Apache Struts2(S2-045)漏洞反思总结
2017的3.8-3.9号,Apache Struts2出现漏洞,该漏洞影响范围广,危害级别高。轻则系统文件感染,严重则系统瘫痪。
国家信息安全漏洞库(CNNVD)收到关于Apache Struts2 (S2-045)远程代码执行漏洞(CNNVD-201703-152)的情况报送。,国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,情况如下:
详情可查看官网:
http://www.cnvd.org.cn/flaw/show/CNVD-2017-02474
360:http://bobao.360.cn/interref/appdetail/43.html
1、漏洞简介
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web 应用的开源MVC框架,主要提供两个版本框架产品: Struts 1和Struts 2。
ApacheStruts 2.3.5 – 2.3.31版本及2.5 – 2.5.10版本存在远程代码执行漏洞(CNNVD-201703-152 ,CVE-2017-5638)。该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息。导致远程***者可通过发送恶意的数据包,利用该漏洞在受影响服务器上执行任意命令。
2、漏洞危害
***者可通过发送恶意构造的HTTP数据包利用该漏洞,在受影响服务器上执行系统命令,进一步可完全控制该服务器,造成拒绝服务、数据泄露、网站造篡改等影响。由于该漏洞利用无需任何前置条件(如开启dmi ,debug等功能)以及启用任何插件,因此漏洞危害较为严重。
3、修复措施
目前,Apache官方已针对该漏洞发布安全公告。请受影响用户及时检查是否受该漏洞影响。
3.1)自查方式
用户可查看web目录下/WEB-INF/lib/目录下的struts-core.x.x.jar 文件,如果这个版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之间则存在漏洞。
3.2)升级修复
受影响用户可升级版本至Apache Struts 2.3.32 或 Apache Struts 2.5.10.1以消除漏洞影响。
http://struts.apache.org/download.cgi#struts25101
3.3)临时缓解
如用户不方便升级,可采取如下临时解决方案:
删除commons-fileupload-x.x.x.jar文件(会造成上传功能不可用)。切记此方法不要贸然执行,否则会出现网站不可访问现象,应当询问相应开发人员,核实再删除。
4、漏洞后的反思:
4.1)安全隔离,漏洞排查,保障业务运行。
4.2)有WEB集群支持,防止业务不能正常运行。
4.3)云服务器做WEB更好,毕竟专业的检查机制比较好。
4.4)可靠的备份机制,确保数据的完整性。
4.5)后门***检测(检测系统命令是否被篡改),漏洞扫描,系统安全防护。
4.6)日志系统的支持(合理判断是系统由于何总方式***),以及行为审计。
4.7)漏洞过后的安全防护
...
Apache Struts2(S2-045)漏洞反思总结相关推荐
- 绿盟科技网络安全威胁周报2017.11 关注Apache Struts2 任意代码执行漏洞 CVE-2017-5638...
绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-11,绿盟科技漏洞库本周新增136条,其中高危63条.本次周报建议大家关注 Apache Struts2 任意代码执行漏洞 CVE-2017- ...
- apache struts linux,Apache Struts2远程代码执行漏洞(S2-053)(CVE-2017-12611)
Apache Struts2远程代码执行漏洞(S2-053)(CVE-2017-12611) 发布日期:2017-06-23 更新日期:2017-09-11 受影响系统: Apache Group S ...
- Apache Struts2远程代码执行漏洞(S2-019)复现
动态方法调用是一种已知会施加可 Apache Struts2远程代码执行漏洞(S2-019)复现能的安全漏洞的机制,但到目前为止,它默认启用,警告用户应尽可能将其关闭. S2-019的poc,是deb ...
- CVE-2020-17530: Apache Struts2 远程代码执行漏洞通告
报告编号:B6-2020-120801 报告来源:360CERT 报告作者:360CERT 更新日期:2020-12-08 0x01 漏洞简述 2020年12月08日,360CERT监测发现 stru ...
- s2 安恒 漏洞验证工具_Struts2漏洞利用工具下载(更新2017-V1.8版增加S2-045/S2-046)
Struts2漏洞利用工具下载(已更新V1.8版) 2017-03-21: 增加S2-046,官方发布S2-046和S2-045漏洞引发原因一样,只是利用漏洞的位置发生了变化,S2-046方式可能绕过 ...
- s2 安恒 漏洞验证工具_Struts2漏洞利用工具下载(更新2017-V1.8版增加S2-045/S2-046)-阿里云开发者社区...
Struts2漏洞利用工具下载(已更新V1.8版) 2017-03-21: 增加S2-046,官方发布S2-046和S2-045漏洞引发原因一样,只是利用漏洞的位置发生了变化,S2-046方式可能绕过 ...
- Struts2 最新高危漏洞详解
由于计算机起源于美国,因此很多新兴技术和框架也都出于美国的一些大公司.虽然国内的BAT也在开源技术上有一些贡献,但目前来说还是比较缺少用户来支持.这也就导致了国内大部分互联网公司大量的依赖国外的技术. ...
- Apache ‘mod_pagespeed’模块跨站脚本漏洞
漏洞名称: Apache 'mod_pagespeed'模块跨站脚本漏洞 CNNVD编号: CNNVD-201310-677 发布时间: 2013-11-05 更新时间: 2013-11-05 危害等 ...
- org.apache.struts2.dispatcher.FilterDispatcher的四个功能
org.apache.struts2.dispatcher.FilterDispatcher的四个功能 2008-05-24 11:16 1.org.apache.struts2.dispatcher ...
最新文章
- C++智能指针: shared_ptr 实现详解
- Linux常用开发环境软件-jdk安装
- Windows 文件服务器升级跨林迁移(二)
- 掌握深度学习,为什么要用PyTorch、TensorFlow框架?
- 打印出如下图案(菱形)
- 宝塔apache mysql_商淘多商户商城系统部署之宝塔面板(Nginx/Apache+MySQL+PHP7.1)
- 程序员的自我反省-十条原则
- 665. 非递减数列
- jakarta ee_关于Jakarta EE软件包名称更改的思考
- 人工智能超强面经:文本检测与GAN篇(含答案)
- 新版谷歌浏览器开启Flash支持
- sass穿透 scoped 的情况下 去修改ui组件的样式
- 实验1-5 输出菱形图案 (5 分)
- 初中科技节计算机,初中科技节活动方案.doc
- 管理感悟:领导如何处理拍马
- python中tqdm的用法
- linux 在ftp gt 下登录,cutftp显示的是啥意思?
- Redis分布式锁故障,我忍不住想爆粗...
- 虚幻4渲染编程(环境模拟篇)【第三卷:体积云天空模拟(3)---高层云】
- 实现微信小程序web-view内嵌H5中的下载功能(大文件切片下载)