Struts2漏洞修补方式

admin

Apache官方今天晚上发布安全公告(官方编号S2-032/CVE编号CVE-2016-3081)，Apache struts2服务在开启动态方法调用(DMI)的情况下，可以被远程执行任意命令，安全威胁程度高。
" y  O- F% J$ P; Q1 j
# E; h8 V/ B6 W, e$ e+ }3 I( q/ ]/ d/ y
这一漏洞影响的软件版本为2.3.20-2.3.28，不过2.3.20.2、2.3.24.2两个版本除外，建议尽快升级到相应的最新版本，并关闭DMI。


" x9 b4 X" ~, w这是自2012年Struts2命令执行漏洞大规模爆发之后，该服务时隔四年再次爆发大规模漏洞。
  b6 ]/ d- c1 C' O9 x) ~今天晚上 中国互联网被Struts2漏洞血洗

! R; x: [) x' [0 f
截止目前，乌云漏洞报告平台已收到100多家网站的相关漏洞报告，其中银行占了很大比例。
$ g3 M4 r% `. w" A目前已有多个版本的漏洞利用POC在互联网流传，分为命令执行版本与直接写入Web后门的版本。


今天晚上 中国互联网被Struts2漏洞血洗
乌云平台现在已经被该漏洞刷屏，据说后台还有100多个漏洞待审核，因此预计今天晚上会迎来该漏洞爆发的第一个小高峰，尤其是银行业恐怕会被血洗。
3 n. X' B" J' T4 @4 |8 w6 n# F

0 F7 J3 h2 G& `9 U$ p6 ?( x结合历史情况分析，该漏洞除了会影响银行与互联网企业(网易/多玩等)以外，还可能影响政府、证券、保险等行业，相关服务一定要提前做好安全应急与防范措施！
* z) E* A- }- P' O$ S2 R5 Q6 D
& Z8 ^6 I5 q3 l+ H5 W' ]" d
/ g$ R: L6 D  U今天晚上 中国互联网被Struts2漏洞血洗
如果你在影响范围内，有两种解决方法：
1、禁用动态方法调用
: u1 Q% B7 z8 d. J修改Struts2的配置文件，将“struts.enable.DynamicMethodInvocation”的值设置为false，比如：
<constant name="struts.enable.DynamicMethodInvocation" value="false" />；
2、升级软件版本
如果条件允许，可升级Struts版本至2.3.20.2、2.3.24.2或者2.3.28.1，这几个版本都不存在此漏洞。
升级地址：https://struts.apache.org/download.cgi#struts23281
另附漏洞测试样例(无风险)：


; _$ P$ ~) f/ @7 |* f! N- g
$ W* N* }2 s# ]0 i
由于 Struts2服务在开启动态方法调用(DMI)的情况下，可以被远程执行任意命令，安全威胁程度高。

3 x. M, z! @7 \5 d1 k
4 T0 z4 X6 ~- N, o0 A" S这一漏洞影响的软件版本为2.3.20-2.3.28

! @; c& y9 O# ^5 ]$ a) \
& W5 k  H8 W  `1 \" s8 i5 j老版本
* g, ^! ^: X, B, \1 Tfreemarker-2.3.16.jar  ognl-3.0.6.jar  struts2-core-2.3.20.jar  xwork-core-2.3.20.jar
( W8 @4 j4 |( k+ Z新版本

; m# q# o* S3 O, l5 f, Q! Tfreemarker-2.3.22.jar  ognl-3.0.14.jar  struts2-core-2.3.28.1.jar  xwork-core-2.3.28.1.jar