各新聞機構和在線新聞網站都報道了黑客從征信企業Equifax竊取了1.43億美國人的詳細個人信息，這一事件表明Apache Struts框架存在安全缺陷。Struts是一種開源的MVC框架，用于創建基于Java的Web應用。作為這一框架管理者，Apache軟件基金會發布聲明對此指責做出了回應。

\\

據媒體最初報道表明，漏洞可能是由Struts的一個未公開漏洞所導致。但是，Equifax已經確認在攻擊中所使用的Structs漏洞是CVE-2017-5638，而且繼Equifax首次聲明之后，Apache基金會也對此做了確認。該漏洞位于Jakarta Multipart解析器中，對于Apache Struts 2的2.3版本，在2.3.32之前的版本中存在；對于Struts 2的2.5版本，在2.5.10.1之前的版本中存在。這一漏洞已于今年三月被Apache Struts團隊打補丁，并關閉了該問題。但是Equifax在五月中旬出現了泄漏，直到七月底才被發現。在此期間，攻擊者已經訪問了不少客戶的個人數據，其中包括社會保障碼、出生日期和住址等。有20.9萬名客戶的信用卡號被訪問，未知數量的英國和加拿大居民的個人數據也被泄露了。

\\

Struts幾乎曾是Java Web應用開發的普遍選擇，其應用遍布業界并依然被大量使用，尤其是在企業的一些歷史遺留應用范圍內。Apache軟件基金會的項目管理委員會（Project Management Committee)在媒體上對Equifax的聲明做出了回應，其中提出了多點意見。首先，依然不能確定泄漏的源頭的確是由于Struts的漏洞所導致。其次，如果的確是源于Struts的漏洞，那么“或是Equifax服務器未打補丁，使得一些更早期公布的漏洞被攻擊者利用，或者是攻擊者利用了一個到目前為止尚未被發現的漏洞”。根據推測，該聲明提出黑客所使用的軟件漏洞可能就是CVE-2017-9805漏洞，該漏洞是在九月四日公布的，這是在Equifax發現出現泄漏后的一個月。聲明中還繼續列出了一些軟件工程上的原則。如果這些原則得到了所有使用開源或不公開軟件庫的開發人員的遵守，將“有助于防止Equifax所經歷的不幸泄露事件重現”。

\\

Equifax的股價在華爾街下跌了近14%，據BBC報道，兩個美國國會委員會將對此次數據泄漏事件舉行聽證會。此外，紐約、伊利諾伊州、馬賽諸塞州、康涅提格洲和賓夕法尼亞州的州檢察長將在本州內對此次事件開展調查。

\\

查看英文原文： Struts Flaw Behind Equifax Breach Disclosed and Patched in March

總結

以上是生活随笔為你收集整理的美征信巨头Equifax因Struts漏洞导致数据大规模泄露的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。