Man△Yue△Mo
Apache软件基金会(Apache△Software△Foundation)于本周三(8/22)修补了Apache△Struts△2中一个可能会引发远端程式攻击的安全漏洞,有鉴于Apache△Struts△2过去出现类似的重大漏洞时,相关攻击程式在24小时之内就现身,因而呼吁用户尽速更新。
此一编号为CVE-2018-11776的安全漏洞被归类为重大(Critical)漏洞,它会在两种情况下被触发,一是当XML配置中未设定命名空间(Namespace),同时上层动作配置没有或使用通配符号命名空间时,其次是所使用的URL标签没有设定行动与值,同时上层动作配置没有或使用通配符号命名空间时,就可能允许骇客执行远端程式攻击。
发现该漏洞的安全研究人员Man△Yue△Mo表示,若执行特定配置的Struts伺服器造访了骇客特别打造的网页时,就能触发该漏洞。
Apache△Struts为一开源的网络应用程序框架,主要用来开发基于Java△EE的网络应用,根据去年的统计,Fortune△100大企业中,至少有65%依赖Apache△Struts框架。
去年爆出1.4亿名用户资料遭窃的美国第三大消费者信用报告业者Equifax就是因为没有修补编号为CVE-2017-5638的Struts△2漏洞,才让骇客有机可趁,盗走了1/3的美国人口资料。Apache△Struts团队是在去年3月修补了CVE-2017-5638漏洞,而Equifax则是在5月遭到攻击。
Mo是在今年4月向Apache△Struts安全团队提报了该漏洞,后者则在本周释出更新程式,该漏洞影响Struts△2.3~Struts△2.3.34,以及Struts△2.5 ~Struts△2.5.16,也可能影响已经终止支援的旧版本,Apache△Struts团队鼓励用户应尽快升级到2.3.35或2.5.17。
Mo并未公开针对该漏洞的攻击程式,也呼吁其它开发人员应暂缓揭露攻击程式,以让用户有时间修补。
I 相关 / Other
图片来源: 维基百科,微软 Slack软件工程师Felix△Rieseberg利用开源软件框架Electron把微软的Windows△95作业系统变成可在任何平台上执行的应用程序,并在周四(8/23)借由GitHub释出。Windows△95是微软在1995年推
英特尔禁止外界公布漏洞修补对PC的效能影响,引发开源阵营批评
示意图,与新闻事件无关。 接连爆发重大漏洞Spectre、LT1F后,英特尔释出更新微机码来修补。不过由于修补程式可能影响PC效能,开发人员指控,英特尔不准他们将系统效能标竿测试的情况公布出来。英特尔则在稍晚出面
IoT双周报第47期:要用5百万英里制作自驾公路地图,美自驾车软件新创Comma.ai将开源HD高精度地图
美自驾车软件新创Comma.ai正利用这些已安装自驾软件openpilot的后装汽车,来搜集全美州际高速公路数据,至今里程数已累积超过500万英里,并且每周以新增75,000英里道路数据持续更新。 08/11~08/24精选IoT新闻?自驾
Facebook 收集用户资料违例 旗下 VPN 软件 Onavo 从 App Store 下架 | 香港 UNWIRE.HK 玩生活.乐科技
Facebook 在 2013 年收购了 VPN 软件 Onavo Project,在宣传时指软件可以保护用户,在浏览时阻隔有害网站,也会在网络钓鱼诈骗时提醒用户,并且预防黑客截取用户的数据传输。不过在 Apple 指软件违反了 App Store 的
Adobe紧急修补Photoshop CC的两个远端程式攻击漏洞
图片来源: Adobe Adobe于本周二(8/21)紧急修补了Photoshop△CC的两个远端程式攻击漏洞,由于Adobe的例行性修补日与微软一样,都是在每个月的第二个星期二,本月的修补日为上周二(8/14),破例在本周修补可突显这两