弱點通告:Apache 修補 Struts 2 遠端程式攻擊弱點,建議請管理者儘速評估更新,以降低受駭風險!
2018/08/29
風險等級: 高度威脅
摘  要:

若執行特定配置的 Struts 伺服器造訪惡意網頁時,就可能觸發弱點,導致遠端程式攻擊。

HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。

影響系統:
  • Apache Struts 2.3 至 Struts 2.3.34 版本
  • Apache Struts 2.5 至 Struts 2.5.16 版本
  • 終止支援的舊版本
  • 解決辦法:

    請參考 Apache Software Foundation 網站下載更新至建議最新版本

  • Apache Struts 2.3.35 (含)之後版本
  • Apache Struts 2.5.17 (含)之後版本

  • 細節描述:

    此一編號為 CVE-2018-11776 的安全弱點被歸類為重大(Critical)弱點,它會在兩種情況下被觸發,

    一是當 XML 配置中未設定命名空間(Namespace),同時上層動作 (Action) 配置沒有或使用通配符號 (Wildcard) 命名空間時,

    其次是所使用的 URL 標籤沒有設定動作 (Action) 與值 (Value),同時上層動作配置沒有或使用通配符號命名空間時,就可能允許駭客執行遠端程式攻擊。

    HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。

    參考資訊: Apache軟體基金會修補Struts 2的遠端程式攻擊弱點(2018/08/24)
    US-CERT(2018/08/22)
    TheHackernews(2018/08/22)