Apache Struts2漏洞又来， 腾讯云WAF一键防御

漏洞再现

Apache Struts 2昨日再曝远程代码执行高危漏洞S2-032

作为是世界上最流行的Java Web服务器框架之一，Apache Struts 2本次曝出的漏洞立即带来一波腥风血雨，乌云等漏洞平台瞬间被各种相关漏洞刷屏，其中包括众多金融行业系统。一众运维同学星夜赶赴公司紧急处理漏洞。

腾讯云一键防御

漏洞曝出后，Apache Struts 2官方发布了新版本，Struts 2用户可以下载新版本进行升级修复，但修复期间，漏洞可能就已经被黑客利用。腾讯云用户可以一键接入腾讯云WAF，即时开启防御，再慢慢升级后台Struts 2版本。

1漏洞描述

Struts2在开启动态方法调用（DMI）的情况下，可被实施远程代码执行攻击。

2影响版本

Struts 2.0.0 – Struts 2.3.28

3修复方案

1. 接入腾讯云WAF，一键开启防御，腾讯云WAF已可拦截针对次漏洞的攻击，点击“阅读原文”接入。
2. 升级Struts2版本至2.3.20.3、2.3.24.3和2.3.28.1，请根据当前使用的版本选对应对版本进行升级。官方升级包下载链接：http://struts.apache.org/download.html#struts-ga

腾讯云WAF简介

腾讯云安全WAF是一款通过对http请求的检测分析，为Web应用提供实时防护的安全产品。

腾讯云安全WAF主要提供以下功能：

1.漏洞攻击防护: 网站安全防护目前可拦截常见的web漏洞攻击，例如SQL注入、XSS跨站、获取敏感信息、利用开源组件漏洞的攻击等常见的攻击行为。

2.虚拟补丁: 网站安全防护可提供0Day，NDay漏洞防护。当腾讯云安全团队发现有未公开的0Day漏洞，或者刚公开但未修复的NDay漏洞被利用时，WAF可以在发现漏洞到用户修复漏洞这段空档期对漏洞增加虚拟补丁，抵挡黑客的攻击，防护网站安全。