Struts2爆高危漏洞 多行业成漏洞重灾区

最新推荐文章于 2024-01-25 16:29:25 发布
最新推荐文章于 2024-01-25 16:29:25 发布
阅读量1.3k 收藏
点赞数 1
分类专栏: Java_SSM

 关注网络安全的朋友们,想必最近两天已经被一个高危漏洞刷屏,其来势汹汹让不少网络安全圈内人士咋舌。近日,多家网络安全公司发现并曝光了全球最为流行的Java Web服务器框架之一的Apache Struts2存在漏洞。而这一漏洞最终也被Struts2官方确认,其漏洞编号为S2-045CVE编号:cve-2017-5638,并将其定级为高危漏洞。

  Struts2目前被广泛应用于政府、金融、教育、互联网以及行业机构中,换句话说,这些相关机构均属于此次Struts2高危漏洞的重灾区。而其影响系统及版本也涵盖了Struts 2.3.5 - Struts 2.3.31、以及truts 2.5 - Struts 2.5.10,其影响范围之广令人唏嘘。

  本次漏洞的曝光在业界引起了不小的波动,如果您个人乃至公司的业务受其影响,那必要的防护措施是必不可少的,毕竟网络安全无小事。在漏洞被曝光的第一时间内,各大网络安全厂商纷纷给出了应对方式,对此小编也对各种处理方式进行了相关汇总:

  1、修改启动虚拟机相关选项,修改Struts 2上传文件时的上传解析器为非Jakarta;Struts 2默认用JakartaCommon-FileUpload的文件上传解析器,这是存在漏洞的,默认为以下配置:struts.multipart.parser=jakarta;指定其他类型的解析器,以使系统避免漏洞的影响;指定使用COS的文件上传解析器struts.multipart.parser=cos或指定使用Pell的文件上传解析器struts.multipart.parser=pell

  2. 修复Jakarta文件上传插件或者是存在漏洞的Struts 2版本请升级至Struts2安全版本,譬如将其更新至Struts2.3.32 或者Struts 2.5.10.1

