圖片來源: 

Man Yue Mo

Apache軟體基金會(Apache Software Foundation)於本周三(8/22)修補了Apache Struts 2中一個可能會引發遠端程式攻擊的安全漏洞,有鑑於Apache Struts 2過去出現類似的重大漏洞時,相關攻擊程式在24小時之內就現身,因而呼籲用戶儘速更新。

此一編號為CVE-2018-11776的安全漏洞被歸類為重大(Critical)漏洞,它會在兩種情況下被觸發,一是當XML配置中未設定命名空間(Namespace),同時上層動作配置沒有或使用通配符號命名空間時,其次是所使用的URL標籤沒有設定行動與值,同時上層動作配置沒有或使用通配符號命名空間時,就可能允許駭客執行遠端程式攻擊。

發現該漏洞的安全研究人員Man Yue Mo表示,若執行特定配置的Struts伺服器造訪了駭客特別打造的網頁時,就能觸發該漏洞。

Apache Struts為一開源的網路應用程式框架,主要用來開發基於Java EE的網路應用,根據去年的統計,Fortune 100大企業中,至少有65%仰賴Apache Struts框架。

去年爆出1.4億名用戶資料遭竊的美國第三大消費者信用報告業者Equifax就是因為沒有修補編號為CVE-2017-5638的Struts 2漏洞,才讓駭客有機可趁,盜走了1/3的美國人口資料。Apache Struts團隊是在去年3月修補了CVE-2017-5638漏洞,而Equifax則是在5月遭到攻擊。

Mo是在今年4月向Apache Struts安全團隊提報了該漏洞,後者則在本周釋出更新程式,該漏洞影響Struts 2.3~Struts 2.3.34,以及Struts 2.5 ~Struts 2.5.16,也可能影響已經終止支援的舊版本,Apache Struts團隊鼓勵用戶應儘快升級到2.3.35或2.5.17。

Mo並未公開針對該漏洞的攻擊程式,也呼籲其它開發人員應暫緩揭露攻擊程式,以讓用戶有時間修補。


Advertisement

更多 iThome相關內容