如何看待2016年4月26日晚，中國互聯網被Struts2漏洞血洗？

01-12

Apache官方於今天晚上發布安全公告(官方編號S2-032/CVE編號CVE-2016-3081)，Apache Struts2服務在開啟動態方法調用(DMI)的情況下，可以被遠程執行任意命令，安全威脅程度高。
這一漏洞影響的軟體版本為2.3.20-2.3.28，不過2.3.20.2、2.3.24.2兩個版本除外，建議儘快升級到相應的最新版本，並關閉DMI。
這是自2012年Struts2命令執行漏洞大規模爆發之後，該服務時隔四年再次爆發大規模漏洞。

截止目前，烏雲漏洞報告平台已收到100多家網站的相關漏洞報告，其中銀行佔了很大比例。
目前已有多個版本的漏洞利用POC在互聯網流傳，分為命令執行版本與直接寫入Web後門的版本。

看到國內的安全團隊這兩天在熱炒Structs2遠程執行漏洞利用的0Day，我也耐不住寂寞，嘗試著用Coverity檢測了一下，發現Coverity早在2014年1月份的7.0版本就能夠檢測此類問題，無奈....

Struts2 隔一陣子就爆個洞，而且影響面還大的不行。

一出個像這兩天這樣的漏洞，想必運維人員都要忙通宵。

相對來說，還是買點安全設備比如WAF之類的比較省心。畢竟買了這東西，對應的安全服務商會時刻盯著業界的新爆漏洞去分析影響面，規則防護等等。另外來看，雲WAF在這方面優勢會比較大，傳統盒子還得走升級包更新模式。雲WAF直接在雲上就升級生效了，簡單方便，無需操心。

正如樓上所說，用這個版本的站點不多。而且不出意外，大多都是銀行網站，很懷疑一些政府網站是不是也有這樣的問題。

我們國家銀行、政府網站在技術追求這方面真不敢恭維

這個版本用的站點太少了

看到盆友圈各種刷，問題都出現了，只能讓各大廠商快速的打好補丁，問題最小化

經過測試，影響一般，因為受影響的版本很有限，低版本的並不存在此漏洞，我已通過搜索得到較多的可能受影響的網址，存在此漏洞不多，遠遠無法與heartbleed相比。