Struts2再次爆出安全漏洞,主要影响国内电商、银行、运营商等诸多大型网站和为数众多的政府网站。国外安全研究人员日前发现,Apache Struts2在处理CVE-2014-0094的漏洞补丁中存在缺陷,会被轻易绕过,可导致任意命令执行。黑客进而能够窃取到网站数据,或者对网站进行DDoS攻击。
图:Struts2再次爆出安全漏洞
截至目前,Apache官方仍未发布该漏洞修复方案。360网站卫士第一时间已经添加防御规则,并提醒广大网站紧急防护。同时,360安全中心发布应急修复方案。
应急修复方案
找到 struts2-core-2.3.16.1.jar中的struts-default.xml 文件,替换所有的
^class\..*为(.*\.|^)class\..*,(.*|^)class.*?classLoader.*
网站防御方案
开启360网站卫士即可防御该漏洞。没有加入360网站卫士的网站,登陆wangzhan.360.cn点击申请即可。此外,广大网站也可以联系360网站安全专家(QQ:800034239),能够获得完全免费的技术支持服务。