病毒预警

StrutsS2-046远程代码执行漏洞StrutsS2-046远程代码执行漏洞

2017-04-19 21:50来源:作者:点击:


StrutsS2-046远程代码执行漏洞

安全预警通告

     

说明:C:\Users\wuqiong-xy\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\NX0Z2O0V\360安全监测与响应中心 (2).jpg

20170321


目录

第1章安全注意事项。 3

第2章漏洞信息。 4

2.1漏洞描述...... 4

2.2风险等级...... 4

2.3修复建议...... 4

第3章影响范围。 5

第4章参考文档。 5

第1章安全注意事项

尊敬的客户:

最近,安全研究人员发现着名的J2EE框架—— Struts2有一个远程代码执行漏洞(S2-046),这与过去几周的S2-045范围和组件完全相同。在上一个漏洞中升级的Struts2组件未受影响。

默认情况下,Struts2使用Jakarta作为Multipart解析器,这是受影响版本中默认条件下的问题。

Struts2是一个基于MVC设计模式的Web应用程序框架。它基本上等同于servlet。在MVC设计模式中,Struts2充当控制器,以在模型和视图之间建立数据交互。 Struts 2是下一代Struts,一个基于struts 1和WebWork技术的新Struts 2框架。

Struts2被广泛使用,并且大量制造商在国内外使用它。

360安全监控和响应中心还将继续关注漏洞的进展并尽快为您更新漏洞信息。

第2章漏洞信息 2.1漏洞描述

触发条件:当上载文件的大小(由Content-Length标头指定)大于Struts2允许的最大大小(2GB)或在文件名内容中构造恶意OGNL内容时,Content-Disposition请求包含null bytes,可能导致远程命令执行,导致系统受到危害。

2.2风险等级

安全服务团队风险评级为:严重

2.3修复建议

如果您使用的是Jakarta文件Multipart解析器,

1.请立即将Struts升级到安全版本。 (安全版:Struts 2.3.32或2.5.10.1)

2.或者替换其他Multipart解析器,严格过滤Content-Type和filename的内容,并禁止ognl表达式的相关字段。

补丁地址:

Struts 2.3.32:

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32

Struts 2.5.10.1:

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.10.1

第3章影响范围

与Struts S2-045漏洞:

的受影响版本相同

Struts 2.3.5 -Struts 2.3.31

Struts 2.5 - Struts 2.5.10。

第4章参考文件

有关漏洞的详细信息,请参阅以下链接:

http://struts.apache.org/docs/s2-045.html

https://cwiki.apache.org/confluence/display/WW/S2-045



上一条:澳门皇冠投注:Bad Rabbit勒索软件情况的预警通报

关闭