内容字号:默认大号超大号

段落设置:段首缩进取消段首缩进

字体设置:切换到微软雅黑切换到宋体

关于Apache Struts2(S2-045)漏洞情况的通报

2017-03-08 10:01 出处:清屏网 人气: 评论(0

近日,国家信息安全漏洞库( CNNVD )收到 关于 Apache Struts2 S2-045 )远程代码执行漏洞( CNNVD-201703-152 )的情况报送。由于该漏洞影响范围广,危害级别高,国家信息安全漏洞库( CNNVD )对此进行了跟踪分析,情况如下:

漏洞简介

Apache Struts 是美国阿帕奇( Apache )软件基金会负责维护的一个开源项目,是一套用于创建企业级 Java Web 应用的开源 MVC 框架,主要提供两个版本框架产品: Struts 1 Struts 2  

ApacheStruts 2.3.5 – 2.3.31 版本及 2.5 – 2.5.10 版本存在远程代码执行漏洞( CNNVD-201703-152 CVE-2017-5638 )。该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息。导致远程攻击者可通过发送恶意的数据包,利用该漏洞在受影响服务器上执行任意命令。    

漏洞危害

攻击者可通过发送恶意构造的 HTTP 数据包利用该漏洞,在受影响服务器上执行系统命令,进一步可完全控制该服务器,造成拒绝服务、数据泄露、网站造篡改等影响。由于该漏洞利用无需任何前置条件(如开启 dmi debug 等功能)以及启用任何插件,因此漏洞危害较为严重。

修复措施

目前, Apache 官方已针对该漏洞发布安全公告。请受影响用户及时检查是否受该漏洞影响。

自查方式

用户可查看 web 目录下 /WEB-INF/lib/ 目录下的 struts-core.x.x.jar 文件,如果这个版本在 Struts2.3.5 Struts2.3.31 以及 Struts2.5 Struts2.5.10 之间则存在漏洞。

升级修复

受影响用户可升级版本至 Apache Struts 2.3.32 Apache Struts 2.5.10.1 以消除漏洞影响。

临时缓解

如用户不方便升级,可采取如下临时解决方案:

l   删除 commons-fileupload-x.x.x.jar 文件(会造成上传功能不可用)。


分享给小伙伴们:
本文标签: Struts2

相关文章

发表评论愿您的每句评论,都能给大家的生活添色彩,带来共鸣,带来思索,带来快乐。

CopyRight © 2015-2016 QingPingShan.com , All Rights Reserved.

清屏网 版权所有 豫ICP备15026204号