博客

修补反序列化漏洞的困难

皮特-德-克雷默
发表于2017年9月11日

上周,有报道称Equifax数据泄露事件背后的一个可能原因是Apache Struts REST插件的一个漏洞。该插件的旧版本在与XStream处理程序一起使用时,容易受到远程代码执行攻击。其原因是对不可信任的数据进行反序列化,这是一个众所周知的漏洞类型。该漏洞被官方认定为CVE-2017-9805,9月5日Apache在Struts 2.5.13版本中打了补丁。随后在Apache Struts文档中公布明确记录了这一漏洞。

只要升级到最新的Struts版本就可以保护应用程序免受这种攻击,那么为什么公司不立即升级呢?反序列化漏洞的问题在于,被利用的例程往往是应用程序代码所依赖的。在这种情况下,应用新的Struts补丁可能会产生一些副作用,正如关于该漏洞的文档所提到的,"由于应用了对可用类的默认限制,一些REST动作可能会停止工作"。很有可能的是,确保应用程序在较新版本的Struts上继续工作需要一些时间。

然而,黑客们不需要那么多时间就可以开始滥用已发布的漏洞,我们已经可以看到一些漏洞的发布。9月8日,一个Metasploit模块被添加进来,那是在Apache修补漏洞的三天后。推迟打补丁显然不是一个好主意!

解决办法是实施Apache建议的变通方法,这可以在更短的时间内完成。一个具有可配置的编码准则的安全工具来执行这个变通方法,甚至自动应用它,将大大加快这个过程。

你想知道更多关于如何识别和保护包含不可信任数据反序列化的代码吗?请访问Secure Code Warrior 门户网站,了解清晰的解释和培训挑战

该漏洞与Struts如何解析这类数据并将其转换为可由Java编程语言解释的信息有关。当该漏洞被成功利用时,恶意代码可以被隐藏在这些数据中,并在Struts试图转换时被执行。

https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/

查看资源
查看资源

该漏洞与Struts如何解析这类数据并将其转换为可由Java编程语言解释的信息有关。

想了解更多信息?

应用安全研究员-研发工程师-博士生

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示
分享到
作者
皮特-德-克雷默
发表于2017年9月11日

应用安全研究员-研发工程师-博士生

分享到

上周,有报道称Equifax数据泄露事件背后的一个可能原因是Apache Struts REST插件的一个漏洞。该插件的旧版本在与XStream处理程序一起使用时,容易受到远程代码执行攻击。其原因是对不可信任的数据进行反序列化,这是一个众所周知的漏洞类型。该漏洞被官方认定为CVE-2017-9805,9月5日Apache在Struts 2.5.13版本中打了补丁。随后在Apache Struts文档中公布明确记录了这一漏洞。

只要升级到最新的Struts版本就可以保护应用程序免受这种攻击,那么为什么公司不立即升级呢?反序列化漏洞的问题在于,被利用的例程往往是应用程序代码所依赖的。在这种情况下,应用新的Struts补丁可能会产生一些副作用,正如关于该漏洞的文档所提到的,"由于应用了对可用类的默认限制,一些REST动作可能会停止工作"。很有可能的是,确保应用程序在较新版本的Struts上继续工作需要一些时间。

然而,黑客们不需要那么多时间就可以开始滥用已发布的漏洞,我们已经可以看到一些漏洞的发布。9月8日,一个Metasploit模块被添加进来,那是在Apache修补漏洞的三天后。推迟打补丁显然不是一个好主意!

