在开发人员允许应用修复程序数周之后,更多细节得以公布
我们现在知道,11 月披露的 Apache Struts 2 中的远程代码执行漏洞在 CVE 发布后被评为近乎最高严重性等级。 根据周三发布 CVE 的国家漏洞数据库(NVD),Apache 使用 CVSSv4 框架为 CVE-2024-53677 打出了 9.5 分,而 Tenable 使用 CVSSv3 则打出了 9.8 分,任君选择。考虑到远程攻击者不需要任何权限就能利用该漏洞,再加上该漏洞对系统机密性、完整性和可用性的高度影响,阿帕奇基金会很可能隐瞒了最重要的细节,以便让客户升级到安全版本(Struts 6.4.0 或更高)。 鉴于 Struts 漏洞与 2017 年 "完全可以预防 "的 Equifax 外泄事件有关,为了安全起见,最好还是选择安全版本。
CVE-2024-53677 也没有可用的解决方法。 Apache 在其公告中描述了这一漏洞:"攻击者可以操纵文件上传参数来实现路径遍历,在某些情况下,这可能导致上传恶意文件,而恶意文件可用于执行远程代码。
受影响的版本包括Struts 2.0.0…Struts 2.3.37 (EOL) Struts 2.5.0…Struts 2.5.33 Struts 6.0.0…Struts 6.3.0.2 重要的是,不使用 Struts 文件上传拦截器组件的应用程序不受影响,该组件在 6.4.0 版本中已被弃用,并在 7.0.0 中被完全删除。
作为升级过程的一部分,我们还建议用户将其文件上传机制更新为 Action File Upload Interceptor,后者从 6.4.0 版起取代了上述组件。 由于配置选项、安全性、性能和集成能力等多方面原因,文件上传拦截器已被弃用。 升级该机制并不像应用简单的更新那么容易。 用户将不得不重写他们的操作,以确保与 Action File Upload 兼容,但替代方案是不可接受的。 正如 Apache 指出的那样 "使用旧的文件上传机制会使您容易受到这种攻击。"尽管现在网络应用程序开发人员经常选择不同的框架,但 Struts 2 仍然广受欢迎。 去年,Sonatype 在研究 CVE-2023-50164 时(该漏洞在性质和严重性上与 CVE-2024-53677 类似)注意到,Struts 2 每月收到约 30 万个下载请求,其中 80% 的请求都包含该严重漏洞。 CISA 在其已知漏洞(KEV)目录中列出了 8 个 Apache Struts 漏洞,其中 7 个可导致远程代码执行,还有一个--CVE-2017-5638(Equifax 漏洞)--已知被用于勒索软件攻击。 ®
信息来源:https://www.theregister.com/2024/12/12/apache_struts_2_vuln/
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局