Apache Struts用户敦促由于新的安全缺陷而更新
作为TSB和汇丰客户的数字银行毛刺没有放置在发薪日
工业控制系统专门的网络目标
Mac OS Mojave零天警告
Java和Python FTP攻击可以穿过防火墙打孔
AI Scheduling Startup启动企业订阅
阿里巴巴云和英特尔团队在物联网上
升级到S / 4 HANA的风险
Apple的企业成功:Mac和iOS使用速度快
参议员探测到Cloudpets智能玩具黑客
新的麦斯科斯兰科·勒索在野外发现了
谷歌在用户挤压后拉动虚拟助手广告
农村地区将成为第一个获得沃达丰5G的人之一
英国东南部的NHS组织为HSCN选择了BT
Microsoft发布KB 4015438 Windows 10的紧急修复
阿里巴巴眼睛零售业与新的云产品
Kubernetes现在通常可以在Azure Container Service上提供
丹麦政府雄心勃勃的数据中心推动
谷歌研究如何更快地使互联网变得更快
数据窃取Betabot Malware
UKTECH50 2018 - 帮助我们在英国找到最有影响力的人
石油巨头外壳呼吁搬到清洁能源
Comms提供商可能被迫通知合同的用户
美国与飞机指向鸟类的无人机碰撞探测器
铃声重新开始另一轮:Fred Studer签署了金融法
英国科技产业警告政府在Brexit后移民
数百万商人容易受到传真的网络攻击
NCR补丁ATM漏洞
Indigo海底有线电路在珀斯
英特尔发布修复最新芯片安全漏洞
Maidstone和Tunbridge Wells NHS信任获得完整的EPR
三星开始生产新的10nm Exynos 9系列芯片
苹果公司的苹果是“比Pixar更喜欢哈利波特”,我们表示,我们表示
什么机器学习从业者可以从数据仓库中学习
谷歌将于今年晚些时候发货Soli姿态开发套件
四分之一的英国人希望他们的工作被技术取代
Yahoo Breach展示了国家赞助的黑客攻击
汗湿的贝蒂改造网站,以满足数字客户
Gartner索赔纯Play IAAS提供商可以被缺陷,因为企业态度成熟
三个犁276米进入5G准备
聪明的泰迪熊涉及有争议的数据泄露
HPE重新聚焦云上的技术服务组,大数据
不完整的可见性最佳安全性失败
'Candy-Bar'手机将获得智能手机功能,具有新的Qualcomm芯片
Mystery更新KB 3150513制作了另一种重新出现
手机银行木马达到历史新高
Marissa Mayer要求她的年度奖金分发给雅虎员工
'满足'谷歌的企业新的视频会议服务
修复文化以使数字取得成功
IBM的新Q程序包括一个50 Qubit量子计算机
您的位置:首页 >论坛 > 电子业界 >

Apache Struts用户敦促由于新的安全缺陷而更新

2021-08-12 17:44:12 [来源]:

Apache Struts的用户正在敦促在发现新的关键远程远程执行漏洞后更新到最新版本。

Apache Struts是一个流行的开源框架,用于在Java编程语言中开发Web应用程序,并被世界各地的企业广泛使用。

Apache Software BodationAnncound漏洞(CVE-2018-11776),由Man Yue Mo从Semmle Security Research团队中识别并报告,发现并报告了广泛使用的开源软件中的关键漏洞。

“这种漏洞影响了可能被暴露的常用支柱终点,打开攻击矢量到恶意黑客。研究人员说,最重要的是,弱点是与Stognl语言的支柱语言有关,并且众所周知,过去已被熟悉,并已被剥削,“研究人员说。

使用Struts的组织和开发人员被迫切地建议立即升级他们的Struts组件,因为使用以前版本的Apache Struts开发的所有应用程序都可能易于利用新发现的缺陷。

研究团队警告说,以前的披露导致了类似关键漏洞的漏洞发布,将关键的基础设施和客户数据造成风险。

未能更新最新版本的Struts导致2017年5月属于美国消费者和694,000名英国消费者的1.48亿令人突破,但在2018年5月,安全实质证据报告称,自违约以来,成千上万的公司都没有更新到软件的修补版本或已下载的易受攻击版本。

