本周关键词
▼
Struts2漏洞
维基泄密CIA
50亿信息泄露
京东捉内*
职业内*
重罚信息泄露
1.一份数据告诉你,被万年漏洞王Struts2坑了的网站有哪些
pacheStruts2作为世界上最流行的JavaWeb服务器框架之一,3月7日带来了本年度第一个高危漏洞——CVE编号CVE--。其原因是由于ApacheStruts2的JakartaMultipartparser插件存在远程代码执行漏洞,攻击者可以在使用该插件上传文件时,修改HTTP请求头中的Content-Type值来触发该漏洞,导致远程执行代码。
哪些网站已中招
Struts作为一个“世界级”开源架构,它的一个高危漏洞危害有多大,下面两张图可以让大家对这个漏洞的影响范围有一个直观认识。
雷锋网从绿盟科技了解到,从3月7日漏洞曝出到3月9日不到36个小时的时间里,大量用户第一时间通过绿盟云的Structs2紧急漏洞检测服务对自己的网站进行检测,共计余次。
通过对这些数据进行分析,可以看到:
1、从检测数据来看,教育行业受Struts2漏洞影响最多,其次是*府、金融、互联网、通信等行业。
2、从地域来看,北、上、广、沿海城市等经济发达地区成为Struts2漏洞高发区,与此同时修复情况也最及时。
3、从应对漏洞积极性来说,金融、*府、教育位列前三甲。
雷锋网了解到,应对本次Struts2漏洞,金融行业应急反应最为迅速,在漏洞爆发后采取行动也是最迅速的,无论是自行升级漏洞软件还是联系厂商升级防护设备都走在其他行业前列,很多金融行业站点在几个小时之内再次扫描时已经将漏洞修补完成。
2.维基解密曝CIA入侵苹果、安卓机、电视,快来围观份泄密文件
美国时间3月7日,维基解密(WikiLeaks)网站公布了大量据称是美国中央情报局(CIA)的内部文件,其中包括了CIA内部的组织资料,对电脑、手机等设备进行攻击的方法技术,以及进行网络攻击时使用的代码和真实样本。利用这些技术,不仅可以在电脑、手机平台上的Windows、iOS、Android等各类操作系统下发起入侵攻击,还可以操作智能电视等终端设备,甚至可以遥控智能汽车发起暗杀行动。
一、泄漏内容
此次公布的数据都是从CIA的内网保存下来的,时间跨度为到年。这批文档的组织方式类似于知识库,使用Atlassian公司的团队工作共享系统Confluence创建。数据之间有明显的组织索引关系,可以使用模板对多个资料进行管理。很多资料有历史改动的存档,份资料中除去存档共有个最新数据。个附件基本上都可以在资料中找到对应的链接,属于其内容的一部分。
具体而言,这些资料可以分为如下几类:
CIA部门资料,包括部门的介绍,部门相关的黑客项目,以及部门内部的信息分享。
黑客项目资料,包括一些不属于特定部门的黑客工具、辅助项目等,其中有项目的介绍,使用说明以及一些技术细节。
操作系统资料,包括iOS、MacOS、Android、Linux、虚拟机等系统的信息和知识。
工具和开发资料,包括CIA内部用到的Git等开发工具。
员工资料,包括员工的个人信息,以及员工自己创建的一些内容。
知识库,这里面分门别类地存放了大量技术知识以及攻击手段。其中比较重要的是关于Windows操作系统的技术细节和各种漏洞,以及对于常见的个人安全产品(PersonalSecurityProducts)的绕过手段,包括诺顿、卡巴斯基、赛门铁克、微软杀*以及瑞星等安全产品。
一、各方反应
1.苹果:别怕,我们已修复大部分漏洞
躺枪的苹果在给外媒TechCrunch的官方声明中表示,iPhone能提供“消费者能得到的最佳数据安全性”,根据其初步分析,维基解密列出的14项漏洞中,有“许多”在最新版的iOS里都已经被补上了。
雷锋网了解到,除此之外,他们还承诺“会继续快速解决被发现的漏洞”,而且不忘提醒使用者,要尽快下载和升级到最新版的系统。
2.CIA和FBI在调查泄密内*
据公开报道,美国官员向当地媒体透露,联邦调查局(FBI)和CIA将联手立项刑事调查。雷锋网了解到,此次调查的主要内容包括:首先,维基解密如何获得了这些文件;其次,CIA内部是否有内*,即攻击是从外部进入的还是内部同时有人呼应。
3.三星和微软:正在调查
三星和微软对CNBC表明了态度。
三星:保护消费者的隐私和我们设备的安全性是三星的首要任务。我们已注意到所提及的报告,正在紧急调查此事。
微软:我们知道上述报告,正在调查此事。
4.谷歌:我们有信心
谷歌的信息安全和隐私主管希瑟-阿德金斯(HeatherAdkins)在一份声明中表示,谷歌已经审查了这些文件,他们有信心认为Chrome和Android的安全更新和保护已经阻止用户避开这些所谓的漏洞。他们的分析正在进行中,将实施任何必要的保护措施。谷歌总是将安全视为重中之重,将继续投资于防御体系建设。
5.美国白宫发言人:我们要起诉这些泄密的!
美国白宫发言人斯派塞当天在例行记者会上拒绝证实这些文件的真实性,但强调机密文件外泄事件应该成为一大担忧。斯派塞说,这类泄密事件损害美国的安全,我们将会找出泄露机密信息的人,将按法律最大限度地起诉他们。
3.京东内*涉50亿信息泄漏案,腾讯协助破案,京东:他是试用期员工!
3月7日,