Struts2再次爆出安全漏洞，主要影響國(guó)內(nèi)電商、銀行、運(yùn)營(yíng)商等諸多大型網(wǎng)站和為數(shù)眾多的政府網(wǎng)站。國(guó)外安全研究人員日前發(fā)現(xiàn)，Apache Struts2在處理CVE-2014-0094的漏洞補(bǔ)丁中存在缺陷，會(huì)被輕易繞過(guò)，可導(dǎo)致任意命令執(zhí)行。黑客進(jìn)而能夠竊取到網(wǎng)站數(shù)據(jù)，或者對(duì)網(wǎng)站進(jìn)行DDoS攻擊。

圖：Struts2再次爆出安全漏洞

截至目前，Apache官方仍未發(fā)布該漏洞修復(fù)方案。360網(wǎng)站衛(wèi)士第一時(shí)間已經(jīng)添加防御規(guī)則，并提醒廣大網(wǎng)站緊急防護(hù)。同時(shí)，360安全中心發(fā)布應(yīng)急修復(fù)方案。

應(yīng)急修復(fù)方案

找到 struts2-core-2.3.16.1.jar中的struts-default.xml 文件，替換所有的

^class\..*為(.*\.|^)class\..*,(.*|^)class.*?classLoader.*

網(wǎng)站防御方案

開(kāi)啟360網(wǎng)站衛(wèi)士即可防御該漏洞。沒(méi)有加入360網(wǎng)站衛(wèi)士的網(wǎng)站，登陸wangzhan.360.cn點(diǎn)擊申請(qǐng)即可。此外，廣大網(wǎng)站也可以聯(lián)系360網(wǎng)站安全專家(QQ：800034239)，能夠獲得完全免費(fèi)的技術(shù)支持服務(wù)。