原标题:快更新! Apache Struts含有远端程式攻击漏洞
图片来源:Apache△Struts
Apache软件基金会(Apache△Software△Foundation)在本周二(9/5)释出了Struts△2.5.13,并修补当中一个自2008年就存在的重大安全漏洞,可能允许骇客自远端执行任意程式,呼吁用户尽速更新。
Apache△Struts为一开源的网页应用程序框架,主要用来开发Java△EE网络应用程序,受到众多企业的青睐。Igtm.com的一名安全研究人员Man△Yue△Mo发现该框架反序列化不可靠资料的方式出了问题,造成只要是以Struts与流行的REST通讯外挂打造的应用程序,其代管伺服器都将允许骇客自远端执行任何程式。
Igtm主要提供自动化的程式码分析服务,并免费供应给开源码专案,根据Igtm的说法,此一编号为CVE-2017-9805的安全漏洞影响了2008年以来的所有Struts版本,各种采用该框架知名REST外挂程式的网络应用程序都受到波及。
Mo表示,有非常多的组织使用Struts框架,且这个漏洞带来具大的风险,因为该框架通常被用来设计公开的网络应用程序,例如航空公司的订票系统,或者是金融机构的网络金融应用等,此外,要开采该漏洞对骇客来说极为简单,唯一需要的工具就是浏览器。
根据RedMonk分析师Fintan△Ryan的估计,财星(Fortune)一百大企业中,至少有65%正在使用以Struts框架建立的网络应用程序。
Igtm团队已打造了一支针对该漏洞的有效攻击程式,只是目前并不打算公开,即使迄今尚未发现其他已知的攻击程式,不过Igtm相信它很快就会现身。
Apache软件基金会已借由Struts△2.5.13修补了此一漏洞,并说相关漏洞可能带来阻断服务或远端程式攻击。不论是该基金会或资安业者都呼吁Struts用户应该立即更新。
相关:
示意图,与新闻事件无关。 图片来源: Lenovo 还记得联想在2015年被爆于旗下多款笔电产品中植入广告程式VisualDiscovery吗?经过了两年半之后,联想终于与美国联邦交易委员会(FTC)及美国的32个州达成和解协议,双
示意图,与新闻事件无关。 资安业者Imperva上周揭露Git专案仓库GitLab含有一连线劫持(Session△Hijacking)漏洞,将允许骇客劫持使用者连线时所使用的令牌(Token)。Imperva安全研究人员Daniel△Svartman表示,他
资安业者Nomotion本周揭露由美国通讯设备制造商Arris所生产的多款数据机各含不同的安全漏洞,允许骇客取得完整的装置权限。Nomotion在NVG589与NVG599两款数据机上所发现的漏洞为固定凭证漏洞,它们的帐号是remotessh
支援四位个实况主联播!微软释出行动游戏直播程式Mixer Create
微软在去年买下新创游戏直播平台Beam,让Windows△10与Xbox△One也具备游戏直播功能,接着在今年将它更名为Mixer,本周则释出支援Android与iOS的Mixer△Create行动程式正式版。手机用户不需使用额外的软件或配备,通
图片来源: St. Jude△Medical 亚培(Abbott)售出的近46.5万台美国老牌心律调节器被爆有安全漏洞,可能导致装置设定被改动,亚培已经释出更新并呼吁用户尽速安装。?这批有问题的心律调节器制造商为美国老牌医疗器材业