TNUA資通安全
||最新公告||資通安全||微軟資安||檢查防護軟體||資通安全法律案例宣導彙編||
 
Apache Struts存在遠端攻擊漏洞

 
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全
上一篇主題 :: 下一篇主題  
發表人 內容
chw
Site Admin


註冊時間: 2006-01-02
文章: 180

發表發表於: 星期三 九月 27, 2017 8:00 am    文章主題: Apache Struts存在遠端攻擊漏洞 引言回覆

Apache軟體基金會(Apache Software Foundation)在9/5釋出了Struts 2.5.13,修補一個自2008年就存在的重大安全漏洞,可能允許駭客自遠端執行任意程式,呼籲用戶儘速更新。Apache Struts為一開源的網頁應用程式框架,主要用來開發Java EE網路應用程式,受到眾多企業的青睞。Igtm.com的一名安全研究人員Man Yue Mo發現該框架反序列化不可靠資料的方式出了問題,造成只要是以Struts與流行的REST通訊外掛打造的應用程式,其代管伺服器都將允許駭客自遠端執行任何程式。

Igtm主要提供自動化的程式碼分析服務,並免費供應給開源碼專案,根據Igtm的說法,此一編號為CVE-2017-9805的安全漏洞影響了2008年以來的所有Struts版本,各種採用該框架知名REST外掛程式的網路應用程式都受到波及。Mo表示,有非常多的組織使用Struts框架,且這個漏洞帶來具大的風險,因為該框架通常被用來設計公開的網路應用程式,例如航空公司的訂票系統,或者是金融機構的網路金融應用等,此外,要開採該漏洞對駭客來說極為簡單,唯一需要的工具就是瀏覽器。

根據RedMonk分析師Fintan Ryan的估計,財星(Fortune)一百大企業中,至少有65%正在使用以Struts框架建立的網路應用程式。Igtm團隊已打造了一支針對該漏洞的有效攻擊程式,只是目前並不打算公開,即使迄今尚未發現其他已知的攻擊程式,不過Igtm相信它很快就會現身。Apache軟體基金會已藉由Struts 2.5.13修補了此一漏洞,並說相關漏洞可能帶來阻斷服務或遠端程式攻擊。不論是該基金會或資安業者都呼籲Struts用戶應該立即更新。

資料來源:
https://www.imperva.com/blog/2017/09/cve-2017-9805-analysis-of-apache-struts-rce-vulnerability-in-rest-plugin/
https://struts.apache.org/announce.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9805
http://www.ithome.com.tw/news/116680
國家資通安全會報技術服務中心整理
回頂端
檢視會員個人資料 發送私人訊息
從之前的文章開始顯示:   
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全 所有的時間均為 台灣時間 (GMT + 8 小時)
1頁(共1頁)

 
 

電算中心-網路組