“中国网络被Struts2漏洞血洗 乌云收超100家网站漏洞报告”

本篇文章939字，读完约2分钟

apache官方今晚发布安全公告(官方编号s2-032/cve编号cve--3081 )，apache struts2服务为dmi )打开时，可以远程执行任意命令，安全威胁度很高。

受此漏洞影响的软件版本为2.3.20-2.3.28。 但是，除2.3.20.2、2.3.24.2两个版本外，建议尽快升级到合适的最新版本并关闭dmi。

这是在struts2命令执行漏洞大规模爆发后，该服务时隔4年爆发了大规模漏洞。

目前，乌云漏洞报告平台已收到100多个网站的相关漏洞报告，其中银行占很大比例。

目前，一些版本的漏洞利用poc在网上传播，分为命令执行版本和直接写入web后门的版本。 　　

据说乌云平台现在被这个漏洞填满了，后台还有100多个漏洞。 因为预计这将在今晚迎来这个漏洞爆发的第一个小高峰，特别是银的区域可能会被鲜血冲刷。

结合历史情况分析，这个漏洞除了银行和互联网公司(新闻网/玩多了等)外，还可能影响政府、证券、保险等领域。 相关服务务必事先采取安全应急和防范措施。 　　

如果在影响范围内，有两种处理方法。

1、禁用动态方法调用

修改struts2的配置文件，并将struts.enable.dynamicmethodinvocation的值设置为false。 示例:

<； 常数名称= " struts.enable.dynamicmethodinvocation "值= "假"/& GT； ；

2、升级软件版本

如果条件允许，可以将struts版本升级到2.3.20.2、2.3.24.2或2.3.28.1。 这些版本没有这个漏洞。

升级到: struts.Apache/download.CGI # struts 23281

另一个漏洞测试样本(无风险) :

d 047 ab 33cc be 2d DA8. Jie.sange Baimao/struts2- showcase /文件下载/索引. action？ 方法: % 2523 _成员访问% 253 d @ ognl.ognl上下文@默认_成员访问% 252 c % 2523测试% 253 d % 2523内容 Eters mand % 255 B0 % 255 d % 2529 c % 2523测试. flush % 2523 xwork2. dispatcher.http服务器响应% 26命令% 3d % 223

来源：UI科技日报