去年的Apache Struts2的遠(yuǎn)程代碼執(zhí)行漏洞風(fēng)暴影響剛剛散去，近日又有安全研究人員指出Apache Struts2在今年的漏洞公告S2-020里，處理修復(fù)CVE-2014-0094的漏洞修補(bǔ)方案存在漏洞，導(dǎo)致補(bǔ)丁被完全繞過。Apache Struts2官方在GitHub上已對該問題做出了修正。

【專題推薦】：Struts2漏洞再現(xiàn) 拉響網(wǎng)站安全紅色警報

[[112175]]

目前該漏洞已呈擴(kuò)散趨勢，攻擊者可能利用這個補(bǔ)丁繞過漏洞在遠(yuǎn)程目標(biāo)服務(wù)器執(zhí)行任意系統(tǒng)命令，輕則竊取網(wǎng)站數(shù)據(jù)信息，嚴(yán)重的可取得網(wǎng)站服務(wù)器控制權(quán)，構(gòu)成信息泄露和運(yùn)行安全威脅。

特別是政府、公安、交通、金融和運(yùn)營商等尤其需要重視該漏洞，這些單位和機(jī)構(gòu)需要非常重視信息安全保密工作，敏感信息的泄漏有可能對國家造成沉重的打擊，甚至?xí)`反相關(guān)的法律規(guī)定。在最近幾年APT攻擊橫行的時期，駭客早也不再以掛黑頁炫耀為目的，攻擊者可能通過該漏洞作為突破口滲透進(jìn)入其內(nèi)部網(wǎng)絡(luò)長期蟄伏，不斷收集各種信息，直到收集到重要情報。請記住，在如今的互聯(lián)網(wǎng)時代，只要是能換成錢的東西，駭客們都愿意嘗試，其中更不乏諸多政治駭客(如國際黑客組織Anonymous)。

安恒信息的安全專家提醒目前正在使用Struts框架的網(wǎng)站管理員，時刻關(guān)注Struts官方修復(fù)方案，并對Struts官方修復(fù)內(nèi)容進(jìn)行審核。使用安恒信息明御WEB應(yīng)用防火墻(WAF)的用戶如果開啟了安恒信息獨有的“防護(hù)策略自主學(xué)習(xí)功能”將不受該漏洞影響;未開啟“自主防護(hù)學(xué)習(xí)功能”的用戶可以通過其產(chǎn)品內(nèi)置的虛擬補(bǔ)丁技術(shù)在1分鐘之內(nèi)實現(xiàn)對本次漏洞的防護(hù)。同時安恒信息已經(jīng)安排了專業(yè)的安全工程師進(jìn)行24小時緊急值班，隨時協(xié)助有需要的用戶解決防護(hù)該漏洞，值班電話400-605-9110。