TA的每日心情 | 衰 2021-2-2 11:21 |
---|
签到天数: 36 天 [LV.5]常住居民I
|
Apache官方今天晚上发布安全公告(官方编号S2-032/CVE编号CVE-2016-3081),Apache struts2服务在开启动态方法调用(DMI)的情况下,可以被远程执行任意命令,安全威胁程度高。5 P A! C; _" t9 r' N; U: }. k) r
- c4 U1 X" M! S3 q( }; u h5 l
; ~0 B( J/ v6 p4 y6 r这一漏洞影响的软件版本为2.3.20-2.3.28,不过2.3.20.2、2.3.24.2两个版本除外,建议尽快升级到相应的最新版本,并关闭DMI。% n. s5 x! U5 J0 f( o. W& A3 i2 @
) `! y2 K5 q2 v# V
6 h9 s* X4 e, g4 }8 V这是自2012年Struts2命令执行漏洞大规模爆发之后,该服务时隔四年再次爆发大规模漏洞。
6 ]8 Q8 Z) J/ e7 K今天晚上 中国互联网被Struts2漏洞血洗! d9 {# j% P! e' y1 G- G9 c
* v+ [1 L$ A5 y1 I6 {5 o$ K& G: {. A' i- _( x1 b
截止目前,乌云漏洞报告平台已收到100多家网站的相关漏洞报告,其中银行占了很大比例。
! N3 O6 m6 P1 a. _+ ^目前已有多个版本的漏洞利用POC在互联网流传,分为命令执行版本与直接写入Web后门的版本。% }) Q7 m+ {* m0 Q" W, T- U
; S- [ B" J6 {* E0 r& d$ H; @$ E5 {& V9 x$ ^! t
今天晚上 中国互联网被Struts2漏洞血洗
( j- R$ w, |& D% d1 d3 o乌云平台现在已经被该漏洞刷屏,据说后台还有100多个漏洞待审核,因此预计今天晚上会迎来该漏洞爆发的第一个小高峰,尤其是银行业恐怕会被血洗。
6 [9 f+ l- M. P) q% B
/ U, @! q$ G, L! c7 T( _% [: I8 L* T" M Z8 {
结合历史情况分析,该漏洞除了会影响银行与互联网企业(网易/多玩等)以外,还可能影响政府、证券、保险等行业,相关服务一定要提前做好安全应急与防范措施!
1 Y6 c( J9 A. B) n: G; h X7 y
8 n4 ^& y6 j/ P2 o( n% p( I3 V! z4 T S4 F) U9 I; C% Y
今天晚上 中国互联网被Struts2漏洞血洗8 d) h9 g( }& I9 e. I) d
如果你在影响范围内,有两种解决方法:
+ K8 c$ _1 N$ L+ j7 ?1、禁用动态方法调用
; T% B9 l+ a0 c/ x( |修改Struts2的配置文件,将“struts.enable.DynamicMethodInvocation”的值设置为false,比如:
4 n3 ]$ T0 R4 y<constant name="struts.enable.DynamicMethodInvocation" value="false" />;/ E, T9 u4 j, F- P; G9 A. R/ n
2、升级软件版本6 S& F( j: q: w3 c* {7 B, z
如果条件允许,可升级Struts版本至2.3.20.2、2.3.24.2或者2.3.28.1,这几个版本都不存在此漏洞。' z# s% ?9 `" v6 d7 U
升级地址:https://struts.apache.org/download.cgi#struts23281+ W! Z& r; r! I* `. e# [
另附漏洞测试样例(无风险):4 c$ T2 O) x8 a$ a
8 D I6 h a5 z- Z
6 I4 e$ ^. z) D# i0 n- w- a, l& W- k0 K* K
: }! T7 g+ h- X8 }, ~5 k' c0 ?由于 Struts2服务在开启动态方法调用(DMI)的情况下,可以被远程执行任意命令,安全威胁程度高。3 ?+ G) x6 y2 |# u- g3 k3 Y
/ |# W5 i& `. p' q. O5 C6 O2 f. ?9 I) H. h/ g0 c
这一漏洞影响的软件版本为2.3.20-2.3.28
1 i. J+ M8 J: c" ]
9 f f- P0 r* ?/ h0 w
3 M- o& F1 V0 _! j4 O老版本
5 P# t6 h) q6 y3 {6 G4 K9 Lfreemarker-2.3.16.jar ognl-3.0.6.jar struts2-core-2.3.20.jar xwork-core-2.3.20.jar
; D( |$ _5 ?1 U2 G新版本 + F Q) U8 X! w$ q6 I
' n- V5 w0 t1 w% ]- K' B, n4 L- Nfreemarker-2.3.22.jar ognl-3.0.14.jar struts2-core-2.3.28.1.jar xwork-core-2.3.28.1.jar
" M- C; a9 i' m
7 q4 ?8 t9 E, O. n+ @ |
|