来自 资讯 2021-10-12 12:03 的文章

防cc攻击_ddos防护是什么_免费试用

防cc攻击_ddos防护是什么_免费试用

Apache发布了两个安全公告来解决潜在的远程代码执行漏洞和拒绝服务漏洞。公共概念验证代码可用。背景8月13日,Apache发布了安全公告来解决apachestrutsversion2中的两个漏洞。apachestruts是一个用于创建javaweb应用程序的开源模型-视图-控制器(MVC)框架。分析CVE-2019-0230是一个强制的双对象图导航语言(OGNL)评估漏洞,当Struts尝试对标记属性内的原始用户输入执行求值时,会发生该漏洞。攻击者可以通过将恶意OGNL表达式注入OGNL表达式中使用的属性来攻击此漏洞。根据Apache的说法,利用此漏洞可能导致远程代码执行(RCE)。Apache的安全公告S2-059提供了易受攻击标记属性的示例:在Struts2中,Apache让开发人员能够使用"特定的标记属性"进行强制双重求值。Struts包含解决潜在注入表达式的缓解措施,Apache注意到Struts版本"在2.5.22之前留下了一个攻击向量",他们说现在通过这个更新解决了这个问题。苹果公司的漏洞研究人员Matthias Kaiser向Apache报告了此漏洞。CVE-2019-0233是一个拒绝服务(DoS)漏洞,该漏洞由文件上载期间的访问权限重写引起。根据S2-060安全公告,攻击者可以在文件上载操作期间修改请求,从而将上载的文件设置为只读访问。文件上载后,对该文件的任何进一步操作都将失败。利用此漏洞还可能导致任何后续文件上载操作失败,这两种操作都可能导致受影响应用程序出现拒绝服务情况。DoS漏洞是由三井Bussan安全方向公司的Takeshi Terada发现并报告给Apache的。他还参与了向Apache Struts团队提交的多份漏洞报告,包括S2-042和S2-021。CVE的幽灵-2017-5638开发人员和组织对apachestruts中可能出现的新漏洞表示担忧,这当然是很自然的。毕竟,cdn高防和服务器配置有关吗,在apachestruts2中的一个关键RCE漏洞CVE-2017-5638导致了近期历史上最显著的漏洞之一。与CVE-2017-5638(披露时被评为关键)不同,ddos防御方法世界杯翻滚,根据Apache,CVE-2019-0230目前被评为重要。虽然在发布时没有分配CVSS评分,但CVE-2019-0230似乎不像2017年的漏洞那样严重。然而,防御ddos多少钱,关于这个漏洞在现实世界条件下的潜在影响,仍然没有足够的信息,但是对于这个缺陷当然需要谨慎。概念证明我们在GitHub上为CVE-2019-0230确定了多个概念证明(PoC)示例。但是,需要注意的是,由于每个Struts应用程序都是唯一的,因此利用它所需的实际负载将因应用程序而异。此外,该应用程序的开发方式需要允许攻击者向OGNL表达式内部使用的属性提供未经验证的输入。Apache Struts RCE:S2-059/CVE-2019-0230https://t.co/m6z3jqRsj4Forced当对标签属性中的原始用户输入求值时,防御cc攻击,ddos攻击的最佳防御点,双OGNL求值可能导致远程代码执行。pic.twitter.com/6JwZCozTeB-Henry Chen(@Chypeta)2020年8月13日解决方案Apache Struts版本2.0.0到2.5.20受CVE-2019-0230和CVE-2019-0233的影响。它们在ApacheStruts 2.5.22版中进行了处理。强烈建议开发人员和网站所有者尽快升级到最新版本。以CVE-2019-0230为例,Apache指出升级到2.5.22限制了双重评估的恶意影响,并关闭了报告的攻击向量。Apache还强烈鼓励开发人员避免使用原始表达式语言,而是使用Struts标记。他们的安全提示指南为开发人员提供了一套关于如何最好地保护他们的应用程序的有用建议,其中包括保护应用程序免受OGNL表达式注入攻击的指导。识别受影响的系统在发布时,将在此处显示一个确定此漏洞的可用插件列表。获取更多信息Apache Struts S2-059 CVE-2019-0230咨询Apache Struts S2-060 CVE-2019-0233咨询Apache Struts安全声明加入Tenable社区的安全响应团队。了解Tenable的更多信息,Tenable是第一个全面管理现代攻击面的网络暴露平台。免费试用30天泰纳布尔.io漏洞管理。