安恒研究院发现史上最严重的Struts2安全漏洞

2017-03-07 10:17:00 作者:ym 分类 : 比特网

  近日,安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng发现著名J2EE框架——Struts2存在远程代码执行的严重漏洞。目前Struts2官方已经确认漏洞(漏洞编号S2-045,CVE编号:cve-2017-5638),并定级为高危风险。

  由于该漏洞影响范围极广(Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10),漏洞危害程度极为严重,可直接获取应用系统所在服务器的控制权限。建议提前做好该严重漏洞的应急准备工作。

  同时,安恒信息各防护、监测类相关产品已提前针对该漏洞提供更新策略,并已做好该漏洞相关的各项应对准备工作。

  鉴于此漏洞影响范围极广,危害严重,为保障两会时期网站平稳运行,安恒信息决定为所有受此漏洞影响网站开通玄武盾快速接入绿色通道。网站负责人可以致电安恒信息7*24小时客服热线,在客服人员的指导下快速接入网站,立即启动防护。

  客服热线:400-6059-110

  WAF:赵帅15657123121 shuai.zhao@dbappsecurity.com.cn

  郭晓18668067921 x.guo@dbappsecurity.com.cn

  APT: 王辉18067966060 Spare.wang@dbappsecurity.com.cn

  李凯 18668151898 mike.li@dbappsecurity.com.cn

  玄武盾:贾鹏飞 18868949363 tengfei.jia@dbappsecurity.com.cn

  毛润华 13067932392 wefo.mao@dbappsecurity.com.cn

  后续,我们将深入解读并持续跟踪此事件,请随时关注安恒信息公众号、微博、官网,谢谢!

  FAQ:

  该漏洞是谁发现的:

  安恒信息安全研究院

  该漏洞的影响范围:

  Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10

  修复方式:

  更新至Struts 2.3.32 或者 Struts 2.5.10.1 或 使用第三方的防护设备进行防护

  该漏洞的危害程度:

  黑客可以利用该漏洞通过浏览器在远程服务器上执行任意系统命令,将会对受影响站点造成严重影响,引发数据泄露、网页篡改、植入后门、成为肉鸡等安全事件。

  为什么说本次漏洞影响极大:

  此前s2-016漏洞同样危害非常严重,多数站点已经打补丁,而本次漏洞在s2-016补丁后的版本均受影响;

  漏洞利用无任何条件限制

  可绕过绝大多数的防护设备的通用防护策略

  安恒防护监测类的产品策略

  目前安恒WAF、玄武盾、APT均已支持该漏洞的策略更新。

  WAF:如您已经更新到4.3.0.4/2017022301版本,则已经包含该漏洞的防护策略。

  玄武盾:目前玄武盾已经支持该漏洞的防护策略。

  APT预警平台:目前已经支持该漏洞策略。

  安恒检测类产品策略

  检测类产品的策略已经完成,将在稍后的一段时间内支持更新。

芥末视频

最近更新
科普

科普图集
互联网+升级到智能+,开启万物智联新时代

互联网+升级到智能+,开启万物智联新时代>>详情

中国互联网消费市场,发展潜力一片大好

中国互联网消费市场,发展潜力一片大好>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。