|
Apache Struts2 再曝高危漏洞,建议立即进行检测与防护
9月5日晚间,Apache 官方发布 Struts 2紧急漏洞公告(S2-052),CVE 编号CVE-2017-9805。公告中披露,Struts2 REST插件的XStream组件存在反序列化漏洞,导致远程代码执行。Struts 2.5 - Struts 2.5.12 版本均受到该漏洞影响。漏洞危险级别被定义为严 重 级 别。
漏洞影响
Struts2 是一个基于 MVC 设计模式的Web应用框架,它本质上相当于一个servlet,在 MVC 设计模式中,Struts2 作为控制器(Controller)来建立模型与视图的数据交互。Struts2 是世界上最流行的 Java Web 服务器框架之一。
Struts2 REST插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,导致远程代码执行。攻击者利用此漏洞,可以在受影响系统中执行任意代码,例如添加/删除账号,修改系统文件,植入后门等。
此次S2-052漏洞影响的版本有:Struts 2.5 - Struts 2.5.12 。
漏洞利用
截止发稿时间,公网已经暴露多个漏洞利用 PoC,随机选取PoC如下:
可见利用该漏洞确实能够远程执行任意恶意代码,造成数据被窃取、系统被破坏等危害。
检测方案
深信服 “云眼” 检测系统已同步更新针对 S2-052 漏洞的检测功能,不清楚资产是否受影响的用户,请提交域名到 “云眼” 平台在线检测获取结果,检测地址:
https://saas.sangfor.com.cn/src/html/login/login.html?type=eyeCloud(请复制该域名地址后在浏览器中打开,非云眼用户可进行注册并免费进行试用检测)
解决方案
1、Apache官方最新版本已修复该漏洞,请受影响用户升级到Struts 2.5.13版本。
2、暂时无法升级的用户, 如果系统无需使用Struts REST插件,请删除Struts REST插件,或者在配置文件中加入如下代码,限制服务端文件的扩展名:
<constant name="struts.action.extension" value="xhtml,,json" />
3、深信服下一代防火墙用户,请在今天内升级安全防护规则到 20170906 及其以后版本,可轻松防御针对此漏洞的攻击;深信服 “云盾” 用户,无需升级,可直接获得安全防护。
| 
发表于 2017-9-6 14:53
工程师1级