双乳被一左一右吃着动态图,小泽マリアAV无码观看,欧美高清性xxxxhdvideosex,国产午夜精品一区二区三区四区

安全公告編號(hào):CNTA-2014-0016

3月11日，CNVD收錄了Apache Struts 2存在的拒絕服務(wù)和ClassLoader安全繞過(guò)漏洞（CNVD-2014-01552，對(duì)應(yīng)CVE-2014-0050和CVE-2014-0094），官方同步提供了Apache Struts 2.3.16.1作為升級(jí)版本。4月23日晚，安全人員研究發(fā)現(xiàn)其提供的升級(jí)版本并未完全修復(fù)漏洞，相關(guān)安全機(jī)制可被繞過(guò)，對(duì)互聯(lián)網(wǎng)上應(yīng)用Apache Struts2的大量服務(wù)器構(gòu)成拒絕服務(wù)和遠(yuǎn)程控制威脅。

一、漏洞成因和威脅

根據(jù)分析，Apache Struts 2.0.0-2.3.16版本的默認(rèn)上傳機(jī)制是基于Commons FileUpload 1.3版本，其附加的ParametersInterceptor允許訪問(wèn) 'class' 參數(shù)（該參數(shù)直接映射到getClass()方法），并允許控制ClassLoader。在具體的Web容器部署環(huán)境下（如：Tomcat），攻擊者利用Web容器下的Java Class對(duì)象及其屬性參數(shù)（如：日志存儲(chǔ)參數(shù)），可向服務(wù)器發(fā)起遠(yuǎn)程代碼執(zhí)行攻擊，進(jìn)而植入網(wǎng)站后門控制網(wǎng)站服務(wù)器主機(jī)。

目前，已經(jīng)驗(yàn)證的測(cè)試案例表明Tomcat服務(wù)器易被發(fā)起拒絕服務(wù)或遠(yuǎn)程滲透攻擊，同時(shí)CNVD認(rèn)為ClassLoader安全繞過(guò)漏洞可進(jìn)一步涉及部署其他Web容器的網(wǎng)站服務(wù)器。CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高危”。

二、漏洞處置措施和建議

至24日17時(shí)，ApacheStruts2官方未提供進(jìn)一步的修復(fù)方法，僅在github網(wǎng)站上提出新的修復(fù)措施，但相關(guān)修復(fù)措施目前被驗(yàn)證仍然存在繞過(guò)風(fēng)險(xiǎn)。目前，國(guó)內(nèi)多家安全機(jī)構(gòu)也提出了臨時(shí)防護(hù)措施，CNVD綜合評(píng)估認(rèn)為，由于黑客的攻擊代碼可根據(jù)部署環(huán)境以及調(diào)用參數(shù)的不同而變化出多種形式，不排除目前防護(hù)措施未來(lái)存在被繞過(guò)的可能。

建議相關(guān)用戶在Web服務(wù)器上一方面要積極采用應(yīng)用層過(guò)濾的防護(hù)措施，同時(shí)也要及時(shí)關(guān)注Apache Struts2官方發(fā)布的最新漏洞補(bǔ)丁信息。

CNVD將持續(xù)監(jiān)測(cè)后續(xù)攻擊情況，包括利用代碼變種以及網(wǎng)站后門植入攻擊等，如需技術(shù)支援，請(qǐng)聯(lián)系郵箱：vreport@cert.org.cn，電話：010-82990286。

注：CNVD成員單位啟明星辰、綠盟科技公司提供了漏洞分析文檔，CNVD成員單位知道創(chuàng)宇、奇虎360公司以及國(guó)內(nèi)的翰海源公司提供了部分研判支持。

參考鏈接：

1、漏洞信息

http://www.cnvd.org.cn/flaw/show/CNVD-2014-01552

http://struts.apache.org/release/2.3.x/docs/s2-020.html

2、修復(fù)措施參考：

https://github.com/apache/struts/commit/aaf5a3010e3c11ae14e3d3c966a53ebab67146be(Apache Struts 2官方提供的修復(fù)措施，尚未完善)

http://blog.vulnhunt.com/index.php/2014/04/24/apache_struts2_0day/

http://www.jiasule.com

http://wangzhan.#