  3. 通过Servlet过滤器验证Content-Type值。

  4. 添加waf规则进行拦截恶意攻击。

  当然除此之外,使用第三方的防护设备进行防护也不失为一个不错的选择。诸如安恒、360企业安全、绿盟、等多家网络安全厂商及安全机构均给出了相关的应对方式及防护工具。

江湖之笑
关注
专栏目录
strust2漏洞利用程序
11-24
strust2漏洞利用程序
Struts2爆高危漏洞
简单爱你所爱、世界也变得大了起来
07-23 1026
Apache官方近日公布了struts2产品的一个远程代码执行漏洞,编号“S2-016”,远程攻击者可利用此漏洞执行任意命令,轻则窃取网站数据信息,严重的可取得网站服务器控制权,构信息泄露和运行安全威胁。目前互联网上已经有利用代码在流传,同时已经发现几十个国内大型门户网站受此漏洞影响,网御星云攻防实验室立即立了快速响应小组,并对此事件进行了整体分析,第一时间完了安全产品的特征库升级工作
Struts2 两大高危安全漏洞,网站安全再受考验
ye1992的专栏
07-22 2668
近日,Struts2 被曝出两个高危安全漏洞,影响的版本Struts 2.0.0 – Struts 2.3.15的 Struts2 全系版本,国内政府、金融、运营商及各大互联网公司的网站已受影响。 一个是使用缩写的导航参数前缀时的远程代码执行漏洞,另一个是使用缩写的重定向参数前缀时的开放式重定向漏洞。这些漏洞可使黑客取得网站服务器的“最高权限”,从而使企业服务器变黑客手中的“肉鸡”。 S
Struts2爆高危漏洞殃及大量网站
07-25 622
7月17日知名安全漏洞报告平台乌云发布安全警告,近期struts框架再次发布高危安全漏洞补丁,乌云收到众多安全厂商关于此漏洞的安全报告,此漏洞影响struts2.0-struts2.3所有版本,可直接导致服务器被远程控制从而引起数据泄漏,提醒各大网站和站长第一时间发现和处理安全问题处理请关注。最新的消息显示淘宝、京东、腾讯等大型互联网厂商存在该漏洞,目前影响厂商扔在增长中。而且漏洞利用代码已经被强
struts2安全漏洞及解决办法
chals115的专栏
07-20 4363
7月17日,世界知名开源软件struts 2爆出了2个高危漏洞,这些漏洞可使黑客取得网站服务器的“最高权限”,从而使企业服务器变黑客手中的“肉鸡”。 详细漏洞信息:   http://struts.apache.org/release/2.3.x/docs/s2-016.html   http://struts.apache.org/release/2.3.x/docs/s2-
全网最全Struts 2 全版本漏洞检测工具,最新struts漏洞更新
04-18
这个标题提到的是一个全面的Struts 2漏洞检测工具,旨在帮助开发者和安全专家识别并修复Struts 2框架中的各种安全漏洞。 Struts 2的安全问题主要源于其OGNL(Object-Graph Navigation Language)表达式语言的使用,...
Struts2漏洞检查工具Struts2.2019.V2.3
01-25
"Struts2漏洞检查工具Struts2.2019.V2.3"是一个专门针对这些漏洞进行检测的工具,旨在帮助开发者和网络安全专业人员识别并修复Struts2框架中的安全问题。 Struts2的安全漏洞主要包括以下几: 1. OGNL(Object-...
Struts2漏洞检查工具2018版.rar
03-31
描述中提到的"Struts2各版本漏洞扫描利用工具"表明该工具不仅能够扫描Struts2应用的漏洞,还可能包含了一些漏洞利用的模块。这可能是为了进行安全测试,模拟黑客可能采取的攻击手段,以便于防御。 在标签中,“漏洞...
Struts2_045漏洞修复jar包和检测工具(亲测可用)
05-14
Struts2_045漏洞修复jar包和检测工具 freemarker-2.3.22.jar ognl-3.0.21.jar struts2-core-2.3.34.jar xwork-core-2.3.34.jar struts2-json-plugin-2.3.34.jar struts2-junit-plugin-2.3.34.jar struts2-spring-...
Struts2漏洞检查工具2019版 V2.3.exe
01-16
Struts2漏洞检查工具2019版 警告: 本工具为漏洞自查工具,请勿非法攻击他人网站! ==漏洞编号==============影响版本=========================官方公告==========================================影响范围====...
Struts2 最新高危漏洞解决方案
beap123的博客
03-09 1135
漏洞更新说明 由于commons-fileupload-*.*.*.jar中的上传解析器,存在漏洞的造远程代码执行,甚至能够嵌入任意脚本,所以建议用户立即升级到Apache Struts 2.3.32 或 2.5.10.1 版本 1、如果是jdk1.6 请更新到2.3.32版本 2、如果是jdk1.7 请更新到2.5.10.1版本 更新文件说明 如果不方便升级可以删除commo
struts2历史漏洞利用
最新发布
weixin_53665691的博客
01-25 684
struts2
linux高危漏洞怎么处理,Struts2高危漏洞解决方案一览
weixin_30119911的博客
05-16 475
Apache Struts2作为世界上最流行的Java Web服务器框架之一,3月7日带来了本年度第一个高危漏洞——CVE编号CVE-2017-5638。其原因是由于Apache Struts2的Jakarta Multipart parser插件存在远程代码执行漏洞,攻击者可以在使用该插件上传文件时,修改HTTP请求头中的Content-Type值来触发该漏洞,导致远程执行代码。Struts作为...
框架/组件漏洞系列1:struts2漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-03 9578
前言: 本篇文章中复现的漏洞不是特别全面,但是挑选了最近两年的漏洞进行复现,旨在对漏洞进行有用复现,毕竟一些老漏洞已经基本不存在了。 一、Struts简介 1、简介 基本介绍: Struts是Apache软件基金会(ASF)赞助的一个开源项目。它最初是Jakarta项目中的一个子项目,并在2004年3月为ASF的顶级项目。它通过采用[Java Servlet](https://baike.baidu.com/item/Java Servlet)/JSP技术,实现了基于[Java EE](https://.
Struts2 最新高危漏洞详解
m0_37630565的博客
03-13 2万+
由于计算机起源于美国,因此很多新兴技术和框架也都出于美国的一些大公司。虽然国内的BAT也在开源技术上有一些贡献,但目前来说还是比较缺少用户来支持。这也就导致了国内大部分互联网公司大量的依赖国外的技术。如果某些开源框架出了高危漏洞,就将影响一大批中国互联网公司。 最近 Struts2 又爆出了一个高危漏洞,据说影响了大半个中国互联网。涵盖金融、教育、医疗、电商等各个行业。哪么这个高危漏洞
关于struts2漏洞(升级struts到最新版本)
热门推荐
qq_34128089的博客
06-25 2万+
由于struts旧版本爆出多个高危漏洞,对于安全性考虑需对struts升级到最新版本。 升级过程中遇到很多坑,经过一段时间的盘查发现,其实这个升级很简单。 我升级的是struts2.5.16,当前官网里面的最新版,以后就不晓得了。。。。咳咳 第一步:找jar包,为什么要找jar包?因为我维护的是老项目,如果你的不是请看最下面。         这是一个很蛋疼的过程,因为看网上升级的方法,替...
Struts2漏洞总结
ebonyzhang
04-06 3832
Struts2漏洞总结
struts2漏洞原理及解决办法
weixin_34092455的博客
03-27 723
Struts2被曝存在重大远程任意代码执行安全漏洞,影响Struts2全系版本。而对于此次堪比棱镜事件的危害,安全宝指出,众多大型互联网厂商均存在该漏洞,且影响厂商仍在扩大之中。同时漏洞利用代码已经被强化,可直接通过浏览器的提交对服务器进行任意操作并获取敏感内容。目前安全宝用户暂可高枕无忧。同时也建议使用Struts开源架构的网站用户尽快加入安全宝云体系,以保护网站免受漏洞的威胁。  据悉,Str...
Struts2被爆严重漏洞,完美解决方案
chen471924542的博客
07-18 636
Struts2被爆出严重漏洞,现解决方案如下(亲测): 升级到struts-2.3.15.1即可解决! 1, 删除lib包 struts2-core-2.0.14.jar,ognl-2.6.11.jar,commons-lang-2.1.jar,xwork-2.0.7.jar 2, 增加lib包 struts2-core-2.3.15.1.jar,xwork-core...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值