双乳被一左一右吃着动态图,小泽マリアAV无码观看,欧美高清性xxxxhdvideosex,国产午夜精品一区二区三区四区

關(guān)于Apache Struts2存在S2-045遠(yuǎn)程代碼執(zhí)行漏洞的安全公告

2017-03-07 14:28:45

安全公告編號(hào):CNTA-2017-0016

3月7日,國家信息安全漏洞共享平臺(tái)(CNVD)收錄了杭州安恒信息技術(shù)有限公司發(fā)現(xiàn)的Apache struts2 S2-045遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2017-02474,對(duì)應(yīng)CVE-2017-5638),遠(yuǎn)程攻擊者利用該漏洞可直接取得網(wǎng)站服務(wù)器控制權(quán)。由該應(yīng)用較為廣泛,且攻擊利用代碼已經(jīng)公開,已導(dǎo)致互聯(lián)網(wǎng)上大規(guī)模攻擊的出現(xiàn)。

一、漏洞情況分析

Struts2是第二代基于Model-View-Controller(MVC)模型的java企業(yè)級(jí)web應(yīng)用框架,并成為當(dāng)時(shí)國內(nèi)外較為流行的容器軟件中間件。jakarta是apache組織下的一套Java解決方案的開源軟件的名稱,包括很多子項(xiàng)目。Struts就是jakarta的緊密關(guān)聯(lián)項(xiàng)目。

根據(jù)CNVD技術(shù)組成員單位——杭州安恒信息技術(shù)有限公司提供的分析情況,基于JakartaMultipart parser的文件上傳模塊在處理文件上傳(multipart)的請(qǐng)求時(shí)候?qū)Ξ惓P畔⒆隽瞬东@,并對(duì)異常信息做了OGNL表達(dá)式處理。但在在判斷content-type不正確的時(shí)候會(huì)拋出異常并且?guī)螩ontent-Type屬性值,可通過精心構(gòu)造附帶OGNL表達(dá)的URL導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

CNVD對(duì)漏洞的綜合評(píng)級(jí)均為“高危”。由于struts 2.3.5之前的版本存在S2-016漏洞,因此有較多升級(jí)后的Apache struts2的版本為2.3.5及以上版本,極有可能受到漏洞的影響。

二、漏洞影響范圍

受漏洞影響的版本為:Struts2.3.5-Struts2.3.31, Struts2.5-Struts2.5.10。截至7日13時(shí),互聯(lián)網(wǎng)上已經(jīng)公開了漏洞的攻擊利用代碼,同時(shí)已有安全研究者通過CNVD網(wǎng)站、補(bǔ)天平臺(tái)提交了多個(gè)受漏洞影響的省部級(jí)黨政機(jī)關(guān)、金融、能源、電信等行業(yè)單位以及知名企業(yè)門戶網(wǎng)站案例。根據(jù)CNVD秘書處抽樣測試結(jié)果,互聯(lián)網(wǎng)上采用Apache Struts 2框架的網(wǎng)站(不區(qū)分Struts版本,樣本集>500,覆蓋政府、高校、企業(yè))受影響比例為60.1%。

三、漏洞處置建議

Apache Struts官方已在發(fā)布的新的版本中修復(fù)了該漏洞。建議使用Jakarta Multipartparser模塊的用戶升級(jí)到Apache Struts版本2.3.32或2.5.10.1。除了升級(jí)struts版本外,為有效防護(hù)漏洞攻擊,建議用戶采取主動(dòng)檢測、網(wǎng)絡(luò)側(cè)防護(hù)的方法防范黑客攻擊:

(一)無害化檢測方法(該檢測方法由安恒公司提供):

在向服務(wù)器發(fā)出的http請(qǐng)求報(bào)文中,修改Content-Type字段:

Content-Type:%{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('vul','vul')}.multipart/form-data,如返回response報(bào)文中存在vul:vul字段項(xiàng)則表明存在漏洞。

(二)網(wǎng)絡(luò)側(cè)防護(hù)技術(shù)措施

建議在網(wǎng)絡(luò)防護(hù)設(shè)備上配置過濾包含如下#nike='multipart/form-data' 以及#container=#context['com.opensymphony.xwork2.ActionContext.container'字段串(及相關(guān)字符轉(zhuǎn)義形式)的URL請(qǐng)求。

CNCERT/CNVD已著手組織國內(nèi)安全企業(yè)協(xié)同開展相關(guān)檢測和攻擊監(jiān)測相關(guān)工作,后續(xù)將再次匯總處置工作情況。

附:參考鏈接:

https://cwiki.apache.org/confluence/display/WW/S2-045

http://www.cnvd.org.cn/flaw/show/CNVD-2017-02474