Apache Struts2(S2-045)漏洞反思总结
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了Apache Struts2(S2-045)漏洞反思总结,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含1429字,纯文字阅读大概需要3分钟。
内容图文
2017的3.8-3.9号,Apache Struts2出现漏洞,该漏洞影响范围广,危害级别高。轻则系统文件感染,严重则系统瘫痪。
国家信息安全漏洞库(CNNVD)收到关于Apache Struts2 (S2-045)远程代码执行漏洞(CNNVD-201703-152)的情况报送。,国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,情况如下:
详情可查看官网:
http://www.cnvd.org.cn/flaw/show/CNVD-2017-02474
360:http://bobao.360.cn/interref/appdetail/43.html
1、漏洞简介
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web 应用的开源MVC框架,主要提供两个版本框架产品: Struts 1和Struts 2。
ApacheStruts 2.3.5 – 2.3.31版本及2.5 – 2.5.10版本存在远程代码执行漏洞(CNNVD-201703-152 ,CVE-2017-5638)。该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息。导致远程攻击者可通过发送恶意的数据包,利用该漏洞在受影响服务器上执行任意命令。
2、漏洞危害
攻击者可通过发送恶意构造的HTTP数据包利用该漏洞,在受影响服务器上执行系统命令,进一步可完全控制该服务器,造成拒绝服务、数据泄露、网站造篡改等影响。由于该漏洞利用无需任何前置条件(如开启dmi ,debug等功能)以及启用任何插件,因此漏洞危害较为严重。
3、修复措施
目前,Apache官方已针对该漏洞发布安全公告。请受影响用户及时检查是否受该漏洞影响。
3.1)自查方式
用户可查看web目录下/WEB-INF/lib/目录下的struts-core.x.x.jar 文件,如果这个版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之间则存在漏洞。
3.2)升级修复
受影响用户可升级版本至Apache Struts 2.3.32 或 Apache Struts 2.5.10.1以消除漏洞影响。
http://struts.apache.org/download.cgi#struts25101
3.3)临时缓解
如用户不方便升级,可采取如下临时解决方案:
删除commons-fileupload-x.x.x.jar文件(会造成上传功能不可用)。切记此方法不要贸然执行,否则会出现网站不可访问现象,应当询问相应开发人员,核实再删除。
4、漏洞后的反思:
4.1)安全隔离,漏洞排查,保障业务运行。
4.2)有WEB集群支持,防止业务不能正常运行。
4.3)云服务器做WEB更好,毕竟专业的检查机制比较好。
4.4)可靠的备份机制,确保数据的完整性。
4.5)后门入侵检测(检测系统命令是否被篡改),漏洞扫描,系统安全防护。
4.6)日志系统的支持(合理判断是系统由于何总方式入侵),以及行为审计。
4.7)漏洞过后的安全防护
...
本文出自 “永不放弃!任志远” 博客,转载请与作者联系!
原文:http://renzhiyuan.blog.51cto.com/10433137/1904996
内容总结
以上是互联网集市为您收集整理的Apache Struts2(S2-045)漏洞反思总结全部内容,希望文章能够帮你解决Apache Struts2(S2-045)漏洞反思总结所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。