在为最后一批用户修复完漏洞后,苏迪紧急安全团队终于松了口气,回顾惊心动魄的33小时。
苏迪提醒您及时检查在使用的所有系统是否仍受Struts2 S2-045漏洞影响,避免发生数据泄露、网页篡改、植入后门等安全事件。
3.7 9:30 获悉Struts2漏洞
服务部和运维部同时收到用户和国家信息安全漏洞共享平台(CNVD)的漏洞提醒。
Apache struts2 S2-045远程代码执行漏洞(CNVD-2017-02474,对应CVE-2017-5638),远程攻击者利用该漏洞可直接取得网站服务器控制权。由于该应用较为广泛,且攻击利用代码已经公开,已导致互联网上大规模攻击的出现。
3.7 10:00 启动最高安全预案
研发部、服务部、运维部经过讨论和测试,发现漏洞危害极为严重,可直接获取应用系统所在服务器的控制权限,造成绝对安全威胁。恰逢两会期间,我们马上意识到问题的严重性,立即启动了最高安全预案,形成由研发部、服务部、运维部、各项目经理组成的紧急安全团队。
3.7 17:00发布临时补丁ver1
研发部尝试不升级Apache Struts 2版本的扫除漏洞解决方案,发布临时补丁version1,用过滤器拦截非法请求,以最快的速度阻止系统受到侵入。
补丁发布后,随即交服务部测试。
3.7 18:30 运维部发送安全升级提醒邮件
运维部向用户发送提醒邮件,告知漏洞的真实情况和安全升级准备。
3.7 20:30补丁ver1测试通过
服务部、移动项目经理、融合门户项目经理拿到补丁后,进行内部测试。
3.7 21:00更新临时补丁ver1
补丁ver1测试通过后,服务部、移动项目经理、融合门户项目经理连夜执行安全升级的分工协作计划。
3.8 1:00完成近半受影响用户安全升级
各安全升级负责人逐一对用户环境检查、更新……
凌晨1点,近半受影响用户安全升级完成。丝毫不敢懈怠的苏迪人还在继续……
3.8 3:00绝大多数受影响用户安全升级完毕
除少量无法远程连接的用户,绝大多数受影响用户完成安全升级。
3.8 9:00测试最新官方补丁通过
下载最新的structs2官方补丁,在系统功能测试通过后,执行官方补丁升级计划,确保漏洞彻底修复。
3.8 9:30 官方补丁安全升级
从9:30开始,服务部、移动项目经理、融合门户项目经理开始有条不紊地利用官方补丁进行安全升级。
3.8 18:00 安全升级工作基本完毕
经过一天的紧张工作,截至18:00,各受漏洞影响的用户现场已基本完成安全升级。此时,距发现漏洞33小时。
谈及这惊心动魄的33小时,服务部的主力之一黄工直言“不负用户嘱托,现在我想睡觉。”
让我们为专业、高效的苏迪紧急安全团队点个赞。
安全无小事。
苏迪科技将一如既往密切进行安全监控,第一时间为您扫除安全漏洞,让您安心。
特别提醒您及时检查在使用的所有系统是否受Struts2 S2-045漏洞影响。如需苏迪协助,请和我们联系,我们将尽力协助您完成安全加固。
自查和修复措施
【自查方式】
用户可查看web目录下/WEB-INF/lib/目录下的
struts-core.x.x.jar文件,如果这个版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之间则存在漏洞。
【升级修复】
受影响用户可升级版本至Apache Struts 2.3.32 或 Apache Struts 2.5.10.1以消除漏洞影响。
Struts 2.3.32 下载地址:
https://dist.apache.org/repos/dist/dev/struts/2.3.32/
Struts 2.5.10.1 下载地址:
https://dist.apache.org/repos/dist/dev/struts/2.5.10.1/
相关漏洞和补丁说明地址:
https://cwiki.apache.org/confluence/display/WW/S2-045
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32
【临时缓解】
如用户不方便升级,可采取如下临时解决方案:
删除commons-fileupload-x.x.x.jar文件(会造成上传功能不可用)