接大连电信通知,将于北京时间2024-07-26 03:00至2024-07-26 06:00对大连电信机房进行割接维护,涉及 IP段 42.202.155.128/25、240e:90d:1101:4703::/96。
为了给您更好的网站使用体验,即日起我们将重新布局控制台功能模块。部分低频使用功能模块统一归于【增值服务】一级导航内,原【 实时防御图】模块正式更名为【 安全态势大屏】,并新增修改大屏名称的功能,方便您的使用。
为提供更好更优质的云防御服务,我们将于近期对机房节点进行优化调整,中国台湾机房将不再提供服务,涉及IP网段为168.80.175.0/24。
获取最新安全动态
4月23日消息,近日安全研究人员指出Apache Struts2在漏洞公告S2-020里,在处理修复CVE-2014-0094的漏洞修补方案中存在漏洞,导致补丁被完全绕过。目前官方在GitHub上对该问题做出了修正。然而该修正公布后,安全人员很快发现,官方给出的补丁仍然存在漏洞,可被绕过。
加速乐也已率先升级了防御规则,目前加速乐可独家防御该漏洞,同时加速乐已经将相关信息同步给合作伙伴创宇云,目前使用创宇云主机已率先修复该漏洞,所有使用创宇云主机网站亦不受影响。
如果站长没有使用加速乐,可以使用以下方案自行修复:
修改struts源码
com.opensymphony.xwork2.interceptor.ParametersInterceptor
搜索下面方法:
public void setExcludeParams(String commaDelim) {
Collection<String> excludePatterns = ArrayUtils.asCollection(commaDelim);
if (excludePatterns != null) {
excludeParams = new HashSet<Pattern>();
for (String pattern : excludePatterns) {
excludeParams.add(Pattern.compile(pattern));
}
}
}
改为:
public void setExcludeParams(String commaDelim) {
Collection<String> excludePatterns = ArrayUtils.asCollection(commaDelim);
if (excludePatterns != null) {
excludeParams = new HashSet<Pattern>();
for (String pattern : excludePatterns) {
excludeParams.add(Pattern.compile(pattern));
}
}
//s021 zhenzheteng
Pattern s021_1 = Pattern.compile("(.*\\.|^)class\\..*",Pattern.CASE_INSENSITIVE);
Pattern s021_2 = Pattern.compile(".*'class'.*",Pattern.CASE_INSENSITIVE);
Pattern s021_3 = Pattern.compile("(.*\\.|^)class\\[.*",Pattern.CASE_INSENSITIVE);
excludeParams.add(s021_1);
excludeParams.add(s021_2);
excludeParams.add(s021_3);
}
据了解Struts2已不是第一次出现重大安全事故,去年9月Struts2曝出漏洞,国家多家重要政府网站受到影响,其中不乏部委级网站。此次再次曝出漏洞显现出互联网安全问题的严重性。
售前支持
400-161-0866
联系企业微信客服