当前位置:首页 > 西南大学信息中心 > 通知 > 正文
关于紧急排查信息系统安全漏洞的通知
发布时间: 2017-03-09 11:22:11   作者:本站编辑   来源: 本站原创   浏览次数:

各单位:

    近日,教育部下发紧急通知,通告了基于J2EE的Struts2开发的软件系统存在远程代码执行的严重漏洞,目前Struts2官方已经确认该漏洞,漏洞编号为S2-045,CVE编号:cve-2017-5638,并定级为高危风险。

     新漏洞S2-045导致多个Struts2版本受影响,该漏洞影响范围极广,涉及Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10等版本,黑客可以利用该漏洞通过浏览器在远程服务器上执行任意系统命令,将会对受影响站点造成严重影响,引发数据泄露、网页篡改、植入后门等网络安全事件。

根据教育部紧急通知要求,请校内各二级单位立即开展信息系统的网络安全自查工作,及时联系本单位所建、所管信息系统的开发公司,及时核查信息系统是否采用了J2EE构架软件平台,检查确认并及时修补漏洞。

 请建有基于J2EE的Struts2开发的软件系统的各二级单位,3月10日12:00之前向信息中心报告本单位的核查结果及处置方案。报告请发送至邮箱:security@swu.edu.cn。

漏洞详情、临时补救方案和紧急排查情况汇总表详见附件。 

 

 

 

                                   信息中心

                                   2017年3月9日

1:漏洞详情

https://cwiki.apache.org/confluence/display/WW/S2-045?from=groupmessage


附件2-Struts 2 S2-045 Jakarta插件远程代码执行漏洞加固方法.docx


附件3-信息系统安全漏洞紧急排查结果汇总表.xlsx