欢迎来到吉林市工业和信息化局!
网站首页 | 加入收藏 | 联系我们
企业风采
您现在的位置 - > 首页>>通知公告
通知公告
关于Apache Struts2存在S2-045远程代码执行漏洞的安全公告
加入时间:2017-03-09 来源:市工信局

   3月7日,国家信息安全漏洞共享平台(CNVD)收录了杭州安恒信息技术有限公司发现的Apache struts2 S2-045远程代码执行漏洞(CNVD-2017-02474,对应CVE-2017-5638),远程攻击者利用该漏洞可直接取得网站服务器控制权。由该应用较为广泛,且攻击利用代码已经公开,已导致互联网上大规模攻击的出现。

  一、漏洞情况分析

  Struts2是第二代基于Model-View-Controller(MVC)模型的java企业级web应用框架,并成为当时国内外较为流行的容器软件中间件。jakarta是apache组织下的一套Java解决方案的开源软件的名称,包括很多子项目。Struts就是jakarta的紧密关联项目。

  根据CNVD技术组成员单位——杭州安恒信息技术有限公司提供的分析情况,基于JakartaMultipart parser的文件上传模块在处理文件上传(multipart)的请求时候对异常信息做了捕获,并对异常信息做了OGNL表达式处理。但在在判断content-type不正确的时候会抛出异常并且带上Content-Type属性值,可通过精心构造附带OGNL表达的URL导致远程代码执行。

  CNVD对漏洞的综合评级均为“高危”。由于struts 2.3.5之前的版本存在S2-016漏洞,因此有较多升级后的Apache struts2的版本为2.3.5及以上版本,极有可能受到漏洞的影响。

  二、漏洞影响范围

  受漏洞影响的版本为:Struts2.3.5-Struts2.3.31, Struts2.5-Struts2.5.10。截至7日13时,互联网上已经公开了漏洞的攻击利用代码,同时已有安全研究者通过CNVD网站、补天平台提交了多个受漏洞影响的省部级党政机关、金融、能源、电信等行业单位以及知名企业门户网站案例。根据CNVD秘书处抽样测试结果,互联网上采用Apache Struts 2框架的网站(不区分Struts版本,样本集>500,覆盖政府、高校、企业)受影响比例为60.1%。

  三、漏洞修复建议

  Apache Struts官方已在发布的新的版本中修复了该漏洞。建议使用Jakarta Multipartparser模块的用户升级到Apache Struts版本2.3.32或2.5.10.1。除了升级struts版本外,为有效防护漏洞攻击,建议用户采取主动检测、网络侧防护的方法防范黑客攻击:

   

  附:参考链接:

  https://cwiki.apache.org/confluence/display/WW/S2-045

  http://www.cnvd.org.cn/flaw/show/CNVD-2017-02474

(c) 2016-2017 市工业和信息化局 版权所有,对违反版权者保留一切追索权利 吉ICP备13004484号 网站标识码:2202000005
主办: 吉林市工业和信息化局 地址:吉林市松江中路65号 站点地图

吉公网安备 22020402000241号