在线发布、提交软件

当前位置:首页 > 电脑教程 > 网络安全

【重大漏洞预警】Apache Struts2 s2-045远程代码执行漏洞 (CVE-2017-5638)

时间:2017-03-08 10:25:31  来源:软件园  作者:动力软件园

近日,互联网上披露了Apache Struts 2 S2-045远程代码执行漏洞(CVE-2017-5638),国家网络与信息安全信息通报中心也发了预警。经我中心验证,利用该漏洞,攻击者可在使用基于Jakarta插件文件上传功能的Apache Struts 2服务器上远程执行任意代码,取得网站服务器控制权。



一、漏洞信息

Struts2是第二代基于Model-View-Controller (MVC)模型的JAVA企业级web应用框架。在本次的漏洞事件中,因Jakarta插件文件上传功能存在漏洞,攻击者可以通过构造恶意的Content-Type内容实现在服务器端执行任意代码,最终远程控制服务器。详情可参考以下链接:

http://bobao.360.cn/learning/detail/3571.html


二、漏洞影响

漏洞影响Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10中的全部版本。目前该漏洞的验证代码已经在互联网上公布。


三、加固措施建议

1. 严格过滤 Content-Type 里的内容,严禁ognl表达式相关字段。

2. 如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。


建议升级至Apache Struts 2.3.32或2.5.10.1版本。补丁地址:

Struts 2.3.32:

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32

Struts 2.5.10.1:

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.10.1

暂不能及时升级的系统也可通过禁用Jakarta插件来暂时规避该漏洞,但此方法不能完全确保系统其他功能不受影响。