Apache Struts2 再曝高危漏洞，深信服助您进行本地检测

近日，Apache Struts2 发布的最新安全公告S2-029中显示，Struts2 存在远程代码执行漏洞。Struts 2.0.0 – Struts2.3.24.1 版本均受到该漏洞影响。这个漏洞危险级别被定义为高危，漏洞CVE 编号：CVE-2016-0785。目前，深信服提供了Apache Struts2 S2-029 远程代码执行漏洞的本地检测方案。

背景介绍

Struts2 是全球使用最广泛的Javaweb 服务器框架之一。Struts2 是Struts 的下一代产品，是在struts1和WebWork 的技术基础上进行了合并的全新的Struts2 框架。

 

之前S2-005,S2-009,S2-013,S2-016,S2-20 都存在远程命令执行漏洞，使得大量的网站系统遭受入侵。因此，该漏洞一经曝光就在安全圈内引起轩然大波。

 

 漏洞概要

S2-029 漏洞产生原因主要在于，Struts2的标签库使用OGNL 表达式来访问ActionContext 中的对象数据，为了能够访问到ActionContext 中的变量，Struts2 将ActionContext 设置为OGNL 的上下文，并将OGNL 的根对象加入ActionContext 中。

 

用户可以控制特定标签的属性，通过OGNL 二次计算可以执行任意命令。例如：

<p>parameters: <s:propertyvalue="#parameters.msg" /></p> 

 

这个标签就调用了OGNL 进行取值，Struts2 会解析value 中的值，并当作OGNL 表达式进行执行。

 

 OGNL第一次计算：

 OGNL表达式为#parameters.msg，计算后得到parameters的属性，并将其属性值赋值给value。

 

 OGNL第二次计算：

对上面获取的属性值继续做OGNL表达式执行。

 

 漏洞检测

深信服提供了Apache Struts2 S2-029 远程代码执行漏洞的本地检测方案：

1、新建文件test.jsp，文件内容如下图所示：

2、将上述test.jsp文件放入网站根目录；

3、打开浏览器访问文件test.jsp，例如：http://www.xxx.com/test.jsp；

4、查看网站服务器/tmp 目录下是否有sangfor_test文件生成，若有此文件生成，则证明网站存在Apache Struts2 S2-029 远程代码执行漏洞。

 

该检测方案已在深信服下一代防火墙主页进行实时提醒，如果您未购买下一代防火墙设备，请访问深信服安全中心获取检测工具：

http://sec.sangfor.com.cn/vulns/287.html

 

修复建议

1、建议用户严格验证新添加的 Struts 标签参数的属性；

2、建议用户将Struts升级至 2.3.26版本；

3、对于暂时无法进行升级的低版本用户，建议修改系统RestActionMapper.java 源文件，防止OGNL 表达式多次执行，具体修改方法如下图：

点击以下链接，即可访问深信服安全中心获取检测工具：

http://sec.sangfor.com.cn/vulns/287.html

 

 

 

 

标签： 安全 代码 防火墙 防火墙设备 服务器 漏洞 网站 网站服务器 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。