2018

08/24

02:07

来源:
网信天津

微信

新浪

关于Struts2存在高危漏洞的预警提示

    2018年8月22日,Apache Struts2官方发布了最新的安全公告,披露了一个远程命令执行漏洞(漏洞编号:CVE-2018-11776,官方编号:S2-057),攻击者可利用漏洞实施远程命令执行攻击。

  一、漏洞介绍

  2018年8月22日,Apache Struts2官方发布了最新的安全公告,披露了一个远程命令执行漏洞(漏洞编号:CVE-2018-11776,官方编号:S2-057),攻击者可利用漏洞实施远程命令执行攻击。利用此次Apache Struts2漏洞对采用Apache Struts2框架的企业Web服务器实施入侵,从而导致企业服务器被完全控制、企业敏感信息泄露、被植入勒索病毒加密破坏服务器,或利用服务器资源运行挖矿木马等严重后果。

  Struts是Apache基金会Jakarta项目组的一个开源项目,它采用MVC模式,帮助java开发者利用J2EE开发Web应用。目前,Struts广泛应用于大型互联网企业、金融机构等网站建设,并作为网站开发的底层模板使用。因此,各相关单位技术人员,及时验证漏洞情况并采取有效防范措施,以免遭受严重影响。

  二、危害影响

  成功利用该漏洞的攻击者,可以在目标系统中执行恶意代码。Apache Struts 2.3–Apache Struts2.3.34、Apache Struts2.5–Apache Struts 2.5.16等版本等均受此漏洞影响。

  三、修复建议

  目前,Apache官方已经发布了新的版本更新修复了该漏洞。天津市网信办提示相关单位及时确认Apache Struts产品版本,如受影响,请及时采取修补措施。漏洞修补措施如下:

  升级到struts2 2.3.35 或者 struts2 2.5.17

  https://cwiki.apache.org/confluence/display/WW/S2-057?from=timeline&isappinstalled=0

关于Struts2存在高危漏洞的预警提示

2018 14:07来源:网信天津

    2018年8月22日,Apache Struts2官方发布了最新的安全公告,披露了一个远程命令执行漏洞(漏洞编号:CVE-2018-11776,官方编号:S2-057),攻击者可利用漏洞实施远程命令执行攻击。

  一、漏洞介绍

  2018年8月22日,Apache Struts2官方发布了最新的安全公告,披露了一个远程命令执行漏洞(漏洞编号:CVE-2018-11776,官方编号:S2-057),攻击者可利用漏洞实施远程命令执行攻击。利用此次Apache Struts2漏洞对采用Apache Struts2框架的企业Web服务器实施入侵,从而导致企业服务器被完全控制、企业敏感信息泄露、被植入勒索病毒加密破坏服务器,或利用服务器资源运行挖矿木马等严重后果。

  Struts是Apache基金会Jakarta项目组的一个开源项目,它采用MVC模式,帮助java开发者利用J2EE开发Web应用。目前,Struts广泛应用于大型互联网企业、金融机构等网站建设,并作为网站开发的底层模板使用。因此,各相关单位技术人员,及时验证漏洞情况并采取有效防范措施,以免遭受严重影响。

  二、危害影响

  成功利用该漏洞的攻击者,可以在目标系统中执行恶意代码。Apache Struts 2.3–Apache Struts2.3.34、Apache Struts2.5–Apache Struts 2.5.16等版本等均受此漏洞影响。

  三、修复建议

  目前,Apache官方已经发布了新的版本更新修复了该漏洞。天津市网信办提示相关单位及时确认Apache Struts产品版本,如受影响,请及时采取修补措施。漏洞修补措施如下:

  升级到struts2 2.3.35 或者 struts2 2.5.17

  https://cwiki.apache.org/confluence/display/WW/S2-057?from=timeline&isappinstalled=0

为你推荐

网络威胁报告指网络罪犯通过表单劫持牟

7日,2019年《互联网安全威胁报告》(下称报告)在北京发布,报告显示,随着勒索软件和密码窃取带来的收益不断减少,网络犯罪分子正在伺机寻找其他的方法来牟取利益……

关于软件下载站传播计算机恶意程序情况

近期,CNCERT针对软件下载站展开计算机恶意程序监测行动,随机抽取了下载站的样本4424个,判定其中含有计算机恶意程序142个,涉及6家软件下载站。

关于境内大量家用路由器DNS服务器被篡改

2月19日,CNCERT监测发现,境内部分用户通过家用路由器访问部分网站时被劫持到涉黄涉赌网站。经研判,这是一起典型的由互联网地下黑色产业争斗引发的网络安全事件。