Apache軟體基金會修補Struts 2的遠端程式攻擊漏洞

Apache軟體基金會（Apache Software Foundation）於本周三（8/22）修補了Apache Struts 2中一個可能會引發遠端程式攻擊的安全漏洞，有鑑於Apache Struts 2過去出現類似的重大漏洞時，相關攻擊程式在24小時之內就現身，因而呼籲用戶儘速更新。

此一編號為CVE-2018-11776的安全漏洞被歸類為重大（Critical）漏洞，它會在兩種情況下被觸發，一是當XML配置中未設定命名空間（Namespace），同時上層動作配置沒有或使用通配符號命名空間時，其次是所使用的URL標籤沒有設定行動與值，同時上層動作配置沒有或使用通配符號命名空間時，就可能允許駭客執行遠端程式攻擊。

發現該漏洞的安全研究人員Man Yue Mo表示，若執行特定配置的Struts伺服器造訪了駭客特別打造的網頁時，就能觸發該漏洞。

Apache Struts為一開源的網路應用程式框架，主要用來開發基於Java EE的網路應用，根據去年的統計，Fortune 100大企業中，至少有65%仰賴Apache Struts框架。

去年爆出1.4億名用戶資料遭竊的美國第三大消費者信用報告業者Equifax就是因為沒有修補編號為CVE-2017-5638的Struts 2漏洞，才讓駭客有機可趁，盜走了1/3的美國人口資料。Apache Struts團隊是在去年3月修補了CVE-2017-5638漏洞，而Equifax則是在5月遭到攻擊。

Mo是在今年4月向Apache Struts安全團隊提報了該漏洞，後者則在本周釋出更新程式，該漏洞影響Struts 2.3~Struts 2.3.34，以及Struts 2.5 ~Struts 2.5.16，也可能影響已經終止支援的舊版本，Apache Struts團隊鼓勵用戶應儘快升級到2.3.35或2.5.17。

Mo並未公開針對該漏洞的攻擊程式，也呼籲其它開發人員應暫緩揭露攻擊程式，以讓用戶有時間修補。