J2EE框架DDoS漏洞预警公告
转自: http://www.inbreak.net/archives/543
http://www.exploit-db.com/exploits/31615/
J2EE框架DDoS漏洞预警
已确认被成功利用的软件及系统:
大部分常见J2EE WEB框架
STRUTS1全版本(只影响使用uploadform的action)
STRUTS2全版本(任何一个action都受影响)
Spring MVC全版本(任何一个controller都受影响)
所有使用了apache commons fileupload的组件的应用,包括纯JSP页面
Commons FileUpload 1.0 to 1.3
部分服务器自带了upload组件,可以直接让JSP调用
Apache Tomcat 8.0.0-RC1 to 8.0.1
Apache Tomcat 7.0.0 to 7.0.50
JBOSS由于重用tomcat源码所以受到影响
漏洞描述:
Apache Commons FileUpload 1.3在处理mime-multipart请求时,攻击者可以构造一个包含异常http头的请求,使得apache fileupload进入无限循环,导致CPU爆满,拒绝服务。
漏洞分析这次就不发了,原理太简单,就是个循环无法退出。
PID COMMAND %CPU
8070 mdworker 1.3
8069 sleep 0.0
8066 top 11.2
8064 java 101.2
这个漏洞可以用于攻击大多数J2EE框架,常见J2EE框架,总会默认使用FileUpload组件,并且在所有用户代码前完成上传文件的预处理,这导致无论开发者是否手工调用该组件,都会默认执行。
此漏洞的POC已经被攻击者发布,请尽快修补该问题,以免造成损失。
ps:如果运维过程中,发现CPU无故飙升,可以优先考虑这个因素。
修补方案:
升级Apache Commons FileUpload 1.3.1 或之后版本
升级Apache Tomcat 8.0.2 或之后版本
升级 Apache Tomcat 7.0.51 或之后版本
http://markmail.org/message/kpfl7ax4el2owb3o
http://tomcat.apache.org/security-8.html
http://tomcat.apache.org/security-7.html
J2EE框架DDoS漏洞预警公告相关推荐
- 漏洞预警|Apache Karaf 存在远程代码执行漏洞
棱镜七彩安全预警 近日网上有关于开源项目 Apache Karaf 存在远程代码执行漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应. 项目 ...
- 漏洞预警| vm2 任意代码执行漏洞
棱镜七彩安全预警 近日网上有关于开源项目 vm2 任意代码执行漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应. 项目介绍 vm2 是一个基 ...
- linux struts2漏洞,重大漏洞预警:Struts 2 远程代码执行漏洞(s2-045\s2-046) (含PoC)
背景介绍 近日,安全研究人员发现著名J2EE框架--Struts2存在远程代码执行的漏洞,Struts2官方已经确认该漏洞(S2-045,S2-046),并定级为高危漏洞. Struts2 的使用范围 ...
- 易想团购 注入 user.php,易想团购系统通杀SQL注入漏洞分析及利用漏洞预警 -电脑资料...
刚打开红黑看到J8基友写的一个{易想团购系统 最新版 通杀}的文章,看他贴的代码里面有个get_client_ip()函数,哈哈,我猜没过滤,果断下了一套程序, 找到get_client_ip()函数 ...
- 开发者论坛一周精粹(第十七期) :【漏洞预警】Windows再被爆SMB服务0day漏洞,阿里云提示您关注并修复...
第十七期(2017年7月31日-2017年8月6日 ) 在美国拉斯维加斯举行的2017年度DEF CON黑客大会上,安全研究人员公布了Windows系统上的一个长达20年没有发现的漏洞,该漏洞名为&q ...
- 收藏:国内的12个安全漏洞预警渠道
启明星辰安全通告 https://www.venustech.com.cn/new_type/aqtg/ 绿盟科技安全漏洞 http://blog.nsfocus.net/category/threa ...
- 框架/组件漏洞系列1:struts2漏洞汇总
前言: 本篇文章中复现的漏洞不是特别全面,但是挑选了最近两年的漏洞进行复现,旨在对漏洞进行有用复现,毕竟一些老漏洞已经基本不存在了. 一.Struts简介 1.简介 基本介绍: Struts是Apac ...
- javascript漏洞-检测到目标站点存在javascript框架库漏洞
一般是让升级为最新的版本的脚本文件,但是实际使用过程中,有的插件不兼容,盲目升级会导致网站部分插件不可用. 下面是一种解决方案. 比如漏洞扫描出jquery:2.1.4.作以下处理: 一.根据web应 ...
- Java开源——常见J2EE框架简介
Java开源--常见J2EE框架简介 Spring Framework Spring是一个解决了许多在J2EE开发中常见的问题的强大框架. Spring提供了管理业务对象的一致方法并且鼓励了注入对接口 ...
- fastjson反序列化漏洞_漏洞预警Fastjson再爆反序列化代码执行漏洞;星巴克被发现存在信息泄露风险...
漏洞预警 Fastjson再次爆出通杀的反序列化代码执行漏洞 漏洞信息 据态势感知平台监测,网络上再次出现此前未曾发现的fastjson反序列化攻击向量. Fastjson是由阿里巴巴推出基于Java ...
最新文章
- 分层窗口输出文字时,会出现透明的洞。
- Office2013 分享
- 【学习笔记】【Design idea】一、Java异常的设计思想、性能相关、笔记
- SpringBootSpring --- Redis 集成 Error creating bean with name 'enableRedisKeyspaceNotificationsIniti
- 设置asp.net网站的信任等级
- 文件操作模式扩展、游标操作
- [python爬虫] Selenium常见元素定位方法和操作的学习介绍(转载)
- 很少使用“ ControlFlowException”
- dedecms备份mysql数据库文件_dedecms备份的数据库文件在哪里
- delphi 整数类型的表述
- C++面向对象程序设计实践——任务与指导书(1)
- 小米音箱蓝牙连不上_小米互联网音箱蓝牙怎么连接?方法如下
- socket pro
- 里诺合同管理合同上传步骤_客户关系管理:合同
- 敏捷开发快速入门(四):Scrum开发流程
- 2011年中国科学院院士增选初步候选…
- ThinkPHP3.2.3 实现微信小程序微信授权登录
- iOS 各版本系统占比
- 常用创建空对象创建对象方法var obj = {};其他几种方法你知道吗
- TRECVID2005 Overview