我爲何支持高校的信息系統放棄Apache Struts2框架（一）

月初聽聞廣東某高校（中山大學）發佈通知：關於中止使用Apache Struts2開發框架的通知

鑑於S2漏洞較多、維護難度較大，爲防範控制網絡安全風險，經研究決定，新建信息化項目不得使用S2；

在用S2的信息系統（網站）應儘快轉用其餘更安全的MVC框架（如Spring MVC等）；從即日起，使用S2的信息系統（網站）將僅限校園網內訪問。

做爲信息安全愛好者，我的對學校的決定是舉雙手支持的，Struts 2框架在安全方面彷佛有着與生俱來的缺陷，與同類開源項目相比，它的問題是在是太多了。下面說一下我我的支持的緣由：

1、數據泄漏

9月9日那天，國外有消息稱「Struts漏洞致使1.43億美國公民信息被泄」，而且Apache Struts 2官方也對此作了迴應（聲明）：

https://blogs.apache.org/foundation/entry/apache-struts-statement-on-equifax?from=timeline

 

 

圖1

大概的E文翻譯（感謝網易有道）以下：

Apache Struts 項目管理委員會願意就Equifax數據泄露作出聲明，由於這與Apache Struts Web框架有關，並且咱們在知曉Equifax遭受了數據泄露，且盜取數據者是利用Apache Struts Web框架後，感到很是遺憾。目前，尚不清楚被利用的是哪個Struts漏洞。Quartz.com網站上曾發表一篇文章，稱與CVE-2017-9805漏洞有關，而這個漏洞是在9月4號公佈的，隨後Apache便發佈了可修復漏洞的Struts框架新升級。然而，該安全漏洞早在7月就以被檢測到，這意味着要麼是Equifax服務器上存在未被及時修復的補丁，要麼是攻擊者利用了零日漏洞。若是漏洞確由CVE-2017-9805引發，那多是黑客在利用該漏洞時，它還只是個零日漏洞。由於這篇文章稱CVE-2017-9805已經存在九年時間。

做爲Apache Struts的項目管理委員會想代表的是，咱們的研發團隊爲了保障咱們產品的安全付出了巨大努力，並且會在第一時間解決問題。按照Apache 安全政策的要求，一旦咱們發現可能存在的安全問題，咱們就會先私下與報告方合做解決問題，並升級產品以修復漏洞。而後纔會將漏洞以及修復的方式告知大衆。即使漏洞是咱們已經知道的，咱們也會將信息攔截若干周，以便泄露事件在全球爆發前他們有足夠的時間修復本身的軟件。然而，因爲漏洞檢測和漏洞的利用已經成了專門的產業，經過對補丁作逆向工程或是掃描未知漏洞，是頗有可能在咱們徹底曝光攻擊向量以前就出現攻擊事件的……

雖然1.43億的數據泄漏發生在美國，離咱們比較遠，但其實相似的事件，咱們國內也曾發生過。

2016年12月10日，國內某知名電商平臺被爆出12GB用戶數據遭泄漏：身份證、密碼、電話等敏感信息無一逃脫。

隨後在12月11日，官方平臺發佈聲明：「經京東信息安所有門依據報道內容初步判斷，該數據源於2013年Struts 2的安全漏洞問題，當時國內幾乎全部互聯網公司及大量銀行、政府機構都受到了影響，致使大量數據泄露。京東在Struts 2的安全問題發生後，就迅速完成了系統修復，同時針對可能存在信息安全風險的用戶進行了安全升級提示，當時受此影響的絕大部分用戶都對本身的帳號進行了安全升級。但確實仍有極少部分用戶並未及時升級帳號安全，依然存在必定風險。」