Strusts2 高危漏洞又来了,老项目自查起来!
点击上方蓝色“程序猿DD”,选择“设为星标”
回复“资源”获取独家整理的学习资料!
来源 | https://www.anquanke.com/post/id/214104
0x01 漏洞简述
2020年08月13日, 360CERT监测发现Apache官方
发布了Struts2远程命令执行漏洞
的风险通告,该漏洞编号为CVE-2019-0230
,漏洞等级:高危
。
攻击者
可以通过构造恶意的OGNL表达式
,并将其设置到可被外部输入进行修改,且会执行OGNL
表达式的Struts2
标签的属性值,引发OGNL表达式
解析,最终造成远程代码执行
的效果。
对此,360CERT建议广大用户及时将Apache Struts2
进行升级完成漏洞修复。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
0x02 风险等级
360CERT对该漏洞的评定结果如下:
0x03 漏洞详情
Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。
该漏洞有三个限制条件:
Struts2
标签的属性值可执行OGNL
表达式Struts2
标签的属性值可被外部输入修改Struts2
标签的属性值未经安全验证
仅当以上三个条件都满足时,攻击者可以通过构造恶意的OGNL
表达式,造成远程命令执行的效果。受够了Struts2?把Spring Boot和Spring MVC改造提上日程吧!教程已备(http://blog.didispace.com/spring-boot-learning-2x/),干就完了!
0x04 影响版本
Apache Struts2:2.0.0-2.5.20
0x05 修复建议
升级到Struts 2.5.22或更高版本。
或者开启ONGL表达式注入保护措施
0x06 时间线
2020-08-13 Apache Struts2官方发布安全通告
2020-08-13 360CERT发布通告
0x07 参考链接
Apache Struts2官方安全通告:https://cwiki.apache.org/confluence/display/WW/S2-059
往期推荐
炫酷,Spring Boot + ECharts 实现用户访问地图可视化(附源码)
如何保证缓存与数据库的双写一致性?
赠书:百万畅销书《重构》再版,听Martin Fowler聊聊新版的故事
ScheduledThreadPool中的Leader-Follow模式你知道不?
Spring Boot 中的 RestTemplate不好用?试试 Retrofit !
离职成为自由开发者的100天
我在星球与你分享经验、交流成长
???? ???? ???? ????
星球两大分享内容
Strusts2 高危漏洞又来了,老项目自查起来!相关推荐
- 平均每个ICO项目存在5个高危漏洞,所有ICO移动应用都存在安全漏洞
近日,国外的一项研究报告显示,去年所有ICO项目存在5个安全漏洞,其中47%是能够致使相关机构面临数据和资金损失风险的中高危漏洞. 这项研究对2017年的ICO项目进行统计分析,发现去年ICO的总投资 ...
- nvidia旧版驱动_N卡用户注意:老版驱动存在5个高危漏洞,赶紧更新
8月5日消息,NVIDIA发布安全公告称,在目前的Windows显卡驱动中发现了五个高危级别的安全漏洞,用户可通过升级至最新版的431.60版本显卡驱动来修复这些漏洞. 据NVIDIA公告显示,这些漏 ...
- 黑哥点评|关于 Apache Log4j2 高危漏洞的思考与建议
2021年12月8日,知道创宇404积极防御实验室通过创宇安全智脑监测到Apache Log4j2远程代码执行高危漏洞(CVE-2021-44228)被攻击者利用,且该漏洞细节已经被公开扩散. 经专家 ...
- 升级OpenSSL修复高危漏洞Heartbleed
升级OpenSSL修复高危漏洞Heartbleed 背景: OpenSSL全称为Secure Socket Layer.是Netscape所研发.利用数据加密(Encryption) ...
- 突发!Spring Cloud 爆高危漏洞。。赶紧修复!!
Spring Cloud 突发漏洞 Log4j2 的核弹级漏洞刚告一段落,Spring Cloud Gateway 又突发高危漏洞,又得折腾了... 2022年3月1日,Spring官方发布了关于Sp ...
- Google 修补多项 Android 高危漏洞
Google 4 月 1 日发布安全公告,修补了多项 Android 高危漏洞. 包括 Samsung.Pixel 与 LG 等在内的主要安卓厂商已在公告发布至少一个月前就接到问题通报.而在公告发布后 ...
- 小心!智能合约再爆高危漏洞,两大加密货币直接变废纸!
小心!智能合约再爆高危漏洞,两大加密货币直接变废纸! 大家都还记得,前一段时间发生的BEC智能合约的安全漏洞问题.近日,智能合约安全问题再次上演,火币Pro发布公告,暂停EDU冲提币业务,随后EDU智 ...
- Spring Cloud 爆高危漏洞!!!
今日推荐 最适合晚上睡不着看的 8 个网站,建议收藏哦 23 种设计模式的通俗解释,虽然有点污,但是秒懂请立即卸载这款 IDEA 插件!SQL自动检查神器,再也不用担心SQL出错了,自动补全.回滚等功 ...
- 【高危漏洞通告】Spring Framework 远程代码执行 (CVE-2022-22965)
[高危漏洞通告]Spring Framework 远程代码执行 (CVE-2022-22965)漏洞通告 一. 漏洞情况 Spring 框架(Framework)是一个开源的轻量级 J2EE 应 ...
最新文章
- 专访刘刚:360手机卫士的性能监控与优化
- Thread和Object类中关于线程的相关方法
- android 的unregisterReceiver报错处理
- dataframe保存为txt_如何批量查找并修改替换 Word、PPT、Excel、PDF、TXT等文件的内容...
- 辽宁地质工程职业学院计算机应用技术,辽宁地质工程职业学院10大好就业专业推荐...
- mysql 原生 添加数据_手撸Mysql原生语句--增删改查
- ppt变成了图片不能编辑文字怎么办_谁说水印一定要去掉?用到PPT里贼好看好吗!...
- 在word中插入代码段的方法[转]
- 蓝桥杯 ALGO-118 算法训练 连续正整数的和
- 图像通道变换python-opencv
- 什么是Proxy Server
- 永洪BI-实现按钮输出文件
- 计算机显示无法格式化,SD卡无法格式化怎么办
- Django新增数据
- 谈谈值得注意的高危端口
- 定积分的基本性质6 积分第一中值定理
- 黑马程序员——C语言基础---基础语法
- linux写磁带软件,如何在Linux下安装磁带机
- mac启动选项找不到linux,Mac升级10.10后开机引导不见了,无法进入Linux
- URL编码/解码详解