Apache Struts2漏洞又来, 腾讯云WAF一键防御

漏洞又来

继3月份曝出远程代码执行的高危漏洞后,Apache Struts 2昨日再曝远程代码执行高危漏洞S2-032。

作为是世界上最流行的Java Web服务器框架之一,Apache Struts 2本次曝出的漏洞立即带来一波腥风血雨,乌云等漏洞平台瞬间被各种相关漏洞刷屏,其中包括众多金融行业系统。一众运维同学星夜赶赴公司紧急处理漏洞。

腾讯云一键防御

漏洞曝出后,Apache Struts 2官方发布了新版本,Struts 2用户可以下载新版本进行升级修复,但修复期间,漏洞可能就已经被黑客利用。腾讯云用户可以一键接入腾讯云WAF,即时开启防御,再慢慢升级后台Struts 2版本。

1漏洞描述

Struts2在开启动态方法调用(DMI)的情况下,可被实施远程代码执行攻击。

2影响版本

Struts 2.0.0 – Struts 2.3.28

3修复方案

  1. 接入腾讯云WAF,一键开启防御,腾讯云WAF已可拦截针对次漏洞的攻击,点击“阅读原文”接入。
  2. 升级Struts2版本至2.3.20.3、2.3.24.3和2.3.28.1,请根据当前使用的版本选对应对版本进行升级。官方升级包下载链接:http://struts.apache.org/download.html#struts-ga

腾讯云WAF简介

腾讯云安全WAF是一款通过对http请求的检测分析,为Web应用提供实时防护的安全产品。 腾讯云安全WAF主要提供以下功能: 1.漏洞攻击防护: 网站安全防护目前可拦截常见的web漏洞攻击,例如SQL注入、XSS跨站、获取敏感信息、利用开源组件漏洞的攻击等常见的攻击行为。 2.虚拟补丁: 网站安全防护可提供0Day,NDay漏洞防护。当腾讯云安全团队发现有未公开的0Day漏洞,或者刚公开但未修复的NDay漏洞被利用时,WAF可以在发现漏洞到用户修复漏洞这段空档期对漏洞增加虚拟补丁,抵挡黑客的攻击,防护网站安全。

原文发布于微信公众号 - 腾讯云安全(TencentCloudSecurity)

原文发表时间:2016-04-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏菜鸟程序员

借Reaper僵尸网络推广免费IP扫描器 然后在IP扫描器里面放个后门

1222
来自专栏安恒信息

新一轮DNS钓鱼攻击已突破国内安全防线

近日,据国内领先的DNS服务提供商114DNS官网微博消息称:新一轮DNS钓鱼攻击已经突破国内安全防线,可能已经导致数百万用户感染。随后,其他安...

2826
来自专栏安恒信息

黑蛙木马攻击64位系统

有网友反映,新买的装备64位Win7系统的电脑,没用多久QQ却被盗号了。专业人员检测发现,该电脑感染了一种名为“黑蛙”的盗号木马,而他使用的杀毒软...

2794
来自专栏云基础安全

3分钟了解网站入侵及防护问题

技术参考:<OWASP TOP 10 2017> 开源Web应用安全项目十项最严重的Web程序安全问题:

2686
来自专栏云鼎实验室的专栏

安全报告 | SSH 暴力破解趋势:从云平台向物联网设备迁移

2084
来自专栏FreeBuf

被黑的Drupal网站被用来挖矿,传播远控,发送诈骗邮件

两个漏洞编号为CVE-2018-7600和CVE-2018-7602的远程代码执行漏洞之前已经被Drupal开发人员修复。

1214
来自专栏FreeBuf

国内影响已扩散,利用“NSA武器库”中漏洞的Wannacry蠕虫勒索软件袭击全球(含修复方案)

5月12日晚,一款名为Wannacry 的蠕虫勒索软件袭击全球网络,这被认为是迄今为止最大的勒索交费活动,影响到近百个国家上千家企业及公共组织。 该软件是一种蠕...

21310
来自专栏FreeBuf

看看印尼黑客如何利用电影大片进行网络攻击

网络犯罪分子每天都在想尽各种办法来进行攻击,这对于信息安全从业者来说再正常不过了,而这一次印尼网络犯罪组织开始利用电影大片来欺骗目标用户访问已受感染的网站。

930
来自专栏黑白安全

社会工程学之钓鱼攻击

钓鱼攻击是社会工程学攻击的一种方式。钓鱼攻击使用电子邮件或者恶意网站诱骗人们提供个人信息(通常是金融信息)。

793
来自专栏区块链

什么是安全漏洞,黑客如何利用它攻击你?

你应该很清楚,软件中的安全漏洞或漏洞可能会导致你的计算机或网络遭到黑客攻击——换句话说,恶意的第三方将控制你的系统,安装恶意软件会窃取你的信息。 但是黑客究竟是...

2446

扫码关注云+社区