最后更新于2023年12月26日星期二20:36:31 GMT
Apache Struts? 发生了什么事?
昨天的 Apache Struts漏洞公告 描述了流行的web应用程序Java框架中的XML反序列化问题. 不受信任用户输入的反序列化,也称为 cwe - 502, 是一个众所周知的漏洞模式吗, 我预计在大多数企业承诺打补丁之前,犯罪软件工具包就会包含这个漏洞, 考虑到这个补丁带来的并发症.
有什么隐情??
反序列化漏洞的问题通常是, 因此,应用程序代码完全依赖于被利用的不安全反序列化例程, 任何受此漏洞影响的人都不需要仅仅应用补丁并重新启动服务, 因为补丁可以改变底层应用程序处理传入数据的方式. 的“向后兼容性”一节中提到了这一点 S2-052. 更新中提到, “某些REST操作可能停止工作”足以让人出冷汗 它操作 需要保护基础设施并确保应用程序继续正常运行的人员.
我能做什么??
依赖Apache Struts为其网站提供动力的组织现在需要开始应用程序级测试,以避免成为利用此漏洞的自动化攻击浪潮中的下一个受害者. 远程代码执行意味着一切从破坏到赎金以及介于两者之间的一切.
与此同时, Rapid7的产品工程团队正在为组织检测覆盖范围, 验证, 解决这个关键问题. A Metasploit模块 正在进行中,并将很快发布,以帮助验证任何补丁或其他缓解措施.
InsightVM customers with content at “Wednesday 6th September 2017” or later (check Administration --> General to confirm content version) can determine whether they have a vulnerable version of Apache Struts present on Unix hosts in their environment by performing an authenticated scan. 漏洞id为 struts - cve - 2017 - 9805 您是否希望仅启用此检查来设置扫描模板. 它还被标记为“快速危急”.同一id下的InsightVM和expose可使用未经身份验证的CVE-2017-9805检查, struts - cve - 2017 - 9805. This check does not remotely execute code; instead, 它根据Apache Struts实例的根和默认展示uri检测易受攻击组件的存在.
除了这些特定的更新, 我们还制作了一个快速指南,逐步说明如何使用InsightVM和expose来发现, 评估, 并跟踪关键漏洞的补救措施, 包括Apache Struts vuln.
不是InsightVM客户? 今天下载一个免费的30天试用版开始.
我应该恐慌吗??
是的,你应该恐慌. 大概两分钟. 去吧,把它从你的身体里拿出来. 一旦完成, 虽然, 评估Apache Struts补丁以及它将如何影响您的业务的工作需要开始. 在这里,我们再怎么强调它的影响也不过分——java反序列化几乎总是导致在web服务上下文中指向并单击远程代码执行, 针对新的反序列化错误打补丁可能会改变特定web应用程序的预期逻辑. 这不是一个很好的情况,但它是可以克服的.
如果你对这个问题有任何疑问, 欢迎在下面评论, 或与您的常规Rapid7支持联系人联系.
