Apache软件基金会(Apache Software Foundation)上周匆忙更新了流行的Apache Struts框架,此前针对一个高风险漏洞的安全补丁被证明是不完整的。
新发布的Struts 2.3.16.2通过ParametersInterceptor特性加强了对类加载器操作问题的保护,人们认为Struts 2.3.16.1在3月份就解决了这个问题。
Struts开发人员警告用户周四,他说之前的补丁不够充分,在开发Java Web应用程序的新版本框架就绪之前提供了手动缓解说明。
当天晚些时候发布了Struts 2.3.16.2,并扩展了对CookieInterceptor的修复,这是另一个与之相关的功能一个新的咨询当配置为接受所有cookie时,容易受到相同类型的类加载器操作攻击。
新的建议并没有说明这种“零日漏洞”(Apache称之为“zero-day exploit”)是否会导致远程代码执行,但是在一个讨论在周末发布的完整邮件列表中,Struts开发人员Rene Gielen澄清了在某些环境下可以执行远程代码。
“我们最初的影响声明是‘类加载器操作’,它准确地指出了问题,”他在发给该名单的一封电子邮件中说。“当我们发布安全公告S2-020(三月份的最初建议)时,我们并不知道这会导致RCE(远程代码执行)。”
“很奇怪,有一些聪明和有创造力的人,”Gielen说。更奇怪的是,他们中的一些人发现了如何利用该漏洞,以允许RCE在特定的环境,几周后宣布。幸运的是,这些头戴白到灰色帽子的人往往会在那之后到达安全反应小组。这就是上周发生的事情。从那时起,我们就知道我们必须应对RCE。”
过去,攻击者曾利用Apache Struts中的远程代码执行漏洞攻击托管使用该框架开发的应用程序的服务器。趋势科技(Trend Micro)的安全研究人员在8月份报告称,中国黑客已经创建了一个用于利用已知Struts漏洞的自动化工具。
攻击者对Struts感兴趣的事实增加了用户被攻击的风险,因此强烈建议尽快升级到新发布的Struts 2.3.16.2。
还有一些包含Struts的第三方产品可能会因为这个缺陷而需要修补。例如,在过去,思科系统更新了它的一些产品,以便集成Struts补丁一个致命的弱点。