原标题:上周三才修补Struts 2漏洞,概念性验证攻击程式周五就现身
示意图,与新闻事件无关。
图片来源:Apache△Software△Foundation
Apache软件基金会(Apache△Software△Foundation)甫于上周三(8/22)修补了编号为CVE-2018-11776的Struts△2安全漏洞,但Recorded△Future的安全研究人员上周五(8/24)就在GitHub上发现了该漏洞的概念性验证攻击程式,同时也察觉中国与俄罗斯的数个地下论坛正在热烈讨论如何开采该漏洞。
CVE-2018-11776漏洞被归类为重大(Critical)漏洞,它会在两种情况下被触发,一是当XML配置中未设定命名空间(Namespace),同时上层动作配置没有或使用通配符号命名空间时,其次是所使用的URL标签没有设定行动与值,同时上层动作配置没有或使用通配符号命名空间时,就可能允许骇客执行远端程式攻击,也有机会获得目标系统的存取权限。
Recorded△Future的资深安全架构师Allan△Liska说明,这意味着骇客只要在一个HTTP请求中,把自己的命名空间加到URL中就能开采该漏洞,有别于Struts△2去年造成Equifax资料外泄的CVE-2017-5638漏洞,CVE-2018-11776相对容易开采,因为成功的开采完全不需要在Struts上安装额外的外挂程式。
Liska指出,Struts是个非常受欢迎的Java框架,也许有数亿个含有该漏洞的系统,但许多执行Struts的伺服器皆属后端应用伺服器,并不是那么容易分辨,就算是系统所有人也可能错过。
然而,居心不良的骇客可能会诱骗伺服器传回一个Java堆叠追踪,或是寻找特定的档案或目录来分辨潜在的Struts伺服器。
除了部署Apache软件基金会所释出的更新程式外,Liska也提出了暂时性的补救措施,也即确保在Struts△2中设定了命名空间。
率先揭露该漏洞的Man△Yue△Mo则说,他们尚未证实该概念性验证攻击程式是否可行,倘若答案是肯定的,将替骇客带来攻击捷径。
相关:
Go 1.11来了!可将Go程式码编译为WebAssembly
在今年4月,Go官方就预告即将支援Go编译成WebAssembly,一展取代Javascript的野心,而这个功能就在上周五释出的最新版本Go中实现了,虽然1.11是个小更新,但除了WebAssembly的支援外,也加入了模组概念,另外还更新了
微软赞助、可分辨新闻网站可信度的免费浏览器扩充程式NewsGuard问世了
图片来源: Chrome△Web△Store NewsGuard△Technologies在上周释出了一个由微软赞助,同时支援Microsoft△Edge与Google△Chrome的同名扩充程式,它以9项标准帮数千个新闻或资讯网站建立可信度评分,若使用者造访的是
资安工程师Daniel△Le△Gall在SCRT资讯安全博客发表文章,他发现脸书一台伺服器存在远端程式码执行漏洞,在他回报脸书后,脸书已经修正漏洞并给作者5,000美元作为奖励。Daniel△Le△Gall经常性的对有参加Bug△Bounty
《Fortnite》Android Installer 有漏洞 黑客可借此安装恶意软件 | 香港 UNWIRE.HK 玩生活.乐科技
当游戏商 Epic Games 宣布跳过 Google Play 商店,直接推外出游玩戏《Fortnite》的 Android 版,当时很多资讯保安专家都担心,鼓励玩家和不了解资讯安全的用户自行下载和安装软件,会引发安全问题。结果专家们的担忧
女乘客遭司机奸杀 揭滴滴出行严重漏洞 | 香港 UNWIRE.HK 玩生活.乐科技
大陆温州市日前发生了一宗和叫车软件有关的悲剧,当地公安证实在 8 月 24 日,一位女乘客被滴滴出行的司机先奸后杀。该手机叫车软件公司发声明对事件深表遗憾,同时也承认他们的安全措施出现严重问题,因为此次惨剧原