修復CVE-2017-9805漏洞的解決方案

近日，信用巨頭 Equifax遭遇黑客攻擊，1.43 億用戶信息失竊的事件佔據了多天的信息安全板塊頭條。Equifax 稱黑客利用了 Web 應用的漏洞訪問了某些文件，將矛頭指向同一時間爆出安全漏洞的Apache Struts Web 框架，但Apache Struts 項目昨日為此發表聲明澄清有關的傳言。但Apache Struts Web 框架的漏洞也引起全球開發者的注意。

漏洞介紹

2017年9月5日，Apache Struts 發布最新公告指出 Struts2 中的 REST 插件存在遠程代碼執行漏洞（CVE-2017-9805），而該漏洞有九年歷史，至今才被發現。Struts2 REST插件的XStream組件存在反序列化漏洞，使用帶有XStream實例的XStreamHandler進行反序列化操作時，沒有任何類型過濾而導致遠程代碼執行，存在安全隱患，可被遠程攻擊。目前官方認定漏洞危險等級為【高危】。

漏洞危害

攻擊者可以通過構造惡意XML請求在目標伺服器上遠程執行任意代碼。

影響範圍

Struts 2.5 – Struts 2.5.12

自 2008 年以來的所有版本 Struts2 都會受到影響

修復建議

升級到Apache Struts版本2.5.13，最好的選擇是在不使用時刪除Struts REST插件，或僅限於伺服器普通頁面和JSONs：

補丁下載地址：

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.13

臨時緩解措施

暫無有效的臨時緩解措施。最好的方法是在不使用時刪除Struts REST插件，或僅限於伺服器正常頁面和JSON：

向後兼容性

由於對可用的類應用了默認的限制，某些REST操作可能會停止工作。在這種情況下，請調查所引入的新介面，允許對每個操作定義類限制，這些介面包括：

代碼簽名證書是保護開發者的勞動成果，給自己開發的軟體簽名的證書，保證代碼在簽名之後不被惡意篡改。用戶可通過對代碼的數字簽名來標識軟體來源，辨別軟體開發者的真實身份。GDCA的代碼簽名證書支持多種代碼簽名，已通過WEBTRUST國際認證。

文章轉載：https://www.trustauth.cn/news/security-news/21911.html

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！