上周，有报道称Equifax数据泄露事件背后的一个可能原因是Apache Struts REST插件的一个漏洞。该插件的旧版本在与XStream处理程序一起使用时，容易受到远程代码执行攻击。其原因是对不可信任的数据进行反序列化，这是一个众所周知的漏洞类型。该漏洞被官方认定为CVE-2017-9805，9月5日Apache在Struts 2.5.13版本中打了补丁。随后在Apache Struts文档中公布并明确记录了这一漏洞。

只要升级到最新的Struts版本就可以保护应用程序免受这种攻击，那么为什么公司不立即升级呢？反序列化漏洞的问题在于，被利用的例程往往是应用程序代码所依赖的。在这种情况下，应用新的Struts补丁可能会产生一些副作用，正如关于该漏洞的文档所提到的，"由于应用了对可用类的默认限制，一些REST动作可能会停止工作"。很有可能的是，确保应用程序在较新版本的Struts上继续工作需要一些时间。

然而，黑客们不需要那么多时间就可以开始滥用已发布的漏洞，我们已经可以看到一些漏洞的发布。9月8日，一个Metasploit模块被添加进来，那是在Apache修补漏洞的三天后。推迟打补丁显然不是一个好主意!

解决办法是实施Apache建议的变通方法，这可以在更短的时间内完成。一个具有可配置的编码准则的安全工具来执行这个变通方法，甚至自动应用它，将大大加快这个过程。

你想知道更多关于如何识别和保护包含不可信任数据反序列化的代码吗？请访问Secure Code Warrior 门户网站，了解清晰的解释和培训挑战。

该漏洞与Struts如何解析这类数据并将其转换为可由Java编程语言解释的信息有关。当该漏洞被成功利用时，恶意代码可以被隐藏在这些数据中，并在Struts试图转换时被执行。

https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/