搜索
搜索

关于

/
/
Struts 2又现安全漏洞 ,网御星云提供漏洞识别方法~
全部分类

Struts 2又现安全漏洞 ,网御星云提供漏洞识别方法~

  • 分类:公司新闻
  • 作者:
  • 来源:
  • 发布时间:2020-08-17 09:57
  • 访问量:

【概要描述】网御星云漏洞解决方案

Struts 2又现安全漏洞 ,网御星云提供漏洞识别方法~

【概要描述】网御星云漏洞解决方案

  • 分类:公司新闻
  • 作者:
  • 来源:
  • 发布时间:2020-08-17 09:57
  • 访问量:
详情
 
近日,千疮百孔的Struts2应用又曝出存在新的高危远程代码执行漏洞!
 
Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。8月13日,Apache Struts安全团队为Struts 2发布了两个新的Struts安全公告:S2-059(CVE-2019-0230)是一个潜在的远程代码执行漏洞,S2-060(CVE-2019-0233)是一个拒绝服务漏洞。
 
S2-059
 
通过构造,Struts 2允许开发人员对某些标签属性(id)的属性值进行二次表达式解析,只有Struts标签属性中强制使用OGNL表达式时,某些场景下将可能导致远程代码执行。
 
更多信息:https://cwiki.apache.org/confluence/display/ww/s2-059
 
S2-060
 
在2.5.22之前的Struts中,将文件上传到使用getter公开文件的Action时,攻击者可以构造一个特殊的请求,可以将上传文件的临时上传目录设置为只读访问,从而造成访问权限错误,进而造成拒绝服务攻击。
 
更多信息:https://cwiki.apache.org/confluence/display/ww/s2-060
 
 
官网公告:
https://struts.apache.org/announce.html#a20200813
 
受影响版本:
Struts 2.0.0 – Struts 2.5.20
 
不受影响版本:
升级到Struts 2.5.22及以上 
 
解决措施及建议
 
这两个问题都已在2019年11月发布的Apache Struts 2.5.22中修复,如果尚未升级到Struts 2.5.22,我们强烈建议所有用户升级到Struts 2.5.22。
 
官方下载链接:https://struts.apache.org/download.cgi#struts-ga
 
如果升级struts2组件对您的业务有影响,请参考struts官方文章中如何防止ognl注入。(例如可以在沙箱中运行ognl表达式)
 
https://struts.apache.org/security/#proactively-protect-from-ognl-expression-injections-attacks-if-easily-applicable
 
S2-059
 
Struts 2的开发人员不要在标记属性中使用%{...}或${...}引用未经验证的用户可修改输入的语法。
 
1.将输入参数的值重新分配给某些Struts的标签属性时,请始终对其进行验证
2.考虑激活Proactive OGNL Expression Injection Protection
3.参考链接:https://cwiki.apache.org/confluence/display/ww/s2-059
 
S2-060
 
1.在struts-default.xml文件中,找到struts.excludedPackageNames常数,并将jave.io.以及java.nio.添加到value属性中
2.参考链接:https://cwiki.apache.org/confluence/display/WW/S2-060
 
网御星云漏洞扫描解决方案
 
网御Web应用检测系统V6.0于2020年8月16日紧急发布针对该漏洞的升级包,支持对该漏洞进行检测,用户升级网御Web应用检测系统漏洞库后即可对该漏洞进行扫描。升级包为7d_V2.6.6,升级包下载地址:https://leadsec.download.venuscloud.cn/
 
 
请网御Web应用检测系统V6.0产品的用户尽快升级到最新版本,及时对该漏洞进行检测,以便尽快采取防范措施。
 
关键词:

扫二维码用手机看

这是描述信息

服务热线:
400-810-7766 (24H)
E-mail:

shfw@leadsec.com.cn
地址:
北京市海淀区东北旺西路8号中关村软件园21号

  • 抖音
    抖音
  • 微信
    微信
  • 微博
    微信

版权所有:北京网御星云信息技术有限公司    京ICP备05080314号     

这是描述信息