• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:538

●重點摘要：
Apache軟體基金會在2017年9月5日釋出的Struts 2.5.13，修補當中一個自2008年就存在的重大安全漏洞(CVE-2017-9805)，此漏洞可能允許駭客自遠端執行任意程式。Apache在2017年9月9日聲明表示此漏洞可能與在9月7日發生的美國消費者信用報告業者Equifax遭駭導致1.43億筆個資外洩的事件有關，呼籲用戶盡早更新。 [更新]在外部安全業者的協助下，在9月14日此事件是因為Apache Struts CVE-2017-5638，建議用戶務必更新。
●TWCERT/CC提醒用戶：
影響平台： Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10 建議更新至Struts 2.3.32或Struts 2.5.10.1
1.請確認網站主機是否使用Apache Struts 2的網頁應用框架，可透過檢查網站主機目錄中「WEB-INF\lib\」資料夾內的Struts2.jar檔，確認當前使用的版本。
2.如所使用的Apache Struts 2為上述(2.3.5至2.3.31或2.5至2.5.10)受影響之版本，則請更新官方Github所釋出最新之Apache Struts 2.3.32或Struts 2.5.10.1的版本。

●參考來源：

[1]https://blogs.apache.org/foundation/entry/apache-struts-statement-on-equifax
[2]http://www.securityweek.com/apache-struts-flaw-reportedly-exploited-equifax-hack?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed:+Securityweek+(SecurityWeek+RSS+Feed)
[3]https://cwiki.apache.org//confluence/display/WW/S2-052

攻擊手法：struts flaw exploited

參考連結：

https://blogs.apache.org/foundation/entry/apache-struts-statement-on-equifax