Struts2高危漏洞:影响广泛,互联网面临安全挑战
本周,Struts2框架暴露出的高危漏洞引发了广泛关注,涉及淘宝、京东等大型网站及众多应用。该漏洞允许攻击者通过Ognl表达式注入恶意代码,获得服务器最高权限,造成严重后果。鉴于国内站点升级缓慢,大量使用Struts2的系统难以修复,内网系统安全风险显著增加。建议紧急升级至最新版本或联系供应商,以防安全威胁。
struts2
天太热了,这周每天的温度都超过了35度,不过相对而言,真正热闹的还是 struts2 暴出来的高危漏洞,这次估计互联网又要腥风血雨一翻了,而且我估计还这个事件所暴出来的漏洞可能还会在未来 3 到 4 的中产生持续的影响,就和 SQL 注入一样,长期存在。
首先,淘宝、京东、腾讯这类的大站都是使用这种框架开发的,当然受到了影响,而且很多网站也一样。SSH(struts2,spring,Hibernate)是近年来很吃香的 Web 开发技术,而 struts2 也就是其中的一个,同时它也是最早开始大量普及的 MVC 构架,虽然它的风头可能被 spring web 构架取代,但到目前为止,仍然是使用最多的 MVC 构架。而该开发组合长期以来都是国内做为开发 Web 站点的最主要的力量,而且也是开发大型站点的首选。
而这次被暴出来的漏洞,也不是什么新的漏洞了,去年都被人提及,但 struts 官方并没有很好的处理,才导致了非常严重的后果。这次的漏洞是由于 Ognl 表达式,一般来说它被程序员利用来传递数据,但忘记了它同时也可以用来传输代码,从来可以使用提交恶意代码的人拥有服务器的最高权限。
以后很长的时间就有得玩了,因为国内的站点升级是慢之又慢的;另外很多使用 struts 构成的站点和应用,估计已经无法修复,供应商估计早就申请破产或转行或联系不上了;最危险的还有内网中的系统,已经安全运行了很多年,谁都不知道它究竟是怎么运作的,管理员做的工作也就是每周备份下数据,没有谁会知道有这个漏洞,更不肜说是处理漏洞,这会给恶意的员工和商业间谍带来很多的惊喜,轻轻松松的突破各种权限控制获得重要信息。
毕竟基于 struts 开发的系统太流行了。
你现在应该赶紧叫 IT 部门的人员把 struts2 升级到 struts2.0-2.3.15 以上的版本;或者,希望你能联系得上你当初购买软件系统的供应商;或者,你压根就不知道这有 Struts 漏洞回事。
手机安全
最近新出来的 android 漏洞已经可以使用 Rekey 来修复了。Rekey 由美国 Northeastern 大学的系统安实验室(NEU SecLab)和企业级手机安全公司 Duo Security 联合推出。反正我没有修补,因为我手机以后一般是不会装什么应用的。
但比起信息安全,人身安全更为重要,说不定你哪天就被心爱的手机给放倒了,这次的安全事件不是来自 android,而是来自一名空姐使用充电中的 iPhone 打电话,同样,使用 android 的人也同样要引起注意。
随着空姐在接电话的时候被电击身亡的事件不断的发醇,国内关于电子产品的安全讨论也越来越多,原来,除于食品不安全外,电子产品同样也存在着巨大的安全隐患,比如:
其中暴料了手机市场的种种黑幕,比如卖翻新机、更换配件之类的事情,怎么感觉和以前在电脑城买电脑是一样的了,不仅需要非常齐备的拥有各种辨识假货的知识,还需要智勇双全的和各种奸商斗争。
空姐事件还没结束,又有一哥们倒下了:
以后,还是注意点好,最基本的:
1、充电时不要打手机,打雷时更不要打
2、手机及其配件最好在大商家和厂家那里买,最好商家和厂家是国外公司或国外上市,出大事了去国外打官司
微软补丁
最后,微软本月补丁打好的朋友,如果你在使用的过程中出现软件或游戏出故障,而上个星期没有,请 留意 Windows 7 和 Windows XP 安装的 MS13-057 安全更新,请卸载 KB2803821(win7)和KB2834904(winxp)试试。
转载于:https://blog.51cto.com/148061/1253362
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
