咨询热线: 010-82177889
新闻中心 News
产品中心 / Products
  • 发布时间: 2017 - 07 - 04
    EMC VPLEX FamilyEMC VPLEX 提供连续的数据可用性和数据移动性,来保障业务关键型应用程序的正常运行时间,并创建一个易于管理和重新配置的敏捷基础架构。VPLEX 为成千上万个主动-主动数据中心提供强有力的支持,旨在确保业务关键型应用程序的最高可用性。VPLEX 创建了一种灵活的存储体系结构,可保障整个混合云中的数据和工作负载移动性始终流畅。借助 VPLEX,您可以在线完全无中断地实现存储技术更新,从而使 IT 组织节省大量时间和资源。了解 VPLEX 产品VPLEXEMC VPLEX 提供连续可用性和无中断数据移动性,可帮助贵组织实现以下成果:当面临灾难时,增加您业务关键型应用程序的正常运行时间通过在线技术更新,加快您数据中心的现代化转型带来运营上的敏捷性和灵活性,使您的基础架构满足不断变化的业务需求VPLEX For All-FlashVPLEX For All-Flash 是一款功能齐全的应用装置,面向闪存存储日益增多的数据中心设计,具有以下优势:使用全新 VS6 引擎的闪存性能无需软件许可证即可实现闪存环境的可扩展增长EMC 所有全闪存存储均可提供:XtremIO、VMAX 全闪存和 UNITY 全闪存
  • 发布时间: 2017 - 06 - 22
    Cisco® 4000 Series Integrated Services Routers (ISRs) form an intelligent WAN platform that delivers the performance, security, and convergence capabilities that today’s branch offices need.Product OverviewThe Cisco 4000 Series Integrated Services Routers (ISR) revolutionize WAN communications in the enterprise branch. With new levels of built-in intelligent network capabilities and convergence, the routers specifically address the growing need for application-aware networking in distributed enterprise sites. These locations tend to have lean IT resources. But they often also have a ...
  • 发布时间: 2017 - 06 - 22
    The Cisco® 880 Series Integrated Services Routers (ISRs) combine Internet access, security, voice, and wireless services onto a single, secure device that is simple to use and manage for small businesses and enterprise small branch offices and teleworkers. The Cisco 880 Series delivers features including firewall, content filtering, VPNs, and wireless LANs (WLANs) at broadband speeds to small offices. Easy deployment and centralized management features enable enterprises or service providers to deploy the Cisco 880 Series in small branch offices or small businesses.Product OverviewCi...
  • 发布时间: 2017 - 06 - 22
    Cisco® 890 Series Integrated Services Routers (ISRs) combine Internet access, comprehensive security, and wireless services in a single high-performance device that is easy to deploy and manage. They are well suited for deployment as customer premises equipment (CPE) in enterprise small branch offices and in service provider managed-service environments.Product OverviewCisco 890 Series ISRs deliver integrated security and threat defense, protecting networks from both known and new Internet vulnerabilities and attacks. These powerful, fixed-configuration routers provide secure broadba...
  • 发布时间: 2017 - 06 - 22
    Powerful Cisco IOS® Software-based router for small to medium sites offers flexible connectivity options and simplifies large-scale wireless WAN deployments.Product OverviewThe Cisco® 800M Series Integrated Services Router (ISR) is a modular platform in the Cisco 800 Series ISR product family. Intended for small to medium sites, it provides a flexible array of WAN connectivity options with easy migration among WAN interface types. It runs Cisco IOS® Software and delivers built-in security in a single software image with no additional software licenses required. It...
联系方式

工作日咨询热线:010-82177889

非工作日咨询热线:
13911660080(服务器存储) 13552251428(网络与安全) 18612312158(软件与服务)


中国 · 北京 · 总部


地址:北京市海淀区上地三街9号嘉华大厦D座1101室

Apache Struts2 再曝高危漏洞,建议立即进行检测与防护

日期: 2018-09-03
浏览次数: 32

Apache Struts2 再曝高危漏洞,建议立即进行检测与防护

/ 2017-09-07

95日晚间,Apache 官方发布 Struts 2 紧急漏洞公告(S2-052),CVE 编号CVE-2017-9805。公告中披露,Struts2 REST插件的XStream组件存在反序列化漏洞,导致远程代码执行。Struts 2.5 - Struts 2.5.12 版本均受到该漏洞影响。漏洞危险级别被定义为严重级别

