×

Apache Struts2 再曝高危漏洞,建议立即检测(附检测方式)
  

Sangfor_闪电回_朱丽 9419

{{ttag.title}}

作者简介:千里目安全实验室,隶属某公司北京安全研究部。拥有专业核心白帽子团队和开发团队,致力于网络安全攻防技术的研究和积累,依靠创新理念引领工作,在攻与防的对立统一中寻求技术突破。


扫码关注,获取千里目安全实验室最新安全技术研究



某公司 Struts2 再曝高危漏洞,建议立即检测(附本地检测方式)

  
        近日,某公司 Struts2 发布的最新安全公告S2-029中显示,Struts2 存在远程代码执行漏洞。Struts 2.0.0 – Struts2.3.24.1 版本均受到该漏洞影响。这个漏洞危险级别被定义为高危,漏洞 CVE 编号:CVE-2016-0785。目前,某公司提供了某公司 Struts2 S2-029 远程代码执行漏洞的本地检测方案。




背景介绍
Struts2 是全球使用最广泛的 Javaweb 服务器框架之一。Struts2是 Struts 的下一代产品,是在 struts1和 WebWork 的技术基础上进行了合并的全新的 Struts2 框架。

之前 S2-005,S2-009,S2-013,S2-016,S2-20 都存在远程命令执行漏洞,使得大量的网站系统遭受入侵。因此,该漏洞一经曝光就在安全圈内引起轩然大波。


漏洞概要
S2-029 漏洞产生原因主要在于,Struts2的标签库使用 OGNL 表达式来访问ActionContext 中的对象数据,为了能够访问到ActionContext 中的变量,Struts2 将 ActionContext 设置为 OGNL 的上下文,并将 OGNL 的根对象加入 ActionContext 中。


用户可以控制特定标签的属性,通过 OGNL 二次计算可以执行任意命令。例如:
<p>parameters:<s:propertyvalue="#parameters.msg" /></p>

这个标签就调用了 OGNL 进行取值,Struts2 会解析 value 中的值,并当作 OGNL 表达式进行执行。

OGNL第一次计算:
OGNL表达式为 #parameters.msg,计算后得到parameters的属性,并将其属性值赋值给 value。

OGNL第二次计算:
对上面获取的属性值继续做 OGNL表达式执行。

漏洞检测
某公司提供了某公司 Struts2 S2-029 远程代码执行漏洞的本地检测方案:
1、新建文件test.jsp,文件内容如下图所示:


2、将上述test.jsp文件放入网站根目录;
3、打开浏览器访问文件test.jsp,例如:http://www.xxx.com/test.jsp
4、查看网站服务器 /tmp 目录下是否有sangfor_test文件生成,若有此文件生成,则证明网站存在某公司 Struts2 S2-029 远程代码执行漏洞。



修复建议
1、建议用户严格验证新添加的 Struts 标签参数的属性;
2、建议用户将Struts升级至 2.3.26版本;
3、对于暂时无法进行升级的低版本用户,建议修改系统 RestActionMapper.java 源文件,防止 OGNL 表达式多次执行。具体修改方法如下图:


为了您的网络安全,建议小伙伴们抽空做下检测,凡在社区跟帖回复您的检测结果,都将获得社区奖励:1000S
时间:即日起至4月30日----已结束

获奖用户如下,1000个S豆已存入账户,请查收:
keer8881     地板
小伙,不错   8楼
空城旧梦      10楼

检测方案已在某公司下一代防火墙主页进行实时提醒!
如果您未购买下一代防火墙设备,请访问某公司安全中心获取检测工具:


打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

新手589624 发表于 2021-4-15 08:07
  
坚持每天登陆论坛学习
新手085652 发表于 2019-5-7 10:23
  
路过的朋友动动手赞一下,感谢
中国是我家 发表于 2019-5-4 22:51
  
期待。。。。。。。
空城旧梦 发表于 2016-3-29 19:01
  
woshishui 发表于 2016-3-28 14:42
  
防火墙上猛然看到这个弹出框 着实吓了一跳
小伙,不错 发表于 2016-3-28 10:38
  

     刚在客户的AF设备上查看了一下,已经有提示了
mhn2264 发表于 2016-3-25 10:16
  
来,我们也赞个呀!
甲鱼 发表于 2016-3-24 15:46
  
楼上说的对
小齐子 发表于 2016-3-24 15:42
  
北研的黑客哥哥们果然厉害,这篇文章简直不能更赞!
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人