Apache軟件基金會（Apache Software Foundation）在本周二（9/5）釋出了Struts 2.5.13，并修補(bǔ)當(dāng)中一個(gè)自2008年就存在的重大安全漏洞，可能允許駭客自遠(yuǎn)端執(zhí)行任意程式，呼吁用戶盡速更新。

　　Apache Struts為一開源的網(wǎng)頁應(yīng)用程式框架，主要用來開發(fā)Java EE網(wǎng)絡(luò)應(yīng)用程式，受到眾多企業(yè)的青睞。Igtm.com的一名安全研究人員Man Yue Mo發(fā)現(xiàn)該框架反序列化不可靠資料的方式出了問題，造成只要是以Struts與流行的REST通訊外掛打造的應(yīng)用程式，其代管伺服器都將允許駭客自遠(yuǎn)端執(zhí)行任何程式。

　　Igtm主要提供自動化的程式碼分析服務(wù)，并免費(fèi)供應(yīng)給開源碼專案，根據(jù)Igtm的說法，此一編號為CVE-2017-9805的安全漏洞影響了2008年以來的所有Struts版本，各種采用該框架知名REST外掛程式的網(wǎng)絡(luò)應(yīng)用程式都受到波及。

　　Mo表示，有非常多的組織使用Struts框架，且這個(gè)漏洞帶來具大的風(fēng)險(xiǎn)，因?yàn)樵摽蚣芡ǔ１挥脕碓O(shè)計(jì)公開的網(wǎng)絡(luò)應(yīng)用程式，例如航空公司的訂票系統(tǒng)，或者是金融機(jī)構(gòu)的網(wǎng)絡(luò)金融應(yīng)用等，此外，要開采該漏洞對駭客來說極為簡單，唯一需要的工具就是瀏覽器。

　　根據(jù)RedMonk分析師Fintan Ryan的估計(jì)，財(cái)星（Fortune）一百大企業(yè)中，至少有65%正在使用以Struts框架建立的網(wǎng)絡(luò)應(yīng)用程式。

　　Igtm團(tuán)隊(duì)已打造了一支針對該漏洞的有效攻擊程式，只是目前并不打算公開，即使迄今尚未發(fā)現(xiàn)其他已知的攻擊程式，不過Igtm相信它很快就會現(xiàn)身。

　　Apache軟件基金會已藉由Struts 2.5.13修補(bǔ)了此一漏洞，并說相關(guān)漏洞可能帶來阻斷服務(wù)或遠(yuǎn)端程式攻擊。不論是該基金會或資安業(yè)者都呼吁Struts用戶應(yīng)該立即更新。