全部产品
云市场

Apache Struts2 再曝高危漏洞 云盾Web应用防火墙率先防御

更新时间:2017-06-07 13:26:11

 

          Apache Struts 2是世界上最流行的Java Web服务器框架之一。然而不幸的是,2016年4月26日,Apache Struts2再曝高危漏洞。Struts2在开启动态方法调用的情况下,会被攻击者实现远程代码执行攻击。请使用Struts2用户关注并尽快修复,以免造成不必要的损失。

         云盾—Web应用防火墙率先拦截该漏洞。用户不需要任何操作,Web应用防火墙可直接拦截此漏洞的攻击代码。

         云盾Web应用防火墙(Web Application Firewall, 简称 WAF)基于云安全大数据能力实现,通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,过滤海量恶意访问,避免用户的网站资产数据泄露,保障网站的安全与可用性。

 

         Web应用防火墙从2013年开始集团内部使用,经历双11考验(支撑912亿交易),2015年集成进入高防,2016年4月正式为用户提供高品质服务。

 

         Web应用防火墙拥有淘宝、支付宝同级别安全防护能力,支持0day防护。非阿里云主机同样可以享有Web应用防火墙强大的防护能力。

 

附:漏洞分析:

1.漏洞发布日期:2016年4月26日

2.目前受影响版本:Struts 2.3.18 - Struts2.3.28 (2.3.20.2和2.3.24.2除外)

3.漏洞描述

    Struts2在开启动态方法调用的情况下,会被攻击者实现远程代码执行攻击。

    http://struts.apache.org/docs/s2-032.html

4.建议修复方案

      4.1云盾Web应用防火墙服务可以拦截此漏洞的攻击代码,详情见:阅读原文。如需接入支持,可联系阿里云WAF咨询电话:400-8265-980

     4.2目前官方已经推出了2.3.20.2、2.3.24.2和2.3.28.1修复这个问题,大家可以针对自己所使用的版本进行升级。下载地址:https://struts.apache.org/download.cgi#struts23281