Equifax 上周曝出 1.43 亿美国用户的敏感信息在线泄露,当时他们声称黑客利用 Web 应用漏洞入侵数据库,但并未披露任何细节。本周,Equifax 证实,宣称黑客利用了开源项目 Apache Struts 漏洞 CVE-2017-5638 。
漏洞利用特制的 HTTP Headers(HTTP 首部/ HTTP 报文)允许黑客者在受害者的电脑上执行任意命令。该漏洞被标记为“大规模”,影响了无数网站,其中攻击的两个工作版本也在网上公布。目前,许多大型机构,如银行、政府机构和一些世界顶级公司,都在应用程序中使用 Apache Struts。
Apache Struts 是在今年 3 月 6 日发布修复漏洞补丁,而黑客对 Equifax 的入侵发生在 5 月中旬,也就是 Equifax 没有及时打上补丁,让黑客能利用已修复的漏洞入侵系统。研究人员表示,像这样的漏洞会不时发生,非常难以避免。因此强烈建议Equifax 尽快安装补丁。不过,修复该漏洞较为繁琐,涉及到手动更新、测试并重新部署到公司使用的所有 Apache Struts Web 应用程序中。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册