自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

Struts2遠(yuǎn)程代碼執(zhí)行高危漏洞響應(yīng)及修復(fù)建議

作者:佚名
安全 漏洞
近日,安全研究人員發(fā)現(xiàn)著名J2EE框架——Struts2存在遠(yuǎn)程代碼執(zhí)行的漏洞,Struts2官方已經(jīng)確認(rèn)該漏洞(S2-045),并定級為高危漏洞。

近日,安全研究人員發(fā)現(xiàn)著名J2EE框架——Struts2存在遠(yuǎn)程代碼執(zhí)行的漏洞,Struts2官方已經(jīng)確認(rèn)該漏洞(S2-045),并定級為高危漏洞。

[[184938]]

漏洞描述

該漏洞是Apache strut2 最新的一個漏洞,CVE編號CVE-2017-5638.(基于 Jakarta plugin插件的Struts遠(yuǎn)程代碼執(zhí)行漏洞),該漏洞會造成RCE遠(yuǎn)程代碼執(zhí)行,惡意用戶可在上傳文件時通過修改HTTP請求頭中的Content-Type值來觸發(fā)該漏洞,進(jìn)而執(zhí)行系統(tǒng)命令,可直接造成系統(tǒng)被控制。黑客通過Jakarta 文件上傳插件實(shí)現(xiàn)遠(yuǎn)程利用該漏洞執(zhí)行代碼。

其風(fēng)險等級為:高危

因?yàn)锳pache Struts2是一種國內(nèi)使用非常廣泛的Web應(yīng)用開發(fā)框架,被大量的Web網(wǎng)站所使用。目前,對于此漏洞的利用代碼已經(jīng)擴(kuò)散,對網(wǎng)站安全構(gòu)成非常高的現(xiàn)實(shí)威脅。

影響系統(tǒng)及版本:Struts 2.3.5 - Struts 2.3.31、Struts 2.5 - Struts 2.5.10

臨時處理方案

* 修改啟動虛擬機(jī)相關(guān)選項(xiàng),修改Struts 2上傳文件時的上傳解析器為非Jakarta

Struts 2默認(rèn)用Jakarta的Common-FileUpload的文件上傳解析器,這是存在漏洞的,默認(rèn)為以下配置

  1. struts.multipart.parser=jakarta 

指定其他類型的解析器,以使系統(tǒng)避免漏洞的影響:

指定使用COS的文件上傳解析器

  1. struts.multipart.parser=cos 

或指定使用Pell的文件上傳解析器

  1. struts.multipart.parser=pell 

修復(fù)建議

1、如果用戶使用基于Jakarta的多分片文件上傳解析器,強(qiáng)烈建議用戶立即升級到Apache Struts 2.3.32 或 2.5.10.1 版本。

2、天眼(SkyEye)未知威脅感知系統(tǒng)的流量探針已加入對利用此漏洞的攻擊檢測規(guī)則,可以精準(zhǔn)地發(fā)現(xiàn)相關(guān)的攻擊并判定是否攻擊成功,請升級天眼未知威脅感知系統(tǒng)到3.0.3.1或以上版本并升級最新的檢測規(guī)則。

天眼(SkyEye)未知威脅感知系統(tǒng)檢測到攻擊截圖

天眼(SkyEye)未知威脅感知系統(tǒng)檢測到攻擊截圖

3、如客戶在無法確認(rèn)是否使用該框架或相關(guān)版本,可通過360網(wǎng)站云監(jiān)測服務(wù)、或360網(wǎng)站智能監(jiān)控系統(tǒng)檢查確認(rèn)是否爆出該漏洞,從而進(jìn)行下一步的防御措施。

4、在漏洞爆出的第一時間,360防火墻、WAF及安域產(chǎn)品均已更新產(chǎn)品識別規(guī)則庫,將針對該漏洞攻擊進(jìn)行識別和防護(hù)。還未部署該產(chǎn)品的客戶,可及時聯(lián)系360企業(yè)安全遍布全國的辦事機(jī)構(gòu)及時獲取產(chǎn)品進(jìn)行防護(hù): http://b.#/home/aboutus?type=contact。

5、客戶也可通過 “云”+“端”的防護(hù)方案對該類型漏洞進(jìn)行防護(hù),從另一個維度解決問題。將方案通過在將安全保護(hù)代碼嵌入到運(yùn)行中的服務(wù)器應(yīng)用程序,通過實(shí)時攔截所有的系統(tǒng)調(diào)用并確保調(diào)用安全,通過與云端防護(hù)系統(tǒng)的聯(lián)動,最終實(shí)現(xiàn)應(yīng)用程序自我保護(hù),同時可為客戶提供針對Web系統(tǒng)web攻擊防護(hù)、網(wǎng)頁防篡改等安全防護(hù)能力。通過該方案的實(shí)施部署,針對該類型的漏洞可做到無需升級、智能防護(hù),從另一個維度根本解決這類漏洞問題。

應(yīng)急響應(yīng)

如部分客戶無法確認(rèn)是否使用受影響的Struts框架,無法自行修復(fù)該漏洞,可撥打360企業(yè)安全集團(tuán)客戶熱線,我們將盡力協(xié)助客戶完成該漏洞修復(fù):4008-136-360。

參考鏈接

https://cwiki.apache.org/confluence/display/WW/S2-045?from=timeline&isappinstalled=0

責(zé)任編輯:趙寧寧 來源: 安全客
漏洞Struts2遠(yuǎn)程代碼
相關(guān)推薦

2013-05-22 10:28:19

2013-07-18 15:09:27

2015-01-29 09:54:12

2013-07-18 10:06:54

2013-07-18 15:57:42

2012-12-18 16:18:06

2016-04-29 10:58:13

2023-12-14 16:20:09

2017-07-11 09:42:22

漏洞

2019-05-15 15:20:01

微軟漏洞防護(hù)

2016-03-22 12:37:45

Struts2Struts2漏洞漏洞檢測

2013-09-11 18:12:10

2013-07-19 09:36:04

struts2struts2漏洞

2013-07-18 13:11:07

2014-10-29 15:44:55

2017-09-12 07:54:32

2025-03-06 16:38:19

2016-06-08 10:09:24

2017-07-14 13:51:19

2013-07-22 10:45:56

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號