信息安全、網絡安全在“互聯網+”始終是一個非常重要的問題。沒有網絡安全就沒有國家安全。近日，安恒信息安全研究院WEBIN實驗室高級安全研究員Nike Zheng發現著名J2EE框架——Struts2存在遠程代碼執行的嚴重漏洞。目前Struts2官方已經確認漏洞（漏洞編號S2-045，CVE編號：cve-2017-5638），并定級為高危風險。

由于該漏洞影響范圍較廣（Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10），漏洞危害程度嚴重，可造成直接獲取應用系統所在服務器的控制權限。因此，建議相關行業提前做好該嚴重漏洞的應急準備工作。同時，安恒信息各防護、監測類相關產品針對該漏洞已提前提供更新策略，并做好了該漏洞相關的各項應對準備工作。

鑒于此漏洞的特殊性，為保障兩會時期網站平穩運行，安恒信息決定為所有受此漏洞影響網站開通玄武盾快速接入綠色通道。網站負責人可以致電安恒信息7*24小時客服熱線，在客服人員的指導下快速接入網站，立即啟動防護。

FAQ：

該漏洞是誰發現的：安恒信息安全研究院。

該漏洞的影響范圍：Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10。

修復方式：更新至Struts 2.3.32 或者 Struts 2.5.10.1 或 使用第三方的防護設備進行防護。

該漏洞的危害程度：黑客可以利用該漏洞通過瀏覽器在遠程服務器上執行任意系統命令，將會對受影響站點造成嚴重影響，引發數據泄露、網頁篡改、植入后門、成為肉雞等安全事件。

為什么說本次漏洞影響極大：此前s2-016漏洞同樣危害非常嚴重，多數站點已經打補丁，而本次漏洞在s2-016補丁后的版本均受影響；漏洞利用無任何條件限制，可繞過絕大多數的防護設備的通用防護策略。

安恒防護監測類的產品策略

目前安恒WAF、玄武盾、APT均已支持該漏洞的策略更新。

WAF：如已經更新到4.3.0.4/2017022301版本，則已經包含該漏洞的防護策略。

玄武盾：目前玄武盾已經支持該漏洞的防護策略。

APT預警平臺：目前已經支持該漏洞策略。

安恒檢測類產品策略

檢測類產品的策略已經完成，將在稍后的一段時間內支持更新。