瑞星發(fā)布緊急安全警報：Struts 2高危漏洞致7成大型網(wǎng)站成肉雞

7月17日，瑞星互聯(lián)網(wǎng)攻防實驗室向廣大互聯(lián)網(wǎng)企業(yè)及政府機構發(fā)出緊急安全警報，世界知名開源軟件Struts 2 存在2個高危漏洞，這些漏洞可使黑客取得網(wǎng)站服務器的“最高權限”，從而使企業(yè)服務器變成黑客手中的“肉雞”。據(jù)相關網(wǎng)站報道，目前已知的騰訊、百度、阿里巴巴等7成大型互聯(lián)網(wǎng)公司及政府機關均將受到該漏洞影響。瑞星安全專家提醒廣大網(wǎng)站管理員，應到Struts 2的官方網(wǎng)站下載最新的補丁程序（下載地址： http://struts.apache.org/download.cgi#struts23151），盡快將Struts 2升級到最新的2.3.15.1版本，以避免可能遭遇的嚴重安全威脅。

瑞星安全專家介紹，本次曝出的2個漏洞是由于縮寫的導航和重定向前綴“action:”、 “redirect:”、 “redirectAction:”造成的。瑞星安全專家表示，由于這些參數(shù)前綴的內(nèi)容沒有被正確過濾，導致黑客可以通過漏洞執(zhí)行命令，獲取目標服務器的信息，并進一步取得服務器最高控制權。屆時，被攻擊網(wǎng)站的數(shù)據(jù)庫將面臨全面泄密的威脅，同時黑客還可以通過重定向漏洞的手段，對其他網(wǎng)民進行釣魚攻擊或掛馬攻擊。

據(jù)了解， Struts是Apache基金會Jakarta項目組的一個開源項目，它采用MVC 模式，幫助java開發(fā)者利用J2EE開發(fā) Web 應用。目前，Struts廣泛應用于大型互聯(lián)網(wǎng)企業(yè)、政府、金融機構等網(wǎng)站建設，并作為網(wǎng)站開發(fā)的底層模板使用。因此，瑞星安全專家再次提醒廣大網(wǎng)站管理員，盡快將Struts 2升級到最新的2.3.15.1版本。

相關文章:

• 云計算產(chǎn)業(yè)熱點轉向安全管理
• 雅虎開始發(fā)放回收賬號 聯(lián)手Facebook加大安全力度
• 電子文件中心網(wǎng)絡系統(tǒng)的安全威脅和防范策略
• 杜絕悲劇 家電安全用電“八要八不要”
• 手機圈里的照相機 4100萬像素諾基亞Lumia1020發(fā)布
• 2013年上半年中國信息安全綜合報告
• 互聯(lián)網(wǎng)全面泄密時代來臨——國家信息中心信息安全研究與服務中心聯(lián)合瑞星發(fā)布上半年信息安全報告
• 應加快信息安全自主可控水平
• 第三次中美戰(zhàn)略安全對話舉行
• 2013年上半年十大安全事件