我的日常

登录/注册
您现在的位置:论坛 盖世程序员(我猜到了开头 却没有猜到结局) 盖世程序员 > Struts2漏洞修补方式
总共48087条微博

动态微博

查看: 579|回复: 0

Struts2漏洞修补方式

[复制链接]
admin    

1244

主题

544

听众

1万

金钱

管理员

  • TA的每日心情

    2021-2-2 11:21
  • 签到天数: 36 天

    [LV.5]常住居民I

    管理员

    跳转到指定楼层
    楼主
    发表于 2016-05-26 13:13:44 |只看该作者 |倒序浏览
    Apache官方今天晚上发布安全公告(官方编号S2-032/CVE编号CVE-2016-3081),Apache struts2服务在开启动态方法调用(DMI)的情况下,可以被远程执行任意命令,安全威胁程度高。5 P  A! C; _" t9 r' N; U: }. k) r
    - c4 U1 X" M! S3 q( }; u  h5 l

    ; ~0 B( J/ v6 p4 y6 r这一漏洞影响的软件版本为2.3.20-2.3.28,不过2.3.20.2、2.3.24.2两个版本除外,建议尽快升级到相应的最新版本,并关闭DMI。% n. s5 x! U5 J0 f( o. W& A3 i2 @
    ) `! y2 K5 q2 v# V

    6 h9 s* X4 e, g4 }8 V这是自2012年Struts2命令执行漏洞大规模爆发之后,该服务时隔四年再次爆发大规模漏洞。
    6 ]8 Q8 Z) J/ e7 K今天晚上 中国互联网被Struts2漏洞血洗! d9 {# j% P! e' y1 G- G9 c

    * v+ [1 L$ A5 y1 I6 {5 o$ K& G
    : {. A' i- _( x1 b
    截止目前,乌云漏洞报告平台已收到100多家网站的相关漏洞报告,其中银行占了很大比例。
    ! N3 O6 m6 P1 a. _+ ^目前已有多个版本的漏洞利用POC在互联网流传,分为命令执行版本与直接写入Web后门的版本。% }) Q7 m+ {* m0 Q" W, T- U

    ; S- [  B" J6 {* E0 r& d
    $ H; @$ E5 {& V9 x$ ^! t
    今天晚上 中国互联网被Struts2漏洞血洗
    ( j- R$ w, |& D% d1 d3 o乌云平台现在已经被该漏洞刷屏,据说后台还有100多个漏洞待审核,因此预计今天晚上会迎来该漏洞爆发的第一个小高峰,尤其是银行业恐怕会被血洗。
    6 [9 f+ l- M. P) q% B
    / U, @! q$ G, L! c7 T( _% [: I
    8 L* T" M  Z8 {
    结合历史情况分析,该漏洞除了会影响银行与互联网企业(网易/多玩等)以外,还可能影响政府、证券、保险等行业,相关服务一定要提前做好安全应急与防范措施!
    1 Y6 c( J9 A. B) n: G; h  X7 y
    8 n4 ^& y6 j/ P2 o( n% p( I3 V
    ! z4 T  S4 F) U9 I; C% Y
    今天晚上 中国互联网被Struts2漏洞血洗8 d) h9 g( }& I9 e. I) d
    如果你在影响范围内,有两种解决方法:
    + K8 c$ _1 N$ L+ j7 ?1、禁用动态方法调用
    ; T% B9 l+ a0 c/ x( |修改Struts2的配置文件,将“struts.enable.DynamicMethodInvocation”的值设置为false,比如:
    4 n3 ]$ T0 R4 y<constant name="struts.enable.DynamicMethodInvocation" value="false" />;/ E, T9 u4 j, F- P; G9 A. R/ n
    2、升级软件版本6 S& F( j: q: w3 c* {7 B, z
    如果条件允许,可升级Struts版本至2.3.20.2、2.3.24.2或者2.3.28.1,这几个版本都不存在此漏洞。' z# s% ?9 `" v6 d7 U
    升级地址:https://struts.apache.org/download.cgi#struts23281+ W! Z& r; r! I* `. e# [
    另附漏洞测试样例(无风险):4 c$ T2 O) x8 a$ a

    8 D  I6 h  a5 z- Z

    6 I4 e$ ^. z) D# i0 n- w- a, l& W- k0 K* K

    : }! T7 g+ h- X8 }, ~5 k' c0 ?由于 Struts2服务在开启动态方法调用(DMI)的情况下,可以被远程执行任意命令,安全威胁程度高。3 ?+ G) x6 y2 |# u- g3 k3 Y

    / |# W5 i& `. p' q. O5 C
    6 O2 f. ?9 I) H. h/ g0 c
    这一漏洞影响的软件版本为2.3.20-2.3.28
    1 i. J+ M8 J: c" ]
    9 f  f- P0 r* ?/ h0 w

    3 M- o& F1 V0 _! j4 O老版本
    5 P# t6 h) q6 y3 {6 G4 K9 Lfreemarker-2.3.16.jar  ognl-3.0.6.jar  struts2-core-2.3.20.jar  xwork-core-2.3.20.jar
    ; D( |$ _5 ?1 U2 G新版本 + F  Q) U8 X! w$ q6 I

    ' n- V5 w0 t1 w% ]- K' B, n4 L- Nfreemarker-2.3.22.jar  ognl-3.0.14.jar  struts2-core-2.3.28.1.jar  xwork-core-2.3.28.1.jar
    " M- C; a9 i' m
    7 q4 ?8 t9 E, O. n+ @

    科帮网 1、本主题所有言论和图片纯属会员个人意见,与本社区立场无关
    2、本站所有主题由该帖子作者发表,该帖子作者与科帮网享有帖子相关版权
    3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和科帮网的同意
    4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
    5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
    6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
    7、科帮网管理员和版主有权不事先通知发贴者而删除本文


    JAVA爱好者①群:JAVA爱好者① JAVA爱好者②群:JAVA爱好者② JAVA爱好者③ : JAVA爱好者③

    快速回复
    您需要登录后才可以回帖 登录 | 立即注册

       

    关闭

    站长推荐上一条 /1 下一条

    发布主题 快速回复 返回列表 联系我们 官方QQ群 科帮网手机客户端
    快速回复 返回顶部 返回列表