Apache Struts的用户正在敦促在发现新的关键远程远程执行漏洞后更新到最新版本。
Apache Struts是一个流行的开源框架,用于在Java编程语言中开发Web应用程序,并被世界各地的企业广泛使用。
Apache Software BodationAnncound漏洞(CVE-2018-11776),由Man Yue Mo从Semmle Security Research团队中识别并报告,发现并报告了广泛使用的开源软件中的关键漏洞。
“这种漏洞影响了可能被暴露的常用支柱终点,打开攻击矢量到恶意黑客。研究人员说,最重要的是,弱点是与Stognl语言的支柱语言有关,并且众所周知,过去已被熟悉,并已被剥削,“研究人员说。
使用Struts的组织和开发人员被迫切地建议立即升级他们的Struts组件,因为使用以前版本的Apache Struts开发的所有应用程序都可能易于利用新发现的缺陷。
研究团队警告说,以前的披露导致了类似关键漏洞的漏洞发布,将关键的基础设施和客户数据造成风险。
未能更新最新版本的Struts导致2017年5月属于美国消费者和694,000名英国消费者的1.48亿令人突破,但在2018年5月,安全实质证据报告称,自违约以来,成千上万的公司都没有更新到软件的修补版本或已下载的易受攻击版本。
这次新发现的远程执行漏洞影响Apache Struts 2的所有支持的版本,并且强烈建议版本2.3的用户升级到最新修补的2.3.35,而Struts 2.5的用户需要升级到2.5.17版本。
该漏洞位于Apache Struts的核心,并且由于在某些配置下,在Struts框架的核心中的核心中的用户提供的不受信任输入不足。所有使用Struts的应用程序都可能易受攻击,即使没有启用其他插件,研究人员也会警告。
远程执行代码执行(RCE)漏洞通常被认为是最严重的安全问题类型,因为它们允许攻击者对TakeControl的TakeControl提供,为公司网络提供了一个可以将基础架构和数据处于风险的企业网络中的入口点。
Struts应用程序通常面临公共互联网,在大多数情况下,攻击者不需要任何现有权限到易受攻击的Struts应用程序来启动反对它的攻击。
研究人员警告攻击者非常容易评估应用程序是否易受攻击,并且很快就会发布专用的扫描工具,以便启用攻击者快速和自动识别易受攻击的应用程序。
研究人员表示,Struts应用程序是否容易受到远程代码执行的影响,这增加了即使应用程序目前不易受攻击,也可以呈现对Struts配置文件的无意中更改可能呈现应用程序在未来易受攻击,进一步强调需要升级所有Struts组件。
根据Pavel Avgustinov,联合创始人和Semmle(Software Analytics)工程的Pavel Avgustinov,Co-Forder and副总裁,QuIFAX和新宣布漏洞的关键远程执行代码执行漏洞是“令人难以置信的危险性”。
这是由于Struts用于公开可访问的客户面向客户的网站,容易识别出易受攻击的系统,并且缺陷易于利用。
“黑客可以在几分钟内找到他们的方式,并从受损系统进一步攻击数据或阶段。立即更新受影响的系统至关重要;等待是采取不负责任的风险,“他说。
Apache基金会符合Semmle的负责任的披露政策,2018年4月10日,Apache Struts团队发布了TheCode更改,并在2018年8月22日发布了爆炸的TheCode变更。
Semmle安全研究团队表示,它与Struts开发人员密切合作,以确保尽可能快地提供有效的补丁。
联合创始人和CTO Mayerable谴责Deraison表示,大多数组织正在处理今天的威胁是基础安全问题的结果,如在披露关键漏洞时无法修补系统。
“这个最新的Apache Struts漏洞是一个提醒一个基本,严重,但非常不良的安全措施的重要性,每个组织都应该做到,这是维持其系统。
“许多基于网络的远程远程执行漏洞,如此,快速进行了研究,在披露后不到几天内出现的公开利用。
“正如我们用Equifax所看到的,网络罪犯正在利用不愿意或无法修补其系统的组织,导致灾难性的后果。不要让这个缺陷是下一个Mega Breach的原因。尽快升级到Apache Struts版本2.3.35或2.5.17。“
Tim Mackey,Synopsys的Black Duck的技术福音师表示,开发人员通常使用代码图书馆,或者在创建新的应用程序或功能时经过验证的效率,开发范例,当图书馆或范例具有高质量时,这是一件好事,但当未发现安全缺陷时,这可能导致安全问题的模式。
“在[最新漏洞] CVE-2018-11776的情况下,根本原因是对转移到Struts框架的URL缺乏输入验证。
“与CVE-2018-11776不同,先前的漏洞都在Struts代码的单个功能区域中的代码中。这意味着熟悉该功能区域的开发人员可以在不引入新功能行为的情况下快速识别和解决问题。
“CVE-2018-11776在代码中的更深层次级别运行,这反过来不仅需要更深入地了解Struts代码本身,而且还需要更深入地了解Struts代码本身,而是STRUSS使用的各种库。这是这种级别的理解,这是一个最重要的问题 - 这一问题涉及任何图书馆框架。
“将输入验证到函数需要清晰的定义是可接受的。它同样要求提供公共使用的任何功能文件如何使用传递给它们的数据。缺少合同此类定义和文档表单,很难确定代码是否正确运行。
“当颁发对图书馆的修补程序时,此合同变得至关重要,因为假设所有补丁都没有行为变化,因此不切实际。现代软件越来越复杂,并识别数据如何通过它应该是所有软件开发团队的优先事项。“
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。