你好,游客 登录 注册 搜索
背景:
阅读新闻

关于Apache Struts2(S2-045)漏洞情况的通报

[日期:2017-03-09] 来源:FreeBuf.COM  作者:CNNVD [字体: ]

近日,国家信息安全漏洞库(CNNVD)收到关于Apache Struts2 S2-045)远程代码执行漏洞(CNNVD-201703-152)的情况报送。由于该漏洞影响范围广,危害级别高,国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,情况如下:

一、漏洞简介

Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web 应用的开源MVC框架,主要提供两个版本框架产品: Struts 1Struts 2  

ApacheStruts 2.3.5 – 2.3.31版本及2.5 – 2.5.10版本存在远程代码执行漏洞(CNNVD-201703-152 CVE-2017-5638)。该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息。导致远程攻击者可通过发送恶意的数据包,利用该漏洞在受影响服务器上执行任意命令。    

二、漏洞危害

攻击者可通过发送恶意构造的HTTP数据包利用该漏洞,在受影响服务器上执行系统命令,进一步可完全控制该服务器,造成拒绝服务、数据泄露、网站造篡改等影响。由于该漏洞利用无需任何前置条件(如开启dmi debug等功能)以及启用任何插件,因此漏洞危害较为严重。

三、修复措施

目前,Apache官方已针对该漏洞发布安全公告。请受影响用户及时检查是否受该漏洞影响。

自查方式

用户可查看web目录下/WEB-INF/lib/目录下的struts-core.x.x.jar 文件,如果这个版本在Struts2.3.5 Struts2.3.31 以及 Struts2.5 Struts2.5.10之间则存在漏洞。

升级修复

受影响用户可升级版本至Apache Struts 2.3.32 Apache Struts 2.5.10.1以消除漏洞影响。

临时缓解

如用户不方便升级,可采取如下临时解决方案:

l  删除commons-fileupload-x.x.x.jar文件(会造成上传功能不可用)。

注意!Struts2 S2-045漏洞被利用  http://www.linuxidc.com/Linux/2017-03/141702.htm

*本文作者:CNNVD,本通报由CNNVD技术支撑单位杭州安恒信息技术有限公司提供支持,转载请注明来自FreeBuf.COM

本文永久更新链接地址http://www.linuxidc.com/Linux/2017-03/141596.htm

linux
本文评论   查看全部评论 (1)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款
第 1 楼
* 匿名 发表于 2017/3/9 20:19:08
666