2017年3月Apache Struts2报高危漏洞一枚附漏洞解决方案

    Struts2是当今最出色的J2EE框架之一,目前多数公司企业依然大面积使用其作为电商,金融等项目的底层框架。

    近期,安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng发现 Struts2存在远程代码执行的严重漏洞。目前Struts2官方已经确认漏洞(漏洞编号S2-045,CVE编号:cve-2017-5638),并定级为高危风险。

QQ截图20170308143203.png

    该漏洞是基于Jakarta plugin插件的Struts远程代码执行漏洞。据悉,该漏洞会造成RCE远程代码执行,恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令,可直接造成系统被控制。

    此前所爆出的s2-016漏洞,多数站点已经打补丁,而本次漏洞在s2-016补丁后的版本均受影响;漏洞利用无任何条件限制,可绕过绝大多数的防护设备的通用防护策略。

该漏洞的影响范围:

Struts 2.3.5 - Struts 2.3.31

Struts 2.5 -Struts 2.5.10

解决方案:

如果使用的是基于Jakarta文件上传插件可以更新升级至Struts 2.3.32或者Struts 2.5.10.1

解决方法:

使用一个过滤器Filter来过滤掉Content-type值不是multipart/form-data的请求

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值