2013年7月23日

Struts2 漏洞防禦規則緊急發佈

7月17日,著名Java Web框架Struts2被曝存在遠程任意代碼的高危漏洞,該漏洞可以影響Struts2.0-Struts2.3所有版本;攻擊者可以利用該漏洞,快速取得服務器權限,進而對服務器進行數據庫竊取、網站內容文件刪除修改、服務器開關機等敏感操作。該漏洞被公佈後,包括人人網、百度、中國電信、騰訊等眾多大型互聯網公司受到影響,7月17日晚上注定成為了運維人員的不眠之夜。

Struts2漏洞瘋狂來襲

烏云平台是國內知名的漏洞報告平台,從烏云上的數據來看,7月14日已經有人提交Struts2漏洞的報告;不過,直到7月17日,Struts2漏洞才被網友瘋狂關注,一天以後,國內數十個知名網站已經被發現受該漏洞影響,包括電信、移動、百度、騰訊、京東商城等網站的分站。

不出意外,上面每個網站上都可能存儲著數以十萬計的用戶數據;若用戶數據被別有用心的人盜取,進一步發送垃圾信息或欺詐信息,可能會有數百萬網友間接受此影響。

至於隱藏在暗處的黑客攻擊,影響的範圍可能會更加廣泛。目前,網絡上已經存在針對該漏洞的攻擊軟件,只要在軟件上填寫存在Struts2漏洞的網址,那麼工具可以自動完成漏洞利用,好比按要求讀取用戶數據或者篡改指定的網頁。

如何確認Struts2漏洞

對於多數站長來說,Stuts2可能是一個完全陌生的詞彙,幾乎不知道什麼是Struts2,更不知道要怎麼檢測自己的網站是否受Struts2漏洞影響。

為瞭解決站長的後顧之憂,國內知名的網站安全中心SCANV已提供針對Struts2漏洞的網站安全檢測工具,站長只要去Struts2漏洞檢測工具頁面(http://www.scanv.com/tools/),輸入自己的網站,點擊確定,隨後可以輕鬆檢測出自己的網站是否受該漏洞影響。

Struts2官方已經發佈補丁,請站長盡快將Struts2升級到2.3.15.1版本,避免遭遇針對該漏洞的攻擊。(http://struts.apache.org/download.cgi#struts23151)。

對於網友而言,建議針對不同網站設置不同的賬號密碼,避免在不同網站使用類似的賬號密碼,以免某個網站的數據庫洩露,導致你在其它網站的賬號被盜,造成經濟損失。