Struts2远程代码执行漏洞CVE-2017-9805 s2-052

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

    5日晚,apache官方发布公告称, Struts2出现严重远程代码执行漏洞 。发布通告不到一天,又更新了受影响版本的范围,增加了Struts 2.12 - Struts 2.3.33 ,此外还有Struts 2.5 - Struts 2.5.12。请尽快升级到 Struts 2.5.13 ,官方通告中称

Struts2在使用带有 XStream 处理程序的 Struts REST 插件,处理 XML 有效负载时,可能发生远程代码执行攻击

    绿盟科技随即发布发布预警通告(见本文后半部分),并给出CVE-2017-9805(s2-052漏洞)免费在线扫描工具

https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?page_id=12

update: 绿盟科技已经发布了 CVE-2017-9805 ( s2-052漏洞)技术分析和防护方案

http://toutiao.secjia.com/struts2-cve-2017-9805-s2-052-protection

Struts2严重远程代码执行漏洞CVE-2017-9805

读者

所有Struts 2 开发者及用户

漏洞影响

Struts2在使用带有 XStream 处理程序的 Struts REST 插件,处理 XML 有效负载时,可能发生远程代码执行攻击

安全等级

严重

建议

升级到 Struts 2.5.13

受影响版本

Struts 2.12 - Struts 2.3.33 , Struts 2.5 - Struts 2.5.12

报告者

Man Yue Mo <mmo at semmle dot com> ( lgtm.com / Semmle). More information on the lgtm.com blog: https://lgtm.com/blog

CVE编号

CVE-2017-9805

问题

    REST 插件正在使用带有 XStream 实例的 XStreamHandler 进行反序列化, 而不进行任何类型筛选, 这可能导致在对 XML 有效负载进行序列处理时,执行远程代码。

解决方案

    升级到 Apache Struts版本 2.5.13.

Backward compatibility

    由于对可用类的应用默认限制, 一些 REST 动作可能停止工作。在这种情况下, 请调查为允许定义每个操作的类限制而引入的新接口, 这些接口是:

  • org.apache.struts2.rest.handler.AllowedClasses
  • org.apache.struts2.rest.handler.AllowedClassNames
  • org.apache.struts2.rest.handler.XStreamPermissionProvider

Workaround

    最好的选择是, 当不使用REST插件时,或仅限于服务器普通页面和 JSON时,删除 Struts REST插件

<constant name= "struts.action.extension" value= "xhtml,,json" />

Apache Struts2( S2-052 ) 远程代码执行漏洞 威胁预警通告

    绿盟科技发布公告称,公告全文如下

    2017年9月5日,Apache Struts发布最新的安全公告,Apache Struts 2.5.x的REST插件存在远程代码执行的高危漏洞,漏洞编号为 CVE-2017-9805 ( S2-052 ) 。漏洞的成因是由于使用XStreamHandler反序列化XStream实例的时候没有任何类型过滤导致远程代码执行。

相关链接如下:

https://cwiki.apache.org/confluence/display/WW/S2-052

影响版本:

    Struts 2.5 - Struts 2.5.12

规避方案

    立即升级到Struts 2.5.13。

注意:

    新版本使用的默认限制策略会导致REST的一些函数停止工作,会对一些业务造成影响,建议使用以下新的接口:

  • org.apache.struts2.rest.handler.AllowedClasses
  • org.apache.struts2.rest.handler.AllowedClassNames
  • org.apache.struts2.rest.handler.XStreamPermissionProvider

标签: https isp 安全 代码 服务器 开发者 漏洞 问题 选择 用户

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:智能语音助手中的漏洞

下一篇:2.6万台MongoDB服务器再次遭受勒索软件攻击