漏洞预警:Apache Struts 2 远程代码执行漏洞 (严重)
Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。其全新的Struts 2的体系结构与Struts 1的体系结构差别巨大。Struts 2以WebWork为核心,采用拦截器的机制来处理用户的请求,这样的设计也使得业务逻辑控制器能够与 ServletAPI完全脱离开,所以Struts 2可以理解为WebWork的更新产品。虽然从Struts 1到Struts 2有着太大的变化,但是相对于WebWork,Struts 2的变化很小。
昨天有安全研究员在Struts 2上发现了一个严重的远程代码执行漏洞(CVE-2016-0785),所以Struts 2的开发者和用户都应该知晓这枚漏洞,以防被不法企图者恶意利用。
之前我们公司就因为这个漏洞被入侵成功过!
受影响的Struts 2版本
Struts 2.0.0 – Struts Struts 2.3.24.1
修复建议
当重分配传入Struts标签属性的参数时,总是进行验证
建议用户将Struts升级至 2.3.26版本。
官方公告:http://struts.apache.org/docs/s2-029.html
新闻来源:http://www.freebuf.com/news/98992.html
最新进展
相关报道见:http://bobao.360.cn/learning/detail/2801.html
官网提供的升级版本:http://struts.apache.org/docs/version-notes-2326.html
相关推荐
升级到2.3.32所用到的jar包: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar --来源 ...
0、这是一个简单、暴力、治根的补漏方法 1、struts2漏洞s2-045,不升级jar版本的修补方法,已验证
2017年7月7日,Apache Struts发布最新的安全公告,Apache Struts2-strus1-plugin插件存在远程代码执行的高危漏洞,漏洞编号为CVE-2017-9791(S2-048),主要受影响的Struts版本为:2.3.x。 攻击者可以构造恶意的字段值...
Apache Struts2的REST插件存在远程代码执行的高危漏洞,其编号为CVE-2017-9805(S2-052)。Struts2 REST插件的XStream组件存在反序列化漏洞,...[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-052(CVE-2017-9805)
该漏洞与Apache Struts2 (S2-045)远程代码执行漏洞原理基本相同,均是由于上传功能的异常处理函数没有正确处理用户输入的错误信息,导致远程攻击者可通过发送恶意的数据包,利用该漏洞在受影响服务器上执行任意...
增加最新的S2-032远程代码执行漏洞,和S2-019很相似。 参考:http://seclab.dbappsecurity.com.cn/?p=924 2015-12-01: 采用scanner读数据流,再也不用担心s16不能执行net user/ipconfig/netstat -an等命令了。 增加...
Apache Struts2 Commons FileUpload反序列化远程代码执行漏洞安全公告 安全公告编号:CNTA-2018-0029 2018年11月7日,国家信息安全漏洞共享平台(CNVD)收录了Apache Struts2 Commons FileUpload反序列化远程代码...
可以解决struts2-S2-045远程代码执行漏洞 漏洞编号 CVE-2017-5638 如果用户使用基于Jakarta的多分片文件上传解析器,强烈建议用户立即升级到Apache Struts 2.3.32 或 2.5.10.1 版本。
Apache官方已针对该漏洞发布安全公告,ApacheStruts 2.3.5 – 2.3.31版本及2.5 – 2.5.10版本存在远程代码执行漏洞(CNNVD-201703-152 ,CVE-2017-5638)。该漏洞是由于上传功能的异常处理函数没有正确处理用户输入...
增加最新的S2-032远程代码执行漏洞,和S2-019很相似。 参考:http://seclab.dbappsecurity.com.cn/?p=924 2015-12-01: 采用scanner读数据流,再也不用担心s16不能执行net user/ipconfig/netstat -an等命令了。 增加...
struts2.3.32最新包,可以解决Struts2-S2-045远程代码执行漏洞。
北京时间8月22日13时,Apache官方发布通告公布了Struts2中一个远程代码执行漏洞(cve-2018-11776)。该漏洞可能在两种情况下被触发,第一,当没有为底层xml配置中定义的结果设置namespace 值,并且其上层动作集配置...
增加最新的S2-032远程代码执行漏洞,和S2-019很相似。 参考:http://seclab.dbappsecurity.com.cn/?p=924 2015-12-01: 采用scanner读数据流,再也不用担心s16不能执行net user/ipconfig/netstat -an等命令了。 增加...
Struts2.3.15.1版本升级到2.3.32版本详细流程,可解决Struts 2远程执行代码漏洞
增加最新的S2-032远程代码执行漏洞,和S2-019很相似。 参考:http://seclab.dbappsecurity.com.cn/?p=924 2015-12-01: 采用scanner读数据流,再也不用担心s16不能执行net user/ipconfig/netstat -an等命令了。 增加...
包含struts 2 中2.522版本所有的jar包,修复了关于Apache Struts远程代码执行漏洞(S2-059、CVE-2019-0230)的安全预警!
安全管理器来防止远程代码执行漏洞。 Java 安全管理器 由于 JEP 411(以及这里已经指出的其他原因),提到的启用 Java 安全管理器的具体解决方案是不切实际的。 然而,它的思想,即采用强制访问控制技术仍然非常适用...
struts-2.5.10.1和struts-2.3.32 官方发布最新版本 lib包,官方发布最新版本 lib包,可预防高危漏洞Apache struts2 S2-045远程代码执行漏洞(CNVD-2017-02474,对应CVE-2017-5638)风险预警
Apache log4j 2是一款...经验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响,该漏洞无需授权即可远程代码执行,一旦被攻击者利用会造成严重后果,影响范围覆盖各行各业。