Apache Struts用户督促由于新的安全缺陷而更新
发布时间:2022-02-23 12:24:26 所属栏目:要闻 来源:互联网
导读:Apache Struts的用户正在敦促在发现新的关键远程远程执行漏洞后更新到最新版本。 Apache Struts是一个流行的开源框架,用于在Java编程语言中开发Web应用程序,并被世界各地的企业广泛使用。 Apache Software BodationAnncound漏洞(CVE-2018-11776),由Man
|
Apache Struts的用户正在敦促在发现新的关键远程远程执行漏洞后更新到最新版本。 Apache Struts是一个流行的开源框架,用于在Java编程语言中开发Web应用程序,并被世界各地的企业广泛使用。 Apache Software BodationAnncound漏洞(CVE-2018-11776),由Man Yue Mo从Semmle Security Research团队中识别并报告,发现并报告了广泛使用的开源软件中的关键漏洞。“这种漏洞影响了可能被暴露的常用支柱终点,打开攻击矢量到恶意黑客。研究人员说,最重要的是,弱点是与Stognl语言的支柱语言有关,并且众所周知,过去已被熟悉,并已被剥削,“研究人员说。使用Struts的组织和开发人员被迫切地建议立即升级他们的Struts组件,因为使用以前版本的Apache Struts开发的所有应用程序都可能易于利用新发现的缺陷。 研究团队警告说,以前的披露导致了类似关键漏洞的漏洞发布,将关键的基础设施和客户数据造成风险。未能更新最新版本的Struts导致2017年5月属于美国消费者和694,000名英国消费者的1.48亿令人突破,但在2018年5月,安全实质证据报告称,自违约以来,成千上万的公司都没有更新到软件的修补版本或已下载的易受攻击版本。这次新发现的远程执行漏洞影响Apache Struts 2的所有支持的版本,并且强烈建议版本2.3的用户升级到最新修补的2.3.35,而Struts 2.5的用户需要升级到2.5.17版本。 该漏洞位于Apache Struts的核心,并且由于在某些配置下,在Struts框架的核心中的核心中的用户提供的不受信任输入不足。所有使用Struts的应用程序都可能易受攻击,即使没有启用其他插件,研究人员也会警告。远程执行代码执行(RCE)漏洞通常被认为是最严重的安全问题类型,因为它们允许攻击者对TakeControl的TakeControl提供,为公司网络提供了一个可以将基础架构和数据处于风险的企业网络中的入口点。 Struts应用程序通常面临公共互联网,在大多数情况下,攻击者不需要任何现有权限到易受攻击的Struts应用程序来启动反对它的攻击。研究人员警告攻击者非常容易评估应用程序是否易受攻击,并且很快就会发布专用的扫描工具,以便启用攻击者快速和自动识别易受攻击的应用程序。 (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