这次新发现的远程执行漏洞影响Apache Struts 2的所有支持的版本,并且强烈建议版本2.3的用户升级到最新修补的2.3.35,而Struts 2.5的用户需要升级到2.5.17版本。

该漏洞位于Apache Struts的核心,并且由于在某些配置下,在Struts框架的核心中的核心中的用户提供的不受信任输入不足。所有使用Struts的应用程序都可能易受攻击,即使没有启用其他插件,研究人员也会警告。

远程执行代码执行(RCE)漏洞通常被认为是最严重的安全问题类型,因为它们允许攻击者对TakeControl的TakeControl提供,为公司网络提供了一个可以将基础架构和数据处于风险的企业网络中的入口点。

Struts应用程序通常面临公共互联网,在大多数情况下,攻击者不需要任何现有权限到易受攻击的Struts应用程序来启动反对它的攻击。

研究人员警告攻击者非常容易评估应用程序是否易受攻击,并且很快就会发布专用的扫描工具,以便启用攻击者快速和自动识别易受攻击的应用程序。

研究人员表示,Struts应用程序是否容易受到远程代码执行的影响,这增加了即使应用程序目前不易受攻击,也可以呈现对Struts配置文件的无意中更改可能呈现应用程序在未来易受攻击,进一步强调需要升级所有Struts组件。

根据Pavel Avgustinov,联合创始人和Semmle(Software Analytics)工程的Pavel Avgustinov,Co-Forder and副总裁,QuIFAX和新宣布漏洞的关键远程执行代码执行漏洞是“令人难以置信的危险性”。

这是由于Struts用于公开可访问的客户面向客户的网站,容易识别出易受攻击的系统,并且缺陷易于利用。

“黑客可以在几分钟内找到他们的方式,并从受损系统进一步攻击数据或阶段。立即更新受影响的系统至关重要;等待是采取不负责任的风险,“他说。

Apache基金会符合Semmle的负责任的披露政策,2018年4月10日,Apache Struts团队发布了TheCode更改,并在2018年8月22日发布了爆炸的TheCode变更。

Semmle安全研究团队表示,它与Struts开发人员密切合作,以确保尽可能快地提供有效的补丁。

联合创始人和CTO Mayerable谴责Deraison表示,大多数组织正在处理今天的威胁是基础安全问题的结果,如在披露关键漏洞时无法修补系统。

“这个最新的Apache Struts漏洞是一个提醒一个基本,严重,但非常不良的安全措施的重要性,每个组织都应该做到,这是维持其系统。

“许多基于网络的远程远程执行漏洞,如此,快速进行了研究,在披露后不到几天内出现的公开利用。

“正如我们用Equifax所看到的,网络罪犯正在利用不愿意或无法修补其系统的组织,导致灾难性的后果。不要让这个缺陷是下一个Mega Breach的原因。尽快升级到Apache Struts版本2.3.35或2.5.17。“

Tim Mackey,Synopsys的Black Duck的技术福音师表示,开发人员通常使用代码图书馆,或者在创建新的应用程序或功能时经过验证的效率,开发范例,当图书馆或范例具有高质量时,这是一件好事,但当未发现安全缺陷时,这可能导致安全问题的模式。

“在[最新漏洞] CVE-2018-11776的情况下,根本原因是对转移到Struts框架的URL缺乏输入验证。

“与CVE-2018-11776不同,先前的漏洞都在Struts代码的单个功能区域中的代码中。这意味着熟悉该功能区域的开发人员可以在不引入新功能行为的情况下快速识别和解决问题。

“CVE-2018-11776在代码中的更深层次级别运行,这反过来不仅需要更深入地了解Struts代码本身,而且还需要更深入地了解Struts代码本身,而是STRUSS使用的各种库。这是这种级别的理解,这是一个最重要的问题 - 这一问题涉及任何图书馆框架。

“将输入验证到函数需要清晰的定义是可接受的。它同样要求提供公共使用的任何功能文件如何使用传递给它们的数据。缺少合同此类定义和文档表单,很难确定代码是否正确运行。

“当颁发对图书馆的修补程序时,此合同变得至关重要,因为假设所有补丁都没有行为变化,因此不切实际。现代软件越来越复杂,并识别数据如何通过它应该是所有软件开发团队的优先事项。“

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。