你好,游客 登录 注册 搜索
背景:
阅读新闻

Apache Struts2 再发布漏洞修复版本

[日期:2013-06-06] 来源:oschina.net  作者:Linux [字体: ]
上周 Struts 发布了一个 2.3.14.2 漏洞修复版本。今天再次发布新版本2.3.14.3,修复了另一个重要的安全漏洞。

Struts框架允许基于通配符的动作映射,且当一个请求不匹配动作时,会尝试加载一个基于动作名称的JSP文件。由于动作名称中可以嵌入OGNL表达式,因此这有可能导致攻击者在服务器端执行Java代码。

在新版本中,可以检查动作名称是否匹配正则表达式[a-z]*[A-Z]*[0-9]*[.\-_!/]*(管理员也可以通过struts.xml来修改所允许动作名称的相关正则表达式),并且从OgnlTextParser中移除了双重求值功能。

你可以通过S2-015安全公告来查看问题的细节和相关示例。

新版本下载地址:http://struts.apache.org/download.cgi#struts23143linux
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款