Apache软件基金会(Apache Software Foundation)在本周二(9/5)释出了Struts 2.5.13,并修补当中一个自2008年就存在的重大安全漏洞,可能允许骇客自远端执行任意程式,呼吁用户尽速更新。
Apache Struts为一开源的网页应用程式框架,主要用来开发Java EE网络应用程式,受到众多企业的青睐。Igtm.com的一名安全研究人员Man Yue Mo发现该框架反序列化不可靠资料的方式出了问题,造成只要是以Struts与流行的REST通讯外挂打造的应用程式,其代管伺服器都将允许骇客自远端执行任何程式。
Igtm主要提供自动化的程式码分析服务,并免费供应给开源码专案,根据Igtm的说法,此一编号为CVE-2017-9805的安全漏洞影响了2008年以来的所有Struts版本,各种采用该框架知名REST外挂程式的网络应用程式都受到波及。
Mo表示,有非常多的组织使用Struts框架,且这个漏洞带来具大的风险,因为该框架通常被用来设计公开的网络应用程式,例如航空公司的订票系统,或者是金融机构的网络金融应用等,此外,要开采该漏洞对骇客来说极为简单,唯一需要的工具就是浏览器。
根据RedMonk分析师Fintan Ryan的估计,财星(Fortune)一百大企业中,至少有65%正在使用以Struts框架建立的网络应用程式。
Igtm团队已打造了一支针对该漏洞的有效攻击程式,只是目前并不打算公开,即使迄今尚未发现其他已知的攻击程式,不过Igtm相信它很快就会现身。
Apache软件基金会已藉由Struts 2.5.13修补了此一漏洞,并说相关漏洞可能带来阻断服务或远端程式攻击。不论是该基金会或资安业者都呼吁Struts用户应该立即更新。
