亚洲精品无码鲁网中文电影,无码专区日韩亚洲精品,丁香花视频资源在线观看,亚洲综合av永久无码精品一区二区

您好,歡迎進(jìn)入銳速云官網(wǎng)!

售后熱線:4006-5050-10 QQ客服:2852917158 登錄 注冊

關(guān)于清除J2EE框架Apache Struts2漏洞 的緊急通知
編輯作者:   發(fā)布時間:2017-03-28

關(guān)于清除J2EE框架Apache Struts2漏洞

的緊急通知

各互聯(lián)網(wǎng)數(shù)據(jù)中心:

3月7日,我分局在工作中掌握到目前主流應(yīng)用開發(fā)平臺J2EE的Apache Struts2框架存在可執(zhí)行遠(yuǎn)程代碼的嚴(yán)重漏洞,Struts2官方已經(jīng)確認(rèn)該漏洞(漏洞編號S2-045),并定級為高危漏洞。為全面清除相關(guān)漏洞隱患給我市互聯(lián)網(wǎng)空間帶來的網(wǎng)絡(luò)安全風(fēng)險,請各互聯(lián)網(wǎng)數(shù)據(jù)中心立即針對該漏洞開展技術(shù)檢測及漏洞修補(bǔ)工作。

一、Struts2漏洞描述

(一)漏洞信息。此次Struts2漏洞是基于Jakarta plugin插件的Struts遠(yuǎn)程代碼執(zhí)行漏洞,該漏洞可造成RCE遠(yuǎn)程代碼執(zhí)行,漏洞利用無任何限制條件,且可繞過絕大多數(shù)的防護(hù)設(shè)備的通用防護(hù)策略,惡意用戶可在上傳文件時通過修改HTTP請求中的Content-Type值來觸發(fā)該漏洞,從而執(zhí)行系統(tǒng)命令,造成系統(tǒng)被遠(yuǎn)程控制,導(dǎo)致數(shù)據(jù)泄露、網(wǎng)頁篡改、后門植入、成為肉雞等后果。

(二)影響范圍。由于此前Struts2曾發(fā)現(xiàn)編號為S2-016的安全漏洞,國內(nèi)外絕大多數(shù)網(wǎng)站現(xiàn)已更新S2-016漏洞補(bǔ)丁,而本次漏洞在S2-016補(bǔ)丁后的版本均會受到影響,具體受影響的軟件版本為Struts 2.3.5 - Struts2.3.31以及Struts2.5 - Struts 2.5.10。

(三)檢測方法。一是查看web目錄/WEB-INF/lib/下的struts-core.x.x.jar版本信息,如果版本在Struts2.3.5 Struts2.3.31 以及 Struts2.5  Struts2.5.10之間則存在漏洞隱患;二是第三方掃描檢測方式,使用webscan等具有網(wǎng)站深度爬行功能的檢測軟件,進(jìn)行專項(xiàng)深度漏洞掃描。(不可使用在線一鍵式檢查小工具)

(四)修復(fù)方法。一是刪除commons-fileupload-x.x.x.jar文件(可能導(dǎo)致網(wǎng)站的上傳功能或其他應(yīng)用無法正常使用)或更新Struts2版本至Struts 2.3.32、Struts 2.5.10.1;二是部署專業(yè)的WAF、APT等安全產(chǎn)品并確保規(guī)則庫已經(jīng)升級到最新版本。

     

         

2017年3月29日 


版權(quán)所有:Copyright @ 2016-2022 深圳市銳速云計(jì)算有限公司 增值電信業(yè)務(wù)經(jīng)營許可證
粵B1-20171508 備案系統(tǒng) 粵ICP備16119720號 粵公網(wǎng)安備 44030902000612號