Apache 發布了新版本的 Apache Struts 以修補影響「REST插件」和「URLValidator」的多個漏洞。遠端攻擊者可以向受影響的系統發送特製付有無效XML的查詢或異常的網址來攻擊這個漏洞。
有報告指漏洞 S2-052 正受到活躍攻擊
成功利用這個漏洞的攻擊者可以導致服務受阻斷及在受影響的系統上執行任意程式碼。
系統管理員應將 Apache Struts 版本升級至 2.5.13 或 2.3.34 以應對以上問題。更新版本可從以下網址下載:
受影響系統的用戶應遵從產品供應商的建議,立即採取行動以降低風險。
http://struts.apache.org/docs/s2-050.html
http://struts.apache.org/docs/s2-051.html
http://struts.apache.org/docs/s2-052.html
https://www.hkcert.org/my_url/zh/alert/17090601
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9793
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9804
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9805
http://blog.talosintelligence.com/2017/09/apache-struts-being-exploited.html