各新聞機構(gòu)和在線新聞網(wǎng)站都報道了黑客從征信企業(yè)Equifax竊取了1.43億美國人的詳細個人信息，這一事件表明Apache Struts框架存在安全缺陷。Struts是一種開源的MVC框架，用于創(chuàng)建基于Java的Web應(yīng)用。作為這一框架管理者，Apache軟件基金會發(fā)布聲明對此指責(zé)做出了回應(yīng)。

\\

據(jù)媒體最初報道表明，漏洞可能是由Struts的一個未公開漏洞所導(dǎo)致。但是，Equifax已經(jīng)確認在攻擊中所使用的Structs漏洞是CVE-2017-5638，而且繼Equifax首次聲明之后，Apache基金會也對此做了確認。該漏洞位于Jakarta Multipart解析器中，對于Apache Struts 2的2.3版本，在2.3.32之前的版本中存在；對于Struts 2的2.5版本，在2.5.10.1之前的版本中存在。這一漏洞已于今年三月被Apache Struts團隊打補丁，并關(guān)閉了該問題。但是Equifax在五月中旬出現(xiàn)了泄漏，直到七月底才被發(fā)現(xiàn)。在此期間，攻擊者已經(jīng)訪問了不少客戶的個人數(shù)據(jù)，其中包括社會保障碼、出生日期和住址等。有20.9萬名客戶的信用卡號被訪問，未知數(shù)量的英國和加拿大居民的個人數(shù)據(jù)也被泄露了。

\\

Struts幾乎曾是Java Web應(yīng)用開發(fā)的普遍選擇，其應(yīng)用遍布業(yè)界并依然被大量使用，尤其是在企業(yè)的一些歷史遺留應(yīng)用范圍內(nèi)。Apache軟件基金會的項目管理委員會（Project Management Committee)在媒體上對Equifax的聲明做出了回應(yīng)，其中提出了多點意見。首先，依然不能確定泄漏的源頭的確是由于Struts的漏洞所導(dǎo)致。其次，如果的確是源于Struts的漏洞，那么“或是Equifax服務(wù)器未打補丁，使得一些更早期公布的漏洞被攻擊者利用，或者是攻擊者利用了一個到目前為止尚未被發(fā)現(xiàn)的漏洞”。根據(jù)推測，該聲明提出黑客所使用的軟件漏洞可能就是CVE-2017-9805漏洞，該漏洞是在九月四日公布的，這是在Equifax發(fā)現(xiàn)出現(xiàn)泄漏后的一個月。聲明中還繼續(xù)列出了一些軟件工程上的原則。如果這些原則得到了所有使用開源或不公開軟件庫的開發(fā)人員的遵守，將“有助于防止Equifax所經(jīng)歷的不幸泄露事件重現(xiàn)”。

\\

Equifax的股價在華爾街下跌了近14%，據(jù)BBC報道，兩個美國國會委員會將對此次數(shù)據(jù)泄漏事件舉行聽證會。此外，紐約、伊利諾伊州、馬賽諸塞州、康涅提格洲和賓夕法尼亞州的州檢察長將在本州內(nèi)對此次事件開展調(diào)查。

\\

查看英文原文： Struts Flaw Behind Equifax Breach Disclosed and Patched in March

總結(jié)

以上是生活随笔為你收集整理的美征信巨头Equifax因Struts漏洞导致数据大规模泄露的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。