标签: Apache Struts

Equifax 证实:未及时修复 Apache Struts 漏洞,致使美国公民数据遭窃

Equifax 上周曝出 1.43 亿美国用户的敏感信息在线泄露,当时他们声称黑客利用 Web 应用漏洞入侵数据库,但并未披露任何细节。本周,Equifax 证实,宣称黑客利用了开源项目 Apache Struts 漏洞 CVE-2017-5638 。 漏洞利用特制的 HTTP Headers(HTTP 首部/ HTTP 报文)允许黑客者在受害者的电脑上执行任意命令。该漏洞被标记为“大规模”,影响了无数网站,其中攻击的两个工作版本也在网上公布。目前,许多大型机构,如银行、政府机构和一些世界顶级公司,都在应用程序中使用 Apache Struts。 Apache Struts 是在今年 3 月 6 日发布修复漏洞补丁,而黑客对 Equifax 的入侵发生在 5 月中旬,也就是 Equifax 没有及时打上补丁,让黑客能利用已修复的漏洞入侵系统。研究人员表示,像这样的漏洞会不时发生,非常难以避免。因此强烈建议Equifax 尽快安装补丁。不过,修复该漏洞较为繁琐,涉及到手动更新、测试并重新部署到公司使用的所有 Apache Struts Web 应用程序中。 稿源:据 cnBeta、solidot奇客 综合整理,封面源自网络;

Apache Struts 项目团队发表声明:与美国征信企业 Equifax 泄露事件无关

美国征信企业 Equifax 上周承认多达 1.43 亿用户的敏感信息外泄,Apache Struts Web 框架也在同一时间曝出了一个有九年历史的漏洞,该漏洞编号为 CVE-2017-9805。Equifax 声称黑客利用 Web 应用的漏洞访问某些文件,而 Apache Struts 项目被人怀疑与此有关。 Apache Struts 项目今年曝出两个漏洞,一个是在 3 月,另一个就是在上周。目前并不清楚黑客究竟利用了什么漏洞,Apache Struts 项目为此发表声明澄清有关传言。它解释称,在九年之后发现漏洞和已经知道漏洞几年是有重大区别的。如果是后者,开发团队将需要非常困难的给出足够好的解释为什么没有更早修复漏洞。但这里的情况并非如此,在接到漏洞报告之后,他们尽可能快的修复漏洞。而该漏洞是一个常见的软件工程问题,开发者写代码去实现某个想要的功能,但并未意识到某些不想要的副作用。 稿源:solidot奇客,封面源自网络;