BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

美征信巨头Equifax因Struts漏洞导致数据大规模泄露

| 作者 Tim Hodkinson 关注 12 他的粉丝 , Charles Humble 关注 903 他的粉丝 ,译者 盖磊 关注 2 他的粉丝 发布于 2017年9月18日. 估计阅读时间: 3 分钟 | QCon上海2018 关注大数据平台技术选型、搭建、系统迁移和优化的经验。

各新闻机构和在线新闻网站都报道了黑客从征信企业Equifax窃取了1.43亿美国人的详细个人信息,这一事件表明Apache Struts框架存在安全缺陷。Struts是一种开源的MVC框架,用于创建基于Java的Web应用。作为这一框架管理者,Apache软件基金会发布声明对此指责做出了回应。

据媒体最初报道表明,漏洞可能是由Struts的一个未公开漏洞所导致。但是,Equifax已经确认在攻击中所使用的Structs漏洞是CVE-2017-5638,而且继Equifax首次声明之后,Apache基金会也对此做了确认。该漏洞位于Jakarta Multipart解析器中,对于Apache Struts 2的2.3版本,在2.3.32之前的版本中存在;对于Struts 2的2.5版本,在2.5.10.1之前的版本中存在。这一漏洞已于今年三月被Apache Struts团队打补丁,并关闭了该问题。但是Equifax在五月中旬出现了泄漏,直到七月底才被发现。在此期间,攻击者已经访问了不少客户的个人数据,其中包括社会保障码、出生日期和住址等。有20.9万名客户的信用卡号被访问,未知数量的英国和加拿大居民的个人数据也被泄露了。

Struts几乎曾是Java Web应用开发的普遍选择,其应用遍布业界并依然被大量使用,尤其是在企业的一些历史遗留应用范围内。Apache软件基金会的项目管理委员会(Project Management Committee)在媒体上对Equifax的声明做出了回应,其中提出了多点意见。首先,依然不能确定泄漏的源头的确是由于Struts的漏洞所导致。其次,如果的确是源于Struts的漏洞,那么“或是Equifax服务器未打补丁,使得一些更早期公布的漏洞被攻击者利用,或者是攻击者利用了一个到目前为止尚未被发现的漏洞”。根据推测,该声明提出黑客所使用的软件漏洞可能就是CVE-2017-9805漏洞,该漏洞是在九月四日公布的,这是在Equifax发现出现泄漏后的一个月。声明中还继续列出了一些软件工程上的原则。如果这些原则得到了所有使用开源或不公开软件库的开发人员的遵守,将“有助于防止Equifax所经历的不幸泄露事件重现”。

Equifax的股价在华尔街下跌了近14%,据BBC报道,两个美国国会委员会将对此次数据泄漏事件举行听证会。此外,纽约、伊利诺伊州、马赛诸塞州、康涅提格洲和宾夕法尼亚州的州检察长将在本州内对此次事件开展调查。

查看英文原文: Struts Flaw Behind Equifax Breach Disclosed and Patched in March

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT