【警报！】昨夜大批网站受最新Struts2漏洞血洗，漏斗社区教您保障网站信息安全

发布时间： 2016-04-28 10:12:27  

分享到：

Struts2是一款优秀的网站框架，在互联网上有十分广泛的应用，近期apache官方发布了高危漏洞通告Apache Struts 任意代码执行漏洞（CVE-2016-3081，S2-032），该漏洞风险等级为高级且广泛影响Struts2各版本，利用该漏洞黑客可以执行任意命令、可直接获取网站服务器权限等，具有严重的危害性。中国国家信息安全漏洞库于4月26日正式发布了该漏洞信息，一夜之间乌云等互联网漏洞平台已曝出大量银行、互联网公司、传统企业的网站受该漏洞影响。

在漏斗社区的支持下，新东网科技已快速开启了应急响应，对自有业务进行排查和修复工作。为了保障您的信息安全，漏斗社区建议各企业单位也及时检查您的信息系统，如受到该漏洞影响请及时修复漏洞，避免安全漏洞可能带来的损失。

Apache Struts是美国阿帕奇（Apache）软件基金会负责维护的一款用于创建企业级Java Web应用的开源框架。

Apache Struts 2.0.0版本至2.3.28版本中存在安全漏洞。当程序启用动态方法调用（Dynamic Method Invocation）时，远程攻击者可利用该漏洞在服务器端执行任意代码。

【影响范围】

Struts2.0.0 - Struts2.5.BETA3

（即除了2.3.20.2，2.3.24.2，2.3.28.1三个已修复楼的版本以外，所有版本均会受到影响）

【解决方案】

1. 关闭动态方法调用：

2. 升级struts2至2.3.20.2，2.3.24.2或2.3.28.1，补丁获取链接： 

https://struts.apache.org/download.cgi#struts23281

【参考链接】

http://www.cnnvd.org.cn/vulnerability/show/cv_id/2016040585

如对于漏洞修复存在疑问或需要协助，可通过漏斗社区邮箱security@doone.com.cn或技术支持热线18960732042与漏斗社区技术团队取得联系。

漏斗社区是新东网科技倾力打造的信息安全技术社区，是一个学习信息安全技术的优秀渠道，也是信息安全技术人员进行交流和提升的平台。