首页  苏迪视界 > 正文

【扫除漏洞,密切监控】避免Struts2 S2-045漏洞殃及“四海八荒”

2017-03-081306

在为最后一批用户修复完漏洞后,苏迪紧急安全团队终于松了口气,回顾惊心动魄的33小时。


苏迪提醒您及时检查在使用的所有系统是否仍受Struts2 S2-045漏洞影响,避免发生数据泄露、网页篡改、植入后门等安全事件。


3.7 9:30 获悉Struts2漏洞

服务部和运维部同时收到用户和国家信息安全漏洞共享平台(CNVD)的漏洞提醒。


Apache struts2 S2-045远程代码执行漏洞(CNVD-2017-02474,对应CVE-2017-5638),远程攻击者利用该漏洞可直接取得网站服务器控制权。由于该应用较为广泛,且攻击利用代码已经公开,已导致互联网上大规模攻击的出现。

3.7  10:00 启动最高安全预案 

研发部、服务部、运维部经过讨论和测试,发现漏洞危害极为严重,可直接获取应用系统所在服务器的控制权限,造成绝对安全威胁。恰逢两会期间,我们马上意识到问题的严重性,立即启动了最高安全预案,形成由研发部、服务部、运维部、各项目经理组成的紧急安全团队。

3.7 17:00发布临时补丁ver1

研发部尝试不升级Apache Struts 2版本的扫除漏洞解决方案,发布临时补丁version1,用过滤器拦截非法请求,以最快的速度阻止系统受到侵入。

补丁发布后,随即交服务部测试。

3.7 18:30 运维部发送安全升级提醒邮件

运维部向用户发送提醒邮件,告知漏洞的真实情况和安全升级准备。




3.7 20:30补丁ver1测试通过

服务部、移动项目经理、融合门户项目经理拿到补丁后,进行内部测试。

3.7 21:00更新临时补丁ver1

补丁ver1测试通过后,服务部、移动项目经理、融合门户项目经理连夜执行安全升级的分工协作计划。

3.8 1:00完成近半受影响用户安全升级

各安全升级负责人逐一对用户环境检查、更新……

凌晨1点,近半受影响用户安全升级完成。丝毫不敢懈怠的苏迪人还在继续……

3.8 3:00绝大多数受影响用户安全升级完毕

除少量无法远程连接的用户,绝大多数受影响用户完成安全升级。

3.8 9:00测试最新官方补丁通过

下载最新的structs2官方补丁,在系统功能测试通过后,执行官方补丁升级计划,确保漏洞彻底修复。

3.8 9:30 官方补丁安全升级

从9:30开始,服务部、移动项目经理、融合门户项目经理开始有条不紊地利用官方补丁进行安全升级。

3.8 18:00 安全升级工作基本完毕

经过一天的紧张工作,截至18:00,各受漏洞影响的用户现场已基本完成安全升级。此时,距发现漏洞33小时。


谈及这惊心动魄的33小时,服务部的主力之一黄工直言“不负用户嘱托,现在我想睡觉。”


让我们为专业、高效的苏迪紧急安全团队点个赞。


安全无小事。


苏迪科技将一如既往密切进行安全监控,第一时间为您扫除安全漏洞,让您安心。


特别提醒您及时检查在使用的所有系统是否受Struts2 S2-045漏洞影响。如需苏迪协助,请和我们联系,我们将尽力协助您完成安全加固。


自查和修复措施

【自查方式】

用户可查看web目录下/WEB-INF/lib/目录下的

struts-core.x.x.jar文件,如果这个版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之间则存在漏洞。


【升级修复】

受影响用户可升级版本至Apache Struts 2.3.32 或 Apache Struts 2.5.10.1以消除漏洞影响。

Struts 2.3.32 下载地址:

https://dist.apache.org/repos/dist/dev/struts/2.3.32/

Struts 2.5.10.1 下载地址:

https://dist.apache.org/repos/dist/dev/struts/2.5.10.1/


相关漏洞和补丁说明地址:

https://cwiki.apache.org/confluence/display/WW/S2-045

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32 


【临时缓解】

如用户不方便升级,可采取如下临时解决方案:

删除commons-fileupload-x.x.x.jar文件(会造成上传功能不可用)