Apache Struts 2高風險漏洞釀災，基金會呼籲盡快安裝安全更新

Apache Struts 2高風險漏洞釀災，基金會呼籲盡快安裝安全更新


這些漏洞已在中國釀成災難。新浪網報導，包括百度、阿里巴巴、騰訊等大型網站及政府、金融機構都受到影響。其中百度更為此針對百度站長平台的使用者發出緊急安全通告。

Apache Software基金會針對Apache Struts2 二項可讓駭客取得企業網站伺服器控制權的高風險漏洞發出安全更新，由於駭客已經針對漏洞發動攻擊，基金會強烈建議使用者迅速下載並安裝更新。

Java Web應用的開發框架Struts 2.3.15.1公眾版安全更新旨在修復Struts2中兩項和DefaultActionMapper class及其Action有關的兩項安全漏洞。安全專家表示，漏洞出在縮寫的導航和重定向前綴 (short-circuit navigation parameter prefix) 三個Actions：「action:」、 「redirect:」、 「redirectAction:」上，由於這些參數前綴的內容沒有被正確過濾，讓駭客可以透過漏洞執行命令，存取受害伺服器的訊息，進一步取得最高控制權限。

根據Apache軟體基金會的公告，兩項漏洞中，S2-016會導致系統遭到駭客遠端執行程式碼，Apache軟體基金會將它列為高風險 (highly critical) 。S2-017則會給駭客開啟重導引 (redirect) 的機會。

這些漏洞已在中國釀成災難，新浪網報導，包括百度、阿里巴巴、騰訊等大型網站及政府、金融機構都受到影響。其中百度在周四（7/18）更針對百度站長平台的使用者發出安全通告：「昨日，互聯網遭受了一場漏洞風波——Apache Struts2高危漏洞，影響到Struts 2.0.0 - Struts 2.3.15的所有版本。全球千萬網站及國內各大網站均受到不同程度的影響。攻擊者可以利用該漏洞執行惡意java代碼，最終導致網站資料被竊取、網頁被篡改等嚴重後果。為了避免站長們的損失，百度站長平臺現發出安全風險通告，請您排查網站是否使用Struts2框架，如使用請您及時診斷自己網站是否存在該漏洞。」


Apache基金會強烈建議使用者迅速下載並安裝更新。Struts開發人員已在更新中加入可過濾「action: 」前綴資訊的程式碼，且移除「redirect: 」及「redirectAction: 」前綴的支援。由於使用舊版前綴的應用無法使用最新版的Struts 2.3.15.1，因此Apache基金會也建議企業以修改過的導航規則取代之。

轉載自《iThome》

研究人員揭露 Java 7 新漏洞，10年前的手法就可攻陷

研究人員揭露 Java 7 新漏洞，10年前的手法就可攻陷


Gowdiak並批評，如果甲骨文的Java SE有採用任何的軟體安全保證程序，就應該在Java SE 7發表前便解決Reflection API的缺陷，也應能杜絕10年前的攻擊手法，從該漏洞可合理懷疑要不是甲骨文的安全政策與程序不值一提，就是執行層面有問題。


波蘭資安業者Security Explorations周四（7/18）透過Full Disclosure揭露了Java SE 7中的安全漏洞，宣稱這雖然是個新發現的漏洞，但以10年前的技術就能攻陷。

Security Explorations執行長Adam Gowdiak表示，該漏洞允許駭客利用10年前便廣為人知的手法來攻擊Java虛擬機器，此類的威脅應該是在添增新功能至核心的虛擬機器時便應在第一時間防止的，更令人訝異的是在Java SE 7中的Reflection API並未採取應有的保護機制來防堵該攻擊。

Reflection API為一在包含Java等高階虛擬機器語言中非常普遍的技術，可用來檢查與修改物件在運行時的架構及行為。


Security Explorations已經打造出該漏洞的概念性攻擊程式，並證實可執行於Java SE 7 Update 25及之前的版本，將可入侵Java虛擬機器的基本功能。

Gowdiak並批評，如果甲骨文的Java SE有採用任何的軟體安全保證程序，就應該在Java SE 7發表前便解決Reflection API的缺陷，也應能杜絕10年前的攻擊手法，從該漏洞可合理懷疑要不是甲骨文的安全政策與程序不值一提，就是執行層面有問題。

從去年底開始，資安研究人員便不斷披露Java的安全漏洞，Facebook、蘋果及微軟都成為Java漏洞的受害者，還有不少業者建議使用者暫時關閉瀏覽器中的Java功能以避免受到影響，雖然甲骨文今年以來已多次釋出Java更新，然而Java的安全問題似乎仍未解決。

轉載自《iThome