前天晚上(4月26日),中國互聯網遭遇了一場服務器安全性的巨大挑戰:Struts 2漏洞!
2016年4月21日Apache官方發布了安全公告(官方編號S2-032/CVE編號CVE-2016-3081),Apache Struts2服務在開啟動態方法調用(DMI)的情況下,可以被遠程執行任意命令,安全威脅程度高。這一漏洞影響的軟件版本為2.3.20-2.3.28。這是自2012年Struts2命令執行漏洞大規模爆發之后,該服務時隔四年再次爆發大規模漏洞。
國內權威安全眾測平臺 “烏云漏洞報告平臺” 已收到100多家網站的相關漏洞報告,其中互聯網金融、電商、基礎服務企業占了很大比例(甚至銀行也未幸免)。
Struts2漏洞怎么解決
Struts2是Apache項目下的一個web 框架(Apache Struts 2是世界上最流行的Java Web服務器框架之一。),普遍應用于阿里巴巴、京東等互聯網、政府、企業門戶等大中型網站。
其實在2013年6月底發布的Struts 2.3.15版本也被曝出存在重要的安全漏洞,當時的主要問題如下:①、可遠程執行服務器腳本代碼
用戶可以構造http://host/struts2-blank/example/X.action?action:%{(new java.lang.ProcessBuilder(new java.lang.String[]{'command','goes','here'})).start()}鏈接,command goes here可以換成是破壞腳本的路徑和參數,比如fdisk -f等,造成破環系統無法運行的目的。
②、重定向漏洞
用戶可以構造如知名網站淘寶的重定向連接,形如打折新款,引導用戶點擊后進入釣魚網站,在界面上讓其進行登陸用以獲取用戶的密碼。
最新Struts2漏洞解決辦法
①、禁用動態方法調用
修改Struts2的配置文件,將“struts.enable.DynamicMethodInvocation”的值設置為false,比如:
②、升級軟件版本
如果條件允許,可升級Struts版本至2.3.20.2、2.3.24.2或者2.3.28.1,這幾個版本都不存在此漏洞。
升級地址:https://struts.apache.org/download.cgi#struts23281
終極解決辦法:換云服務器
說來說去,服務器的安全問題主要體現在兩塊:DDoS攻擊和漏洞攻擊。換安全有保障的云服務器才是王道。國內很多云服務器都對安全問題都有很好的技術防范、預測、處理方案,比如 UCloud云計算。
UCloud 的優盾服務擁有5大安全模塊:
①基礎安全服務
基礎安全服務是為使用UCloud彈性IP的用戶提供基礎的安全服務,彈性IP可與云主機、云路由、負載均衡綁定。當這些綁定彈性IP的設備遭受到DDoS攻擊、暴力破解、異地登陸這些攻擊時,系統會進行記錄和分析,幫助用戶排查安全隱患。
②Web應用防護
UCloud云WAF通過一系列針對Web應用的安全策略來專門為Web應用保駕護航。能夠檢測并阻斷常用的Web掃描攻擊、Web漏洞攻擊、SQL注入攻擊、XSS攻擊、遠程命令執行、CC攻擊等一系列攻擊。專業安全團隊及時漏洞響應,規則不定期更新,為您的Web應用提供專業保護。
③入侵防御系統
UCloud云IPS以全面深入的協議分析為基礎,通過協議分析引擎動態地分析報文中包含的協議特征,能夠快速、準確地檢測出四到七層的惡意系統掃描、暴力猜測、系統漏洞攻擊、緩沖區溢出攻擊、應用程序攻擊、蠕蟲病毒、后門木馬等惡意攻擊行為,并能夠對攻擊進行實時阻斷。專業安全團隊及時漏洞響應,規則不定期更新,為您的主機提供專業保護。
④高防服務
高防為已備案的域名或源站IP(包括非UCloud的彈性外網IP)提供DDoS攻擊防護。當用戶的域名或源站IP(包括非UCloud的彈性外網IP)在遭受大流量的DDoS攻擊時,可以通過高防IP代理源站IP面向用戶,隱藏源站IP,將攻擊流量引流到高防IP,確保源站的穩定正常運行。
⑤云加密服務
云加密服務(UCloud encrypt service)通過使用經國家密碼管理局檢測認證的硬件密碼機,幫助用戶滿足數據安全方面的監管合規要求,保護云上業務數據的隱私性和機密性。借助加密服務,用戶可以進行安全的密鑰管理,并使用多種加密算法來進行加密運算。用戶不必再為繁復的設備集成與管理工作耗費額外的精力,僅需要申請相應規模的密碼服務即可。
京公網安備 11010502049343號