最新信息
Struts2网络安全漏洞
时间:2017-03-08    来源:
全校各业务部门系统管理员,请注意。

    著名J2EE框架——Struts2存在远程代码执行的严重漏洞。目前Struts2官方已经确认漏洞(漏洞编号S2-045,CVE编号:cve-2017-5638),并定级为高危风险。由于该漏洞影响范围较广(Struts 2.3.5 - Struts 2.3.31,Struts 2.5 - Struts 2.5.10),漏洞危害程度严重,可造成直接获取应用系统所在服务器的控制权限。因此,建议相关行业提前做好该严重漏洞的应急准备工作。

     鉴于此漏洞的特殊性,为保障两会时期网站平稳运行,请各业务部门立刻联系对应系统维护公司进行系统升级,该漏洞的影响范围:Struts2.3.5 到 Struts2.3.31以及 Struts2.5 到 Struts2.5.10。


修复方式:更新至Struts 2.3.32 或者 Struts 2.5.10.1或使用第三方的防护设备进行防护。该漏洞的危害程度:黑客可以利用该漏洞通过浏览器在远程服务器上执行任意系统命令,将会对受影响站点造成严重影响,引发数据泄露、网页篡改、植入后门、成为肉鸡等安全事件。为什么说本次漏洞影响极大:此前s2-016漏洞同样危害非常严重,多数站点已经打补丁,而本次漏洞在s2-016补丁后的版本均受影响;漏洞利用无任何条件限制,可绕过绝大多数的防护设备的通用防护策略。

分享到: