Struts2漏洞补丁陷乌龙门 百度加速乐提供独家防御方案
程序员文章站
2022-05-07 14:01:45
4月23日消息,近日安全研究人员指出Apache Struts2在漏洞公告S2-020里,在处理修复CVE-2014-0094的漏洞修补方案中存在漏洞,导致补丁被完全绕过... 14-04-25...
目前官方在github上对该问题做出了修正。然而该修正公布后,安全人员很快发现,官方给出的补丁仍然存在漏洞,可被绕过。随后scanv网址安全中心附上了临时修复方案以应对此次官方的乌龙门。百度加速乐也已率先升级了防御规则,目前百度加速乐可独家防御该漏洞。
如果站长没有使用百度加速乐,也可以根据scanv网址安全中心提供的临时修复方案自行修复:
修改struts源码中的struts-default.xml
替换所有的 ^dojo\..*
改为 (.*\. ^)class\..*,.*'class'.*,(.*\. ^)class\[.*,^dojo\..*
据了解struts2已不是第一次出现重大安全事故,去年9月struts2曝出漏洞,国家多家重要*网站受到影响,其中不乏部委级网站。此次再次曝出漏洞显现出互联网安全问题的严重性。
如果站长没有使用百度加速乐,也可以根据scanv网址安全中心提供的临时修复方案自行修复:
修改struts源码中的struts-default.xml
替换所有的 ^dojo\..*
改为 (.*\. ^)class\..*,.*'class'.*,(.*\. ^)class\[.*,^dojo\..*
据了解struts2已不是第一次出现重大安全事故,去年9月struts2曝出漏洞,国家多家重要*网站受到影响,其中不乏部委级网站。此次再次曝出漏洞显现出互联网安全问题的严重性。