Apache Struts2 再曝高危漏洞,建议立即进行检测与防护


漏洞影响

Struts2 是一个基于 MVC 设计模式的Web应用框架,它本质上相当于一个servlet,在 MVC 设计模式中,Struts2 作为控制器(Controller)来建立模型与视图的数据交互。Struts2 是世界上最流行的 Java Web 服务器框架之一。

Struts2 REST插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,导致远程代码执行。攻击者利用此漏洞,可以在受影响系统中执行任意代码,例如添加/删除账号,修改系统文件,植入后门等。

此次S2-052漏洞影响的版本有Struts 2.5 - Struts 2.5.12 

漏洞利用

截止发稿时间,公网已经暴露多个漏洞利用PoC如下:


Apache Struts2 再曝高危漏洞,建议立即进行检测与防护


深信服千里目实验室在本地搭建struts-2.5.12版本环境,在环境中访问http://x.x.x.x:8080/struts2-rest-showcase,并在请求数据中植入编辑好的PoC,可看到成功执行 “calc.exe” (计算器程序)命令,如下图所示:

Apache Struts2 再曝高危漏洞,建议立即进行检测与防护



可见利用该漏洞确实能够远程执行任意恶意代码,造成数据被窃取、系统被破坏等危害。

检测方案

深信服 “云眼” 检测系统已同步更新针对 S2-052 漏洞的检测功能,不清楚资产是否受影响的用户,请提交域名到 “云眼” 平台在线检测获取结果,检测地址:

https://saas.sangfor.com.cn/src/html/login/login.html?type=eyeCloud (请复制该域名地址后在浏览器中打开,非云眼用户可进行注册并免费进行试用检测)

解决方案

1Apache官方最新版本已修复该漏洞,请受影响用户升级到Struts 2.5.13版本。

2、暂时无法升级的用户, 如果系统无需使用Struts REST插件,请删除Struts REST插件,或者在配置文件中加入如下代码,限制服务端文件的扩展名:

3深信服下一代防火墙用户,请尽快升级安全防护规则到 20170906 及其以后版本,可轻松防御针对此漏洞的攻击;深信服 “云盾” 用户,无需升级,可直接获得安全防护。


