流行 jQuery 插件 0day 漏洞被利用至少三年

黑客在至少三年時(shí)間里利用一個(gè)流行 jQuery 插件的 0day 漏洞植入 Web shells 控制存在漏洞的 Web 服務(wù)器。這個(gè)插件是 jQuery File Upload，其作者為德國(guó)開發(fā)者 Sebastian Tschan aka Blueimp，它是 GitHub 平臺(tái)上僅次于 jQuery 框架本身第二受歡迎的 jQuery 項(xiàng)目，被整合到數(shù)以百計(jì)的項(xiàng)目中。Akama 的安全研究員 Larry Cashdollar 今年早些時(shí)候在插件處理文件上傳的源代碼里發(fā)現(xiàn)了漏洞，該漏洞允許攻擊者向服務(wù)器上傳惡意文件，如后門和 Web shells。Cashdollar 稱這個(gè)漏洞已被廣泛利用，至少?gòu)?2016 年就開始了。開發(fā)者已經(jīng)釋出了 9.22.1 修復(fù)了漏洞。Blueimp 解釋了這個(gè)漏洞存在的原因：Apache v.2.3.9 的默認(rèn)設(shè)置是不讀取 .htaccess 文件，而他犯下的錯(cuò)誤在于依賴于 .htaccess 去執(zhí)行安全控制。他測(cè)試的 Apache 服務(wù)器啟用了 .htaccess，所以他從來(lái)沒(méi)有去檢查服務(wù)器的默認(rèn)設(shè)置，而 Apache 服務(wù)器從 v.2.3.9 起默認(rèn)不啟用 .htaccess。