新闻中心
详情
近日,千疮百孔的Struts2应用又曝出存在新的高危远程代码执行漏洞!
Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts安全团队为Struts 2发布了两个新的Struts安全公告:S2-059(CVE-2019-0230)是一个潜在的远程代码执行漏洞,S2-060(CVE-2019-0233)是一个拒绝服务漏洞。
S2-059
通过构造,Struts 2允许开发人员对某些标签属性(id)的属性值进行二次表达式解析,只有Struts标签属性中强制使用OGNL表达式时,某些场景下将可能导致远程代码执行。
更多信息:https://cwiki.apache.org/confluence/display/ww/s2-059
S2-060
在2.5.22之前的Struts中,将文件上传到使用getter公开文件的Action时,攻击者可以构造一个特殊的请求,可以将上传文件的临时上传目录设置为只读访问,从而造成访问权限错误,进而造成拒绝服务攻击。
更多信息:https://cwiki.apache.org/confluence/display/ww/s2-060
官网公告:
https://struts.apache.org/announce.html#a20200813
受影响版本:
Struts 2.0.0 – Struts 2.5.20
不受影响版本:
升级到Struts 2.5.22及以上
解决措施及建议
这两个问题都已在2019年11月发布的Apache Struts 2.5.22中修复,如果尚未升级到Struts 2.5.22,我们强烈建议所有用户升级到Struts 2.5.22。
官方下载链接:https://struts.apache.org/download.cgi#struts-ga
如果升级struts2组件对您的业务有影响,请参考struts官方文章中如何防止ognl注入。(例如可以在沙箱中运行ognl表达式)
https://struts.apache.org/security/#proactively-protect-from-ognl-expression-injections-attacks-if-easily-applicable
S2-059
Struts 2的开发人员不要在标记属性中使用%{...}或${...}引用未经验证的用户可修改输入的语法。
1.将输入参数的值重新分配给某些Struts的标签属性时,请始终对其进行验证
2.考虑激活Proactive OGNL Expression Injection Protection
3.参考链接:https://cwiki.apache.org/confluence/display/ww/s2-059
S2-060
1.在struts-default.xml文件中,找到struts.excludedPackageNames常数,并将jave.io.以及java.nio.添加到value属性中
2.参考链接:https://cwiki.apache.org/confluence/display/WW/S2-060
网御星云漏洞扫描解决方案
网御Web应用检测系统V6.0于2020年8月16日紧急发布针对该漏洞的升级包,支持对该漏洞进行检测,用户升级网御Web应用检测系统漏洞库后即可对该漏洞进行扫描。升级包为7d_V2.6.6,升级包下载地址:https://leadsec.download.venuscloud.cn/
请网御Web应用检测系统V6.0产品的用户尽快升级到最新版本,及时对该漏洞进行检测,以便尽快采取防范措施。
关键词:
扫二维码用手机看
上一个:
重庆市高新区领导班子赴网御星云参观考察
上一个:
重庆市高新区领导班子赴网御星云参观考察
北京网御星云信息技术有限公司 京ICP备05080314号-1
400-810-7766
成为伙伴 
视频中心 