百度站長平臺(tái)預(yù)警：Apache Struts2高危漏洞來襲

美圖秀秀2017v5.0.0.5 官方正式版

• 類型：圖像處理大�。�34.4M語言：中文 評(píng)分：8.1
• 標(biāo)簽：

立即下載

親愛的站長朋友：

大家好，昨日互聯(lián)網(wǎng)遭受了一場漏洞風(fēng)波——Apache Struts2高危漏洞，影響到Struts 2.0.0 -Struts 2.3.15的所有版本。包括國內(nèi)很多知名網(wǎng)站在內(nèi)的大量網(wǎng)站受到此漏洞不同程度的影響。攻擊者可以利用該漏洞執(zhí)行惡意java代碼，最終導(dǎo)致網(wǎng)站數(shù)據(jù)被竊取、網(wǎng)頁被篡改等嚴(yán)重后果，使網(wǎng)站及網(wǎng)民安全受到了極大的威脅。

為了避免站長們的損失，百度站長平臺(tái)現(xiàn)發(fā)出安全風(fēng)險(xiǎn)通告，請站長們排查網(wǎng)站是否使用Struts2框架，如使用請您及時(shí)診斷自己網(wǎng)站是否存在該漏洞。為此，安全聯(lián)盟合作伙伴scanv安全中心緊急開發(fā)了一款在線小工具，可以幫您快速診斷是否存在此漏洞，詳情點(diǎn)擊：http://www.scanv.com/tools/ 。

如果您的網(wǎng)站存在此漏洞，請您進(jìn)行緊急修復(fù)，升級(jí)至官方最新版本Struts 2.3.15.1，下載地址：http://struts.apache.org/download.cgi#struts23151，升級(jí)修補(bǔ)了多個(gè)安全漏洞，其中包括這個(gè)遠(yuǎn)程任意代碼的高危安全漏洞。

Struts2昨日被曝出遠(yuǎn)程執(zhí)行漏洞。Struts漏洞影響巨大，受影響站點(diǎn)以電商、銀行、門戶、政府居多。而且一些自動(dòng)化、傻瓜化的利用工具開始出現(xiàn)，填入地址可直接執(zhí)行服務(wù)器命令，讀取數(shù)據(jù)甚至直接關(guān)機(jī)等操作...

另國內(nèi)知名安全漏洞平臺(tái)烏云網(wǎng)站顯示，從昨日開始，收到國內(nèi)大量知名站點(diǎn)因使用Struts應(yīng)用框架產(chǎn)生的漏洞，涉及網(wǎng)站包括庫巴網(wǎng)、百度、中國聯(lián)通分站、易寶支付、土豆網(wǎng)、京東商城、1號(hào)店、百合網(wǎng)、網(wǎng)易、搜狐、淘寶等。目前影響網(wǎng)站仍在增長中。而且漏洞利用代碼已經(jīng)被強(qiáng)化，可直接通過瀏覽器的提交對服務(wù)器進(jìn)行任意操作并獲取敏感內(nèi)容。

Struts通過采用JavaServlet/JSP技術(shù)，實(shí)現(xiàn)了基于JavaEEWeb應(yīng)用的Model-View-Controller（MVC）設(shè)計(jì)模式的應(yīng)用框架，是MVC經(jīng)典設(shè)計(jì)模式中的一個(gè)經(jīng)典產(chǎn)品，是應(yīng)用最廣泛的Web應(yīng)用框架之一。

白帽子向?yàn)踉坡┒磮?bào)告平臺(tái)提交的漏洞列表：