也許對(duì)于企業(yè)的網(wǎng)絡(luò)安全人員、IT 運(yùn)維人員來說，前不久 S2-045 漏洞曝出時(shí)，加班修補(bǔ)漏洞的場(chǎng)景還歷歷在目。然而一波未平一波又起，繼 S2-045 漏洞之后，近日又有一個(gè)同樣是“Critical”高危級(jí)別的漏洞被曝出：S2-046 。

雷鋒網(wǎng)編輯不禁為IT運(yùn)維、安全人員們祈禱，他們此時(shí)此刻心情可能是崩潰的：

【圖片來自網(wǎng)絡(luò)】

據(jù)雷鋒網(wǎng)了解，Struts2 的使用范圍及其廣泛，國(guó)內(nèi)外均有大量廠商使用該框架。此前曝出的S2-045 已經(jīng)引起了軒然大波，如今此次漏洞的披露，影響程度相當(dāng)。

【官方相關(guān)漏洞描述-雷鋒網(wǎng)翻譯】

目前網(wǎng)上已經(jīng)曝出了POC（Proof Of Concept 觀點(diǎn)驗(yàn)證程序，可驗(yàn)證該遠(yuǎn)程執(zhí)行漏洞）。所以，快去升級(jí)，快去升級(jí)，快去升級(jí)！這不是演習(xí)！

---

雷鋒網(wǎng)附上相關(guān)說明及官方應(yīng)對(duì)措施：

官方相關(guān)公告：

https://cwiki.apache.org/confluence/display/WW/S2-045

https://cwiki.apache.org/confluence/display/WW/S2-046

補(bǔ)丁地址：

Struts 2.3.32：https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32 

Struts 2.5.10.1：https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.10.1 

可參考資料:

http://struts.apache.org/docs/s2-045.html

http://struts.apache.org/docs/s2-046.html

https://community.hpe.com/t5/Security-Research/Struts2-046-A-new-vector/ba-p/6949723#

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。