Struts2远程代码执行漏洞CVE-2017-9805 s2-052

2018-06-11 来源：

5日晚，apache官方发布公告称， Struts2出现严重远程代码执行漏洞。发布通告不到一天，又更新了受影响版本的范围，增加了Struts 2.12 - Struts 2.3.33 ，此外还有Struts 2.5 - Struts 2.5.12。请尽快升级到 Struts 2.5.13 ，官方通告中称

Struts2在使用带有 XStream 处理程序的 Struts REST 插件，处理 XML 有效负载时，可能发生远程代码执行攻击

绿盟科技随即发布发布预警通告（见本文后半部分），并给出CVE-2017-9805（s2-052漏洞）免费在线扫描工具

https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?page_id=12

update： 绿盟科技已经发布了 CVE-2017-9805 （ s2-052漏洞）技术分析和防护方案

http://toutiao.secjia.com/struts2-cve-2017-9805-s2-052-protection

Struts2严重远程代码执行漏洞CVE-2017-9805

读者	所有Struts 2 开发者及用户
漏洞影响	Struts2在使用带有 XStream 处理程序的 Struts REST 插件，处理 XML 有效负载时，可能发生远程代码执行攻击
安全等级	严重
建议	升级到 Struts 2.5.13
受影响版本	Struts 2.12 - Struts 2.3.33 , Struts 2.5 - Struts 2.5.12
报告者	Man Yue Mo <mmo at semmle dot com> ( lgtm.com / Semmle). More information on the lgtm.com blog: https://lgtm.com/blog
CVE编号	CVE-2017-9805

问题

REST 插件正在使用带有 XStream 实例的 XStreamHandler 进行反序列化, 而不进行任何类型筛选, 这可能导致在对 XML 有效负载进行序列处理时，执行远程代码。

解决方案

升级到 Apache Struts版本 2.5.13.

Backward compatibility

由于对可用类的应用默认限制, 一些 REST 动作可能停止工作。在这种情况下, 请调查为允许定义每个操作的类限制而引入的新接口, 这些接口是:

org.apache.struts2.rest.handler.AllowedClasses
org.apache.struts2.rest.handler.AllowedClassNames
org.apache.struts2.rest.handler.XStreamPermissionProvider

Workaround

最好的选择是，当不使用REST插件时，或仅限于服务器普通页面和 JSON时，删除 Struts REST插件

<constant name= "struts.action.extension" value= "xhtml,,json" />

Apache Struts2（ S2-052 ）远程代码执行漏洞威胁预警通告

绿盟科技发布公告称，公告全文如下

2017年9月5日，Apache Struts发布最新的安全公告，Apache Struts 2.5.x的REST插件存在远程代码执行的高危漏洞，漏洞编号为 CVE-2017-9805 （ S2-052 ）。漏洞的成因是由于使用XStreamHandler反序列化XStream实例的时候没有任何类型过滤导致远程代码执行。