双乳被一左一右吃着动态图,小泽マリアAV无码观看,欧美高清性xxxxhdvideosex,国产午夜精品一区二区三区四区

安全公告編號:CNTA-2016-0017

4月26日，互聯(lián)網(wǎng)上披露了Apache Struts 2 S2-032遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2016-02506，CVE-2016-3081 ）的利用代碼，根據(jù)CNVD初步測試，遠(yuǎn)程攻擊者利用漏洞可在開啟動(dòng)態(tài)方法調(diào)用功能的Apache Struts 2服務(wù)器上執(zhí)行任意代碼，取得網(wǎng)站服務(wù)器控制權(quán)。

一、漏洞情況分析

Struts2是第二代基于Model-View-Controller(MVC)模型的java企業(yè)級web應(yīng)用框架，并成為當(dāng)時(shí)國內(nèi)外較為流行的容器軟件中間件。Struts 2的核心jar包-struts2-core中，存在一個(gè)default.properties的默認(rèn)配置文件用于配置全局信息，當(dāng)struts.enable.DynamicMethodInvocation= true，即開啟動(dòng)態(tài)方法調(diào)用。盡管在Struts2目前的安全策略中，對部分動(dòng)態(tài)調(diào)用方法進(jìn)行了特殊字符傳遞的限制，但在該漏洞中攻擊者仍能通過通過OGNL表達(dá)式靜態(tài)調(diào)用獲取ognl.OgnlContext的DEFAULT_MEMBER_ACCESS屬性并覆蓋_memberAccess的方式進(jìn)行繞過，進(jìn)而可在受控制的服務(wù)器端執(zhí)行任意代碼。CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響范圍

漏洞影響Struts 2.3.20 -2.3.28 (除2.3.20.3和2.3.24.3以外)版本，同時(shí)攻擊利用代碼已經(jīng)在互聯(lián)網(wǎng)上快速傳播。目前，對于默認(rèn)開啟動(dòng)態(tài)方法調(diào)用功能的ApacheStruts2 服務(wù)器比例還需要進(jìn)一步評估。根據(jù)國內(nèi)民間漏洞報(bào)告平臺的信息報(bào)送情況，目前已經(jīng)出現(xiàn)涉及銀行、保險(xiǎn)行業(yè)單位以及大型互聯(lián)網(wǎng)增值電信企業(yè)的信息系統(tǒng)受漏洞影響的案例報(bào)告。

三、漏洞修復(fù)建議

Apache Struts官方已發(fā)布了升級程序修復(fù)該漏洞，CNVD建議用戶升級至struts 2.3.20.3，2.3.24.3，2.3.28.1版本。更新地址：https://cwiki.apache.org/confluence/display/WW/Migration+Guide。未能及時(shí)升級的用戶也可通過如下參數(shù)設(shè)置關(guān)閉動(dòng)態(tài)方法調(diào)用功能來規(guī)避該漏洞的攻擊威脅：<constantname=“struts.enable.DynamicMethodInvocation”value=“false”/> (注：由于動(dòng)態(tài)方法調(diào)用涉及部分通配符功能，此操作暫不能完全確保用戶網(wǎng)站系統(tǒng)其他功能不受影響)。

附：參考鏈接：

http://struts.apache.org/docs/s2-032.html

http://seclab.dbappsecurity.com.cn/?p=924

http://www.cnvd.org.cn/flaw/show/CNVD-2016-02506