漏洞预警-Struts2漏洞再曝预警

网络安全 李胜利 2017-09-26 14:19 138 0 1

近日,安全研究人员发现著名的J2EE框架——Struts2存在远程代码执行的漏洞(S2-046),与前几周的S2-045漏洞影响范围及组件完全相同,如果已经按照S2-045漏洞的升级要求升级到2.3.32或者2.5.10.1版本的用户,本次就不受影响。

  Struts2是一种国内使用非常广泛的Web应用开发框架,被大量的政府、金融以及大中型互联网公司所使用。Struts2默认使用了Jakarta作为Multipart解析器,在受影响版本范围内的默认条件下都会存在该问题。

struts.jpeg

漏洞描述

  S2-046漏洞触发条件:当上传文件的大小(由Content-Length头指定)大于Struts2允许的最大大小(2GB)或是在文件名内容构造恶意的OGNL内容时,Content-Disposition请求中含有空字节,可能会造成远程命令执行,导致系统被入侵。

风险等级

  危急

影响范围

  与Struts S2-045漏洞受影响版本相同,Struts 2.3.5 - Struts 2.3.31、Struts 2.5 - Struts 2.5.10。

修复建议

  如您正在使用Jakarta文件Multipart 解析器,

  1. 请立刻升级Struts至安全版本。(安全版本:Struts 2.3.32或2.5.10.1)

  2. 或更换其他Multipart解析器,严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。

补丁地址

  Struts 2.3.32:

  https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32

  Struts 2.5.10.1:

  https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.10.1

参考文档

  漏洞详细信息可以参考如下链接:

  https://struts.apache.org/docs/s2-046.html

  https://community.hpe.com/t5/Security-Research/Struts2-046-A-new-vector/ba-p/6949723#.WNCLKfl95aT


评论区

精彩评论

搜索

新浪微博