关于Apache Struts2 新增远程命令执行高危漏洞的情况通报
来源:互联网 发布:linq 重复数据 编辑:程序博客网 时间:2024/04/30 12:49
近期,CNCERT主办的国家信息安全漏洞共享平台收录了Apache Struts存在一个远程命令执行高危漏洞(编号:CNVD-2013-25061,对应CVE-2013-1966)。综合利用漏洞,可发起远程攻击,轻则窃取网站数据信息,严重的可取得网站服务器控制权,构成信息泄露和运行安全威胁。现将有关情况通报如下:
一、漏洞情况分析
Apache Struts2 是第二代基于Model-View-Controller (MVC)模型的JAVA企业级WEB应用框架。根据分析结果,Apache Struts2的s:a和s:url标签都提供了一个includeParams属性,当该属性被设置为get或all时,Apache Struts2会将用户提交的参数值作为OGNL表达式执行。攻击者通过构造特定的OGNL表达式,进而执行Java代码或操作系统指令。
二、漏洞影响评估
CNVD对该漏洞的评级为“高危”,Apache Struts 2.0.0 - 2.3.14受到漏洞影响。该漏洞与在2012年对我国境内政府和重要信息系统部门、企事业单位网站造成严重威胁的漏洞(CNVD-2012-09285,对应CVE-2012-0392)相比,利用前提条件有所限制,但技术评级相同且受影响版本更多。
2013年4月起,CNVD就陆续接收到漏洞研究者针对该漏洞的相关网站测试案例报告,当中包括多种形式的涉及Windows/Linux平台的漏洞利用代码。
三、漏洞处置建议
5月22日,Apache官方提供了用于修复漏洞的软件升级版本Struts 2.3.14.1,但根据CNVD成员单位测试结果,该版本并未彻底修复漏洞,部分利用代码仍可以成功发起攻击。相关建议如下:
(一)相关用户应密切关注厂商发布的安全公告,下载软件最新版本,做好升级部署。
(二)可以采用临时措施,将页面中使用的includeParams参数值暂时设置为none。(注意:这有可能导致关联代码无法实现原有的一些功能。)
CNCERT/CNVD将继续跟踪事件后续情况,做好国内相关用户受影响情况的监测和预警工作。同时,请国内相关单位做好信息系统应用情况排查工作,及时采取措施。如需技术支援,请联系CNVD。电子邮箱:vreport@cert.org.cn,联系电话:010-82990286。
参考链接:
https://cwiki.apache.org/confluence/display/WW/S2-013
http://www.cnvd.org.cn/flaw/show/CNVD-2012-25061
http://www.nsfocus.net/vulndb/23747
http://www.cnvd.org.cn/flaw/show/CNVD-2013-28979
0 0
- 关于Apache Struts2 新增远程命令执行高危漏洞的情况通报
- 【高危漏洞预警】CVE-2017-9805:Struts2 REST插件远程执行命令漏洞(S2-052)
- Struts2/WebWork高危漏洞(远程执行任意代码)
- 关于Apache Struts2存在S2-045远程代码执行漏洞
- Struts2远程命令执行漏洞
- 关于Chrome V8引擎“BadKernel”漏洞情况的通报
- Fastjson 爆出远程代码执行高危漏洞
- Apache Struts2再爆高危漏洞
- 漏洞--Struts2远程命令执行S2-016
- Heartbleed第一篇:“心脏流血”高危漏洞情况通报(4月9日结果)
- Struts2曝高危远程执行漏洞:中国互联网又遭浩劫
- ImageMagick爆高危命令执行漏洞
- Apache Struts2 多个前缀参数远程命令执行漏洞及测试方法
- struts2远程执行漏洞
- struts2 的几个远程代码执行漏洞
- Struts2爆高危漏洞
- struts2之高危远程代码执行漏洞,可造成服务器被入侵,下载最新版本进行修复
- Apache Struts2高危漏洞 ,站长们行动起来吧!
- EncryptionUtil加密类
- 创建CSDN虚拟大学
- kindle paperwhite 完美越狱,KPV / Koreader 安装
- 含ViewPager的父activity更新ViewPager中的activity思考
- android的ndk修改app_platform的方法,亲测绝对可行
- 关于Apache Struts2 新增远程命令执行高危漏洞的情况通报
- VTD-XML介绍
- Redboot
- 不小心把顶上的panel删了
- git new tag
- 如何使用BerryBoot来使树莓派支持多系统启动
- iOS开发-object-c之 @[], @{}
- Java文件操作1
- 曲线拟合工具箱cftool