解决办法是实施Apache建议的变通方法,这可以在更短的时间内完成。一个具有可配置的编码准则的安全工具来执行这个变通方法,甚至自动应用它,将大大加快这个过程。

你想知道更多关于如何识别和保护包含不可信任数据反序列化的代码吗?请访问Secure Code Warrior 门户网站,了解清晰的解释和培训挑战

该漏洞与Struts如何解析这类数据并将其转换为可由Java编程语言解释的信息有关。当该漏洞被成功利用时,恶意代码可以被隐藏在这些数据中,并在Struts试图转换时被执行。

https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/

查看资源
查看资源

请填写下表下载报告

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

提交
要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。

上周,有报道称Equifax数据泄露事件背后的一个可能原因是Apache Struts REST插件的一个漏洞。该插件的旧版本在与XStream处理程序一起使用时,容易受到远程代码执行攻击。其原因是对不可信任的数据进行反序列化,这是一个众所周知的漏洞类型。该漏洞被官方认定为CVE-2017-9805,9月5日Apache在Struts 2.5.13版本中打了补丁。随后在Apache Struts文档中公布明确记录了这一漏洞。

只要升级到最新的Struts版本就可以保护应用程序免受这种攻击,那么为什么公司不立即升级呢?反序列化漏洞的问题在于,被利用的例程往往是应用程序代码所依赖的。在这种情况下,应用新的Struts补丁可能会产生一些副作用,正如关于该漏洞的文档所提到的,"由于应用了对可用类的默认限制,一些REST动作可能会停止工作"。很有可能的是,确保应用程序在较新版本的Struts上继续工作需要一些时间。

然而,黑客们不需要那么多时间就可以开始滥用已发布的漏洞,我们已经可以看到一些漏洞的发布。9月8日,一个Metasploit模块被添加进来,那是在Apache修补漏洞的三天后。推迟打补丁显然不是一个好主意!

解决办法是实施Apache建议的变通方法,这可以在更短的时间内完成。一个具有可配置的编码准则的安全工具来执行这个变通方法,甚至自动应用它,将大大加快这个过程。

你想知道更多关于如何识别和保护包含不可信任数据反序列化的代码吗?请访问Secure Code Warrior 门户网站,了解清晰的解释和培训挑战

该漏洞与Struts如何解析这类数据并将其转换为可由Java编程语言解释的信息有关。当该漏洞被成功利用时,恶意代码可以被隐藏在这些数据中,并在Struts试图转换时被执行。

https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/

访问资源

点击下面的链接,下载本资料的 PDF 文件。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

查看报告预定一个演示
分享到
想了解更多信息?

分享到
作者
皮特-德-克雷默
发表于2017年9月11日

应用安全研究员-研发工程师-博士生

分享到

上周,有报道称Equifax数据泄露事件背后的一个可能原因是Apache Struts REST插件的一个漏洞。该插件的旧版本在与XStream处理程序一起使用时,容易受到远程代码执行攻击。其原因是对不可信任的数据进行反序列化,这是一个众所周知的漏洞类型。该漏洞被官方认定为CVE-2017-9805,9月5日Apache在Struts 2.5.13版本中打了补丁。随后在Apache Struts文档中公布明确记录了这一漏洞。

只要升级到最新的Struts版本就可以保护应用程序免受这种攻击,那么为什么公司不立即升级呢?反序列化漏洞的问题在于,被利用的例程往往是应用程序代码所依赖的。在这种情况下,应用新的Struts补丁可能会产生一些副作用,正如关于该漏洞的文档所提到的,"由于应用了对可用类的默认限制,一些REST动作可能会停止工作"。很有可能的是,确保应用程序在较新版本的Struts上继续工作需要一些时间。

然而,黑客们不需要那么多时间就可以开始滥用已发布的漏洞,我们已经可以看到一些漏洞的发布。9月8日,一个Metasploit模块被添加进来,那是在Apache修补漏洞的三天后。推迟打补丁显然不是一个好主意!

解决办法是实施Apache建议的变通方法,这可以在更短的时间内完成。一个具有可配置的编码准则的安全工具来执行这个变通方法,甚至自动应用它,将大大加快这个过程。

你想知道更多关于如何识别和保护包含不可信任数据反序列化的代码吗?请访问Secure Code Warrior 门户网站,了解清晰的解释和培训挑战

该漏洞与Struts如何解析这类数据并将其转换为可由Java编程语言解释的信息有关。当该漏洞被成功利用时,恶意代码可以被隐藏在这些数据中,并在Struts试图转换时被执行。

https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/

目录

查看资源
想了解更多信息?

应用安全研究员-研发工程师-博士生

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示下载
分享到
资源中心
资源中心