最新新闻 / News More>
1
2018 - 06 - 07
众所周知在我国智能硬件和上网设备的快速萌生之下,不同品牌所生产的优质电脑涌进我国市场之中被人有的电脑市场产生了较大的冲击,而联想全系列产品仍旧凭借在这种市场冲击之下屹立不倒,并且逐步成为了电脑设备之中的领军者,而这种联想全系列产品也受到了更多消费者的热爱,根据分析了解到之所以联想全系列产品受到消费者喜欢其原因大致如下。1. 拥有超多的售后网点提供精准的售后服务;在联想品牌的发展之中始终立于优质并且全面的售后服务,因此消费者在购买专业放心的联想全系列产品之中能够随处可见相应的售后维修网点,并且该种产品实现了全国统一联保的保障,消费者在电脑进行系统更换和问题处理时可以通过这种售后网点进行全方位的解决,因此选购联想全系列产品能够保证售后无忧使用更加畅通;2. 产品质量和品质保障更加稳定;据调查消费者长期的使用可以发现联想全系列产品最显着的特点便是系统方面使用并且产品质量稳固,在我国价格适中的联想全系列产品之中能够提供更加舒适的操作界面和更加良好的操作性能,消费者购买这种产品能够保证产品质量得以落实,以更加舒适的操作方式来获得良好的用机体验和应用效果;总而言之联想全系列产品凭借着自身的优势和不断优化的售后服务理念,已经在我国电脑市场之中不可或缺,而联想全系列产品拥有更多的价位和产品款式让消费者选择,能够迎合不断变革的消费市场来满足我国消费者对款式和功能的需求,因此联想全系列产品受到消费者的...
2
2018 - 08 - 22
随着信息科技化的飞速发展,越来越多注重产品品质的企业开始使用DELL服务器,但大多数用户对于如何选择一家优质的DELL服务器公司并不了解,通过对数家DELL服务器设备公司进行调研,综合分析得出用户最认可的DELL服务器厂家特质主要包括一下几点:1.口碑好DELL服务器品质好坏最佳的判断标准就是老用户的评价,一般而言,老用户DELL服务器设备的优势劣势是最清楚的,用户购买DELL服务器前,可通过询问老用户了解该设备是否稳定,使用体验是否良好,公司各项服务流程是否全面等。2.规模大多用户在购买DELL服务器之前,会大体上对各个DELL服务器公司进行调研。通过实地考察或者网络查询的方式了解该DELL服务器厂家的真实情况,例如研发团队人数、研发实验室规模、厂家占地规模、安装调试团队实力、售后维修部门是否健全等等,都可通过用户自行了解获得想要的信息。3.人员机制完善作为一家科技型企业,技术始终是放在首位的要素,一家优质的DELL服务器公司必定拥有过硬的技术团队、专业的维修调试人员和完善的售后服务系统,这样才能确保DELL服务器厂家不断的研发新品、并保持产品的迭代更新。用户在确定要购进DELL服务器设备后,不要急于和生产厂家签订合同,一定要深入了解这家DELL服务器公司的规模,规模小的DELL服务器公司往往存在机制不完善、后续服务无法保证的弊端。同时用户最好可以和技术专家团队当面深入交谈,从而...
3
2018 - 10 - 18
随着网络的不断盛行各企业也越来越重视网络安全维护,并且会让专业的系统网络安全公司为企业进行网络维护,可规避各种网络上的不安全因素对企业网络造成影响,供应高效专业的系统网络安全公司还会为用户提供高科技的信息安全技术使用,全方位为企业在互联网上进行各种活动而保驾护航,下面就一起来了解下选择系统网络安全公司为企业进行网络维护的好处:1:能保障网络安全降低病毒程序的影响网络上经常会有各种不安全的因素困扰着企业在网络上的一切活动,有了系统网络安全公司的全方位维护企业就能无后顾之忧,可以有效的避免网络病毒及各种恶意程序或垃圾邮件的侵扰,不但能让系统运行快速而且也能避免因网络不安全因素造成企业损失。2:能保障内网与外网之间的正确连接企业在不断发展壮大的同时也会让网络平台不断的壮大,系统网络安全公司会根据企业的发展为内网及外网进行有效的把控,不但能保障内部机密的使用安全而且也能让内部所有部门之间连接顺利。并能防止外部程序对企业内部重要文件的窃取保障网络连接安全。3:能对企业数据进行有效管控公司所有的数据都存储在各电脑数据库内,为了能有效的管控好企业数据就需要系统网络安全公司进行建立各种防范体系,以维护网内电脑之间的顺利运行并且避免恶意入侵入破坏。特别针对一些中小企业来说数据更是企业稳健发展的核心,因此一定需要系统网络安全公司进行有效的数据管控。以上便是小编为大家所讲述的选择系统网络安全公司为企业进...
4
2019 - 01 - 18
