4月23日消息,近日安全研究人員指出Apache Struts2在漏洞公告S2-020里,在處理修復CVE-2014-0094的漏洞修補方案中存在漏洞,導致補丁被完全繞過。目前官方在GitHub上對該問題做出了修正。然而該修正公布后,安全人員很快發(fā)現(xiàn),官方給出的補丁仍然存在漏洞,可被繞過。隨后SCANV網(wǎng)址安全中心附上了臨時修復方案以應對此次官方的烏龍門。百度加速樂也已率先升級了防御規(guī)則,目前百度加速樂可獨家防御該漏洞。
如果站長沒有使用百度加速樂,也可以根據(jù)SCANV網(wǎng)址安全中心提供的臨時修復方案自行修復:
修改struts源碼中的struts-default.xml
替換所有的 ^dojo\..*
改為 (.*\. ^)class\..*,.*'class'.*,(.*\. ^)class\[.*,^dojo\..*
據(jù)了解Struts2已不是第一次出現(xiàn)重大安全事故,去年9月Struts2曝出漏洞,國家多家重要政府網(wǎng)站受到影響,其中不乏部委級網(wǎng)站。此次再次曝出漏洞顯現(xiàn)出互聯(lián)網(wǎng)安全問題的嚴重性。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!