域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過
4月23日消息,近日安全研究人員指出Apache Struts2在漏洞公告S2-020里,在處理修復(fù)CVE-2014-0094的漏洞修補(bǔ)方案中存在漏洞,導(dǎo)致補(bǔ)丁被完全繞過。目前官方在GitHub上對(duì)該問題做出了修正。然而該修正公布后,安全人員很快發(fā)現(xiàn),官方給出的補(bǔ)丁仍然存在漏洞,可被繞過。隨后SCANV網(wǎng)址安全中心附上了臨時(shí)修復(fù)方案以應(yīng)對(duì)此次官方的烏龍門。百度加速樂也已率先升級(jí)了防御規(guī)則,目前百度加速樂可獨(dú)家防御該漏洞。
如果站長沒有使用百度加速樂,也可以根據(jù)SCANV網(wǎng)址安全中心提供的臨時(shí)修復(fù)方案自行修復(fù):
修改struts源碼中的struts-default.xml
替換所有的 ^dojo\..*
改為 (.*\. ^)class\..*,.*'class'.*,(.*\. ^)class\[.*,^dojo\..*
據(jù)了解Struts2已不是第一次出現(xiàn)重大安全事故,去年9月Struts2曝出漏洞,國家多家重要政府網(wǎng)站受到影響,其中不乏部委級(jí)網(wǎng)站。此次再次曝出漏洞顯現(xiàn)出互聯(lián)網(wǎng)安全問題的嚴(yán)重性。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!