标签: Apache Struts

前 Equifax CEO 将网站入侵归咎于雇员未及时打补丁

美国征信巨头 Equifax 上个月披露 1.43 亿美国公民的个人敏感信息泄露,本周一该公司将这一数字再增加 250 万至 1.45 亿人。Equifax CEO Richard Smith 已因此事辞职。然而,这位前 CEO 于本周二出席了众议院能源和商务委员会下属小组委员会举行的听证会,透露了这家公司在网络安全方面所采取的 “恐怖” 故事。 攻击者是在今年 5 月利用已修复的 Apache Struts 软件漏洞入侵系统,而 Equifax 是在 7 月 29 日发现黑客的活动,Smith 承认他直到 7 月 31 日才首次听到可疑活动的报告。随后,8 月 2 日雇佣律所 King & Spalding 的网络安全专家调查此事,8 月 17 日收到简报,22 日通知董事长,24 日和 25 日董事会全都收到了简报。Smith 将入侵原因归咎于 “人为错误”,某位知道系统需要打补丁的雇员未能通知相应的 IT 团队。 Smith 声称他的公司采取了多种保护数据的技术,但用户的敏感个人信息就是明文保存的,没有加密。在披露黑客入侵之后,Equifax 设立了一个专门的域名让用户检查自己的信息有没有被窃取,多名议员询问为什么 Equifax 不在自己的主网站设立一个入口让用户检查,Smith 的解释是核查网站流量太大会拖垮整个网站,显然他对网站相关的技术不太了解。 稿源:solidot奇客,封面源自网络;

Equifax 证实:未及时修复 Apache Struts 漏洞,致使美国公民数据遭窃

Equifax 上周曝出 1.43 亿美国用户的敏感信息在线泄露,当时他们声称黑客利用 Web 应用漏洞入侵数据库,但并未披露任何细节。本周,Equifax 证实,宣称黑客利用了开源项目 Apache Struts 漏洞 CVE-2017-5638 。 漏洞利用特制的 HTTP Headers(HTTP 首部/ HTTP 报文)允许黑客者在受害者的电脑上执行任意命令。该漏洞被标记为“大规模”,影响了无数网站,其中攻击的两个工作版本也在网上公布。目前,许多大型机构,如银行、政府机构和一些世界顶级公司,都在应用程序中使用 Apache Struts。 Apache Struts 是在今年 3 月 6 日发布修复漏洞补丁,而黑客对 Equifax 的入侵发生在 5 月中旬,也就是 Equifax 没有及时打上补丁,让黑客能利用已修复的漏洞入侵系统。研究人员表示,像这样的漏洞会不时发生,非常难以避免。因此强烈建议Equifax 尽快安装补丁。不过,修复该漏洞较为繁琐,涉及到手动更新、测试并重新部署到公司使用的所有 Apache Struts Web 应用程序中。 稿源:据 cnBeta、solidot奇客 综合整理,封面源自网络;

Apache Struts 项目团队发表声明:与美国征信企业 Equifax 泄露事件无关

美国征信企业 Equifax 上周承认多达 1.43 亿用户的敏感信息外泄,Apache Struts Web 框架也在同一时间曝出了一个有九年历史的漏洞,该漏洞编号为 CVE-2017-9805。Equifax 声称黑客利用 Web 应用的漏洞访问某些文件,而 Apache Struts 项目被人怀疑与此有关。 Apache Struts 项目今年曝出两个漏洞,一个是在 3 月,另一个就是在上周。目前并不清楚黑客究竟利用了什么漏洞,Apache Struts 项目为此发表声明澄清有关传言。它解释称,在九年之后发现漏洞和已经知道漏洞几年是有重大区别的。如果是后者,开发团队将需要非常困难的给出足够好的解释为什么没有更早修复漏洞。但这里的情况并非如此,在接到漏洞报告之后,他们尽可能快的修复漏洞。而该漏洞是一个常见的软件工程问题,开发者写代码去实现某个想要的功能,但并未意识到某些不想要的副作用。 稿源:solidot奇客,封面源自网络;