公司新更新部分解决ApacheStruts已知漏洞
Cisco还发布更新信息,修复已知ApacheStruts多产品的脆弱性,包括ISEachestruts开发ava网络应用广受欢迎开源框架
脆弱点确认为CVE-2013-2251,位于Struts默认动作mapper组件由Apache补丁 struts 2.3.15.17月发布
Cisco新更新整合Strats版本Cisco商务3000号、Cisco身份服务引擎、Cisco媒体经验引擎3500系列和CiscoUnitySIP代理
Cisco表示,“脆弱度对Cisco产品的影响因受影响产品而异”,咨询.成功开发思科ISE、思科统一SIP代理和思科商务版3000
[顶值 10 :最强网络管理公司万事通
CiscoISE和CiscoUnitySIP代理使用不需要认证,但缺陷在Cisco商务版3000的成功利用要求攻击者持有有效证书或欺骗拥有有效证书的用户执行恶意URL公司表示。
Cisco MXE3500Series成功开发可使攻击者重定向用户到不同并可能恶意网站,
8月Trind微信安全研究人员报告中国黑客正在攻击运行 ApacheStruts应用使用自动工具开发数个ApacheStruts远程指令执行漏洞,包括CVE-2013-2251
网络犯罪地下存在攻击工具以利用Struts漏洞增加使用受影响Cisco产品组织的风险
自补丁CVE-2013-2251以来,Apache Struts开发商在最近发布中进一步强化默认AppleMapper组件
Struts 2.3.15.2版于9月发布,对默认动作Mapper“act:”前缀做了一些修改,该前缀用于对表内按钮附加导航信息,以便减少问题可用以规避安全约束问题已分配CVE-2013-4310标识符
Struts 2.3.15.3发布于Oct17,关闭对“action:”前缀并添加两个新设置,称为“struts.mapper.action.prefix.appel更好地控制默认动作Mapper行为.
Struts开发商表示强推荐升级Struts2.3.15.3,但延迟发布更多CVE-2013-4310细节直到补丁被广泛接受
Cisco何时或是否修复产品CVE-2013-4310并说修复似乎包含对“动作:”前缀的阻塞支持struts应用这些产品使用前缀
