摘要: 游侠公司的同事们搞了个牛逼的Struts 2漏洞——S2-032。当然,这个漏洞出来之后就直接报给了Struts2官方。然后做了个测试,测试的时候是有个计算器弹出来的,就是现在大家在网上到处都能看到的这个:当然,各家分析漏洞的文章,似乎都“选择性”的没有写...
游侠公司的同事们搞了个牛逼的Struts 2漏洞——S2-032。当然,这个漏洞出来之后就直接报给了Struts2官方。然后做了个测试,测试的时候是有个计算器弹出来的,就是现在大家在网上到处都能看到的这个:
当然,各家分析漏洞的文章,似乎都“选择性”的没有写上,这个漏洞的发现者来自我大杭州安恒啊!TK教主评价蛮高:
然后,令人担心的——今晚,血雨腥风就来了……
相信各位已经看到了……乌云、补天等漏洞平台已经被刷屏了!风险的确很大!
当然,游侠也提醒下各位深夜不睡觉还在免费帮人测试漏洞的小伙伴们:风险,是有的!若为了刷Rank,测试的时候只执行下whoami、ifconfig就行了,别的就别做了!
刚和公司的同事们聊了下(没错,晚上11点半了,还有几个正在去公司的路上),这次漏洞的确很厉害,如果你在用的Struts2刚好有漏洞,一定要、一定要、一定要——升级!!!
当然,最后做下广告:
- 安恒明鉴WEB应用弱点扫描器已可扫描此漏洞。
- 安恒Struts2 s2-032批量检测工具已发布,可由安恒安全专家帮客户免费测试漏洞;
- 安恒Struts2 s2-032在线检测工具已上线 http://0day.websaas.cn/ 欢迎测试
- 安恒明御Web应用防火墙2013年后版本无需升级即可防护此漏洞;
- 安恒“玄武盾”云WAF系统可防护Struts2 s2-032漏洞;
- 安恒“风暴中心”已经对主要政务、金融网站开启监测模式,有漏洞会第一时间通知。
向奋斗在安全前沿的朋友们致敬。