×

Apache Struts2 再曝高危漏洞,建议立即检测(附检测方式)
  

Sangfor_闪电回_朱丽 9448

{{ttag.title}}

作者简介:千里目安全实验室,隶属某公司北京安全研究部。拥有专业核心白帽子团队和开发团队,致力于网络安全攻防技术的研究和积累,依靠创新理念引领工作,在攻与防的对立统一中寻求技术突破。


扫码关注,获取千里目安全实验室最新安全技术研究



某公司 Struts2 再曝高危漏洞,建议立即检测(附本地检测方式)

  
        近日,某公司 Struts2 发布的最新安全公告S2-029中显示,Struts2 存在远程代码执行漏洞。Struts 2.0.0 – Struts2.3.24.1 版本均受到该漏洞影响。这个漏洞危险级别被定义为高危,漏洞 CVE 编号:CVE-2016-0785。目前,某公司提供了某公司 Struts2 S2-029 远程代码执行漏洞的本地检测方案。




背景介绍
Struts2 是全球使用最广泛的 Javaweb 服务器框架之一。Struts2是 Struts 的下一代产品,是在 struts1和 WebWork 的技术基础上进行了合并的全新的 Struts2 框架。

之前 S2-005,S2-009,S2-013,S2-016,S2-20 都存在远程命令执行漏洞,使得大量的网站系统遭受入侵。因此,该漏洞一经曝光就在安全圈内引起轩然大波。


漏洞概要
S2-029 漏洞产生原因主要在于,Struts2的标签库使用 OGNL 表达式来访问ActionContext 中的对象数据,为了能够访问到ActionContext 中的变量,Struts2 将 ActionContext 设置为 OGNL 的上下文,并将 OGNL 的根对象加入 ActionContext 中。


用户可以控制特定标签的属性,通过 OGNL 二次计算可以执行任意命令。例如:
<p>parameters:<s:propertyvalue="#parameters.msg" /></p>

这个标签就调用了 OGNL 进行取值,Struts2 会解析 value 中的值,并当作 OGNL 表达式进行执行。

OGNL第一次计算:
OGNL表达式为 #parameters.msg,计算后得到parameters的属性,并将其属性值赋值给 value。

OGNL第二次计算:
对上面获取的属性值继续做 OGNL表达式执行。

漏洞检测
某公司提供了某公司 Struts2 S2-029 远程代码执行漏洞的本地检测方案:
1、新建文件test.jsp,文件内容如下图所示:


2、将上述test.jsp文件放入网站根目录;
3、打开浏览器访问文件test.jsp,例如:http://www.xxx.com/test.jsp
4、查看网站服务器 /tmp 目录下是否有sangfor_test文件生成,若有此文件生成,则证明网站存在某公司 Struts2 S2-029 远程代码执行漏洞。



修复建议
1、建议用户严格验证新添加的 Struts 标签参数的属性;
2、建议用户将Struts升级至 2.3.26版本;
3、对于暂时无法进行升级的低版本用户,建议修改系统 RestActionMapper.java 源文件,防止 OGNL 表达式多次执行。具体修改方法如下图:


为了您的网络安全,建议小伙伴们抽空做下检测,凡在社区跟帖回复您的检测结果,都将获得社区奖励:1000S
时间:即日起至4月30日----已结束

获奖用户如下,1000个S豆已存入账户,请查收:
keer8881     地板
小伙,不错   8楼
空城旧梦      10楼

检测方案已在某公司下一代防火墙主页进行实时提醒!
如果您未购买下一代防火墙设备,请访问某公司安全中心获取检测工具:


打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

0X001 发表于 2016-3-22 11:41
  
赞一个,有检测方式这个好!
北回归线 发表于 2016-3-22 14:50
  
齐全,赞一个,就有网站可以检测,刚问了客户的说不是用这种架构开发的
keer8881 发表于 2016-3-24 15:34
  
庆幸有AF设备,已经提示了:
小齐子 发表于 2016-3-24 15:42
  
北研的黑客哥哥们果然厉害,这篇文章简直不能更赞!
甲鱼 发表于 2016-3-24 15:46
  
楼上说的对
mhn2264 发表于 2016-3-25 10:16
  
来,我们也赞个呀!
小伙,不错 发表于 2016-3-28 10:38
  

     刚在客户的AF设备上查看了一下,已经有提示了
woshishui 发表于 2016-3-28 14:42
  
防火墙上猛然看到这个弹出框 着实吓了一跳
空城旧梦 发表于 2016-3-29 19:01
  
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
每日一问
干货满满
新版本体验
【 社区to talk】
技术笔记
功能体验
技术咨询
产品连连看
标准化排查
GIF动图学习
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人