除了會影響銀行與互聯網企業(網易/多玩等)以外,還可能影響政府、證券、保險等行業,相關服務一定要提前做好安全應急與防范措施!

今天晚上 中國互聯網被Struts2漏洞血洗

  如果你在影響范圍內,有兩種解決方法:

1、禁用動態方法調用

修改Struts2的配置文件,將“struts.enable.DynamicMethodInvocation”的值設置為false,比如:

2、升級軟件版本

如果條件允許,可升級Struts版本至2.3.20.2、2.3.24.2或者2.3.28.1,這幾個版本都不存在此漏洞。

升級地址:https://struts.apache.org/download.cgi#struts23281

另附漏洞測試樣例(無風險):

http://d047ab33ccbe2dda8.jie.sangebaimao.com/struts2-showcase/filedownload/index.action?method:%2523_memberAccess%[email protected]@DEFAULT_MEMBER_ACCESS%252C%2523test%253D%2523context.get%2528%2523parameters.res%255B0%255D%2529.getWriter%2528%2529%252C%2523test.println%2528%2523parameters.command%255B0%255D%2529%252C%2523test.flush%2528%2529%252C%2523test.close%26res%3Dcom.opensymphony.xwork2.dispatcher.HttpServletResponse%26command%3D%2523%2523%2523Struts2%20S2-032%20Vulnerable%2523%2523%2523

今天晚上 中國互聯網被Struts2漏洞血洗

關鍵字:方法調用POC互聯網

本文摘自:快科技

x 中國互聯網被Struts2漏洞血洗 烏云收超100家網站漏洞報告 掃一掃
分享本文到朋友圈
當前位置:安全行業動態 → 正文

中國互聯網被Struts2漏洞血洗 烏云收超100家網站漏洞報告

責任編輯:editor005 |來源:企業網D1Net  2016-04-27 12:11:50 本文摘自:快科技

Apache官方今天晚上發布安全公告(官方編號S2-032/CVE編號CVE-2016-3081),Apache Struts2服務在開啟動態方法調用(DMI)的情況下,可以被遠程執行任意命令,安全威脅程度高。

這一漏洞影響的軟件版本為2.3.20-2.3.28,不過2.3.20.2、2.3.24.2兩個版本除外,建議盡快升級到相應的最新版本,并關閉DMI。

這是自2012年Struts2命令執行漏洞大規模爆發之后,該服務時隔四年再次爆發大規模漏洞。

截止目前,烏云漏洞報告平臺已收到100多家網站的相關漏洞報告,其中銀行占了很大比例。

目前已有多個版本的漏洞利用POC在互聯網流傳,分為命令執行版本與直接寫入Web后門的版本。

今天晚上 中國互聯網被Struts2漏洞血洗

烏云平臺現在已經被該漏洞刷屏,據說后臺還有100多個漏洞待審核,因此預計今天晚上會迎來該漏洞爆發的第一個小高峰,尤其是銀行業恐怕會被血洗。

結合歷史情況分析,該漏洞除了會影響銀行與互聯網企業(網易/多玩等)以外,還可能影響政府、證券、保險等行業,相關服務一定要提前做好安全應急與防范措施!

今天晚上 中國互聯網被Struts2漏洞血洗

  如果你在影響范圍內,有兩種解決方法:

1、禁用動態方法調用

修改Struts2的配置文件,將“struts.enable.DynamicMethodInvocation”的值設置為false,比如:

2、升級軟件版本

如果條件允許,可升級Struts版本至2.3.20.2、2.3.24.2或者2.3.28.1,這幾個版本都不存在此漏洞。

升級地址:https://struts.apache.org/download.cgi#struts23281

另附漏洞測試樣例(無風險):

http://d047ab33ccbe2dda8.jie.sangebaimao.com/struts2-showcase/filedownload/index.action?method:%2523_memberAccess%[email protected]@DEFAULT_MEMBER_ACCESS%252C%2523test%253D%2523context.get%2528%2523parameters.res%255B0%255D%2529.getWriter%2528%2529%252C%2523test.println%2528%2523parameters.command%255B0%255D%2529%252C%2523test.flush%2528%2529%252C%2523test.close%26res%3Dcom.opensymphony.xwork2.dispatcher.HttpServletResponse%26command%3D%2523%2523%2523Struts2%20S2-032%20Vulnerable%2523%2523%2523

今天晚上 中國互聯網被Struts2漏洞血洗

關鍵字:方法調用POC互聯網

本文摘自:快科技

電子周刊
回到頂部

關于我們聯系我們版權聲明隱私條款廣告服務友情鏈接投稿中心招賢納士

企業網版權所有 ©2010-2024 京ICP備09108050號-6 京公網安備 11010502049343號

^
  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 陆丰市| 新乡县| 大城县| 金昌市| 金堂县| 尖扎县| 甘南县| 正蓝旗| 高阳县| 横山县| 都江堰市| 泰安市| 克什克腾旗| 新乐市| 丹巴县| 和林格尔县| 鸡泽县| 苏州市| 南溪县| 宁夏| 新兴县| 崇信县| 额济纳旗| 临朐县| 庐江县| 崇义县| 泉州市| 晋城| 大厂| 合江县| 安阳县| 上虞市| 江华| 沾化县| 泽州县| 泰宁县| 夏津县| 南康市| 安陆市| 石门县| 绵阳市|