专业it外包服务公司能为企业提供专业靠谱的IT服务,保证企业的信息与网络安全,逐渐成为很多非it企业的首要选择对象,其规模不断扩大。目前行业内有很多家it外包服务公司,企业选择与值得信赖的it外包服务合作后,要注意哪些问题呢?第一、选择it服务商的时候一定要谨慎企业引进it外包服务就是为了把自己薄弱的环节交给专业人员来解决,不是为了制造出新的问题,所以在选择it外包服务供应商时候一定要慎重,了解清楚对方的实力背景,包括对方的公司运作项目,信誉问题,专业水平等等。想清楚这个服务商是否有能力为自己解决问题,一定要为自己的外包项目找到专业的服务商。第二、签订完整而又灵活的外包合同it外包服务成功的关键是确保实现合同的价值和确保业务可以实现长期外包,所以外包合同条款的制定至关重要。在双方确定合作以后,一定要在不损害双方利益的前提下签订一份完整的外包合同,合同里面应该包括it外包服务,外包期限,外包费用,双方各自承担的责任,更重要的是要做好保密协议。第三、要定期监督IT服务商的工作进度企业要定期对it外包服务的工作进行考核,要求他们每天交一份工作进度表,汇报企业的信息系统运行状况,并对可能出现的问题要有一定的预测能力,并且保证数据的更新速度。如果it外包服务商的工作效率不能满足企业院的需求,则立即要求其做出调整措施,这样也可以对服务商的工作起到督促作用。以上就是选择it外包服务后的几点注意事...
5
2018 - 06 - 07
在互联网时代之下电脑相关的智能硬件已经成为了家庭生活之中不可或缺的产品,而这种优质的计算机设备也为我国工作人员提高工作效率,改善工作环境带来了更好的保障,其中联想全系列产品凭借其独有的产品优势你俩成为我国销售市场之中备受瞩目的璀璨巨星,而根据分析可以了解到现如今市面上畅销的联想全系列产品大致具备如下几种优势。1. 大品牌好口碑的产品质量;众所周知联想品牌在我国已经发展多年并且拥有悠久的历史,联想全系列产品也受到了这种悠久历史文化的影响,依托于更加先进的技术和更加完善的生产链,来确保每一件联想系列产品拥有更好的智能化使用效果,而专业放心的联想全系列产品不仅拥有更好的质量保证,还能够凭借专业的软件系统实现更好的操作效果,因此联想全系列设备无论是硬件系统还是软件系统都有着更好的优势;2. 智能化和轻薄化的创新能力;在我国现如今的电脑市场之中联想品牌已经成为了创新的代表和,中流砥柱的力量,特别是近些年来轻薄和旋转的特点利用在联想全系列产品之中,该种系列产品已经实现了更加多样化的功能和独有的设计感,因此在价格适中的联想全系列产品之中能够有更多的选择权利一个先进的创意和更好的设计感来确保每一件产品独有的风格;总而言之在我国消费者现如今对电脑设备的要求日渐苛刻的情况之下,联想全系列产品凭借着价位适中且真实可靠的特点,已经逐步成为我国消费市场之中不可或缺的产品,而这些年来联想全系列产品良好的使用寿...
6
2018 - 08 - 22
随着科技的发展,DELL服务器越来越受到用户的喜爱,这是因为高稳定性的DELL服务器具备不同于其他服务器的独特优势。DELL服务器适用领域非常广泛,无论是个人还是企业都有大量的用户使用DELL服务器。但现阶段DELL服务器适用的主要领域却比较集中,主要包括以下三大领域。1.学校领域随着时代的进步,学校也开始步入信息化时代,网络授课、网络直播在学校已是极为平常的现象,由于学校对计算机后台运行的要求更高,所以用户更愿意使用DELL服务器来不断优化计算机环境,最大程度提升DELL服务器利用率,DELL服务器还能对计算机进行有效的扩展和内存的增大。2.密集型企业领域现阶段,大规模的人员密集型企业都会采用现代化的办公系统,通过运营商网络和局域网进行公司内部的沟通以及业务人员、售后人员对外的沟通,为了更好的对公司数据进行有效的管理和保护,DELL服务器可以提高计算机的I/O容量,为需要超负荷工作的计算机提供最佳的效能,DELL服务器还可使企业工作人员可及时的了解公司业务短期内的变数。3.银行部门作为机密性比较强的行业领域,银行系统除了对保密性要求高之外,对于计算机反应的速度也有极高的要求,由于行业的特殊性,各银行网点之间的联系、银行系统的操作都要求快速精准。DELL服务器作为一款能够满足银行各项诉求的设备,受到广大银行工作人员的认可。因为DELL服务器能够提供先进、安全的功能,DELL服务器还...
地址:北京市海淀区上地三街9号嘉华大厦D座1101室
工作日咨询热线:010-82177889
非工作日咨询热线:13911660080/18612312158 
1 
邮编:330520
X
3

SKYPE 设置

4

阿里旺旺设置

5

电话号码管理

  • 010-82177889
6

二维码管理

展开