2018

08/24

02:07

来源:
网信天津

微信

新浪

关于Struts2存在高危漏洞的预警提示

    2018年8月22日,Apache Struts2官方发布了最新的安全公告,披露了一个远程命令执行漏洞(漏洞编号:CVE-2018-11776,官方编号:S2-057),攻击者可利用漏洞实施远程命令执行攻击。

  一、漏洞介绍

  2018年8月22日,Apache Struts2官方发布了最新的安全公告,披露了一个远程命令执行漏洞(漏洞编号:CVE-2018-11776,官方编号:S2-057),攻击者可利用漏洞实施远程命令执行攻击。利用此次Apache Struts2漏洞对采用Apache Struts2框架的企业Web服务器实施入侵,从而导致企业服务器被完全控制、企业敏感信息泄露、被植入勒索病毒加密破坏服务器,或利用服务器资源运行挖矿木马等严重后果。

  Struts是Apache基金会Jakarta项目组的一个开源项目,它采用MVC模式,帮助java开发者利用J2EE开发Web应用。目前,Struts广泛应用于大型互联网企业、金融机构等网站建设,并作为网站开发的底层模板使用。因此,各相关单位技术人员,及时验证漏洞情况并采取有效防范措施,以免遭受严重影响。

  二、危害影响

  成功利用该漏洞的攻击者,可以在目标系统中执行恶意代码。Apache Struts 2.3–Apache Struts2.3.34、Apache Struts2.5–Apache Struts 2.5.16等版本等均受此漏洞影响。

  三、修复建议

  目前,Apache官方已经发布了新的版本更新修复了该漏洞。天津市网信办提示相关单位及时确认Apache Struts产品版本,如受影响,请及时采取修补措施。漏洞修补措施如下:

  升级到struts2 2.3.35 或者 struts2 2.5.17

  https://cwiki.apache.org/confluence/display/WW/S2-057?from=timeline&isappinstalled=0

关于Struts2存在高危漏洞的预警提示

2018 14:07来源:网信天津

    2018年8月22日,Apache Struts2官方发布了最新的安全公告,披露了一个远程命令执行漏洞(漏洞编号:CVE-2018-11776,官方编号:S2-057),攻击者可利用漏洞实施远程命令执行攻击。

  一、漏洞介绍

  2018年8月22日,Apache Struts2官方发布了最新的安全公告,披露了一个远程命令执行漏洞(漏洞编号:CVE-2018-11776,官方编号:S2-057),攻击者可利用漏洞实施远程命令执行攻击。利用此次Apache Struts2漏洞对采用Apache Struts2框架的企业Web服务器实施入侵,从而导致企业服务器被完全控制、企业敏感信息泄露、被植入勒索病毒加密破坏服务器,或利用服务器资源运行挖矿木马等严重后果。

  Struts是Apache基金会Jakarta项目组的一个开源项目,它采用MVC模式,帮助java开发者利用J2EE开发Web应用。目前,Struts广泛应用于大型互联网企业、金融机构等网站建设,并作为网站开发的底层模板使用。因此,各相关单位技术人员,及时验证漏洞情况并采取有效防范措施,以免遭受严重影响。

  二、危害影响

  成功利用该漏洞的攻击者,可以在目标系统中执行恶意代码。Apache Struts 2.3–Apache Struts2.3.34、Apache Struts2.5–Apache Struts 2.5.16等版本等均受此漏洞影响。

  三、修复建议

  目前,Apache官方已经发布了新的版本更新修复了该漏洞。天津市网信办提示相关单位及时确认Apache Struts产品版本,如受影响,请及时采取修补措施。漏洞修补措施如下:

  升级到struts2 2.3.35 或者 struts2 2.5.17

  https://cwiki.apache.org/confluence/display/WW/S2-057?from=timeline&isappinstalled=0

为你推荐

智能客服理财推荐,与你的需求相符吗?

当下,越来越多的用户加入理财大军,不少人青睐“线上理财+自主挑选”模式,他们的理财成熟度如何?智能理财服务的智能度足以为他们提供匹配的产品吗?

谨防“无须抵押、无须担保、放款速度快

网络贷款类案件已成为当前电信网络诈骗中发案量大且最具有欺骗性的一类。对此,警方提示凡是声称“无须抵押、无须担保、放款速度快”等套路的均为诈骗,一律不可信。

工业和信息化部点名:这些金融APP非法收

日前,工业和信息化部发布了2019年第一季度电信服务质量通告。通告显示,多款金融APP存在非法收集个人信息问题,工业和信息化部表示已对违规软件进行下架处理,并责令企业整改。