如何看待2016年4月26日晚,中國互聯網被Struts2漏洞血洗?
01-12
Apache官方於今天晚上發布安全公告(官方編號S2-032/CVE編號CVE-2016-3081),Apache Struts2服務在開啟動態方法調用(DMI)的情況下,可以被遠程執行任意命令,安全威脅程度高。
這一漏洞影響的軟體版本為2.3.20-2.3.28,不過2.3.20.2、2.3.24.2兩個版本除外,建議儘快升級到相應的最新版本,並關閉DMI。這是自2012年Struts2命令執行漏洞大規模爆發之後,該服務時隔四年再次爆發大規模漏洞。截止目前,烏雲漏洞報告平台已收到100多家網站的相關漏洞報告,其中銀行佔了很大比例。
目前已有多個版本的漏洞利用POC在互聯網流傳,分為命令執行版本與直接寫入Web後門的版本。
看到國內的安全團隊這兩天在熱炒Structs2遠程執行漏洞利用的0Day,我也耐不住寂寞,嘗試著用Coverity檢測了一下,發現Coverity早在2014年1月份的7.0版本就能夠檢測此類問題,無奈....
Struts2 隔一陣子就爆個洞,而且影響面還大的不行。
一出個像這兩天這樣的漏洞,想必運維人員都要忙通宵。
相對來說,還是買點安全設備比如WAF之類的比較省心。畢竟買了這東西,對應的安全服務商會時刻盯著業界的新爆漏洞去分析影響面,規則防護等等。另外來看,雲WAF在這方面優勢會比較大,傳統盒子還得走升級包更新模式。雲WAF直接在雲上就升級生效了,簡單方便,無需操心。正如樓上所說,用這個版本的站點不多。而且不出意外,大多都是銀行網站,很懷疑一些政府網站是不是也有這樣的問題。我們國家銀行、政府網站在技術追求這方面真不敢恭維
這個版本用的站點太少了
看到盆友圈各種刷,問題都出現了,只能讓各大廠商快速的打好補丁,問題最小化
經過測試,影響一般,因為受影響的版本很有限,低版本的並不存在此漏洞,我已通過搜索得到較多的可能受影響的網址,存在此漏洞不多,遠遠無法與heartbleed相比。
推薦閱讀:
※怎樣正確做 Web 應用的壓力測試?
※如何在生產伺服器上部署 Node.js 應用?
※tomcat 與 nginx,apache的區別是什麼?
※並發的HTTP請求,apache是如何響應的,以及如何調用php文件的?
※用 HHvm 運行 WordPress 是用 Apache 好還是 Nginx 好一點?