Apache Struts2 曝远程代码执行漏洞,宝塔面板不受影响
<p><img src="/bbs/newsimg/ld.png"></p><br><div align="left"><div align="left"><b><font face="宋体">宝塔声明</font></b><b>:</b></div></div><div align="left">Apache官网发布公告,公布一起针对J2EE框架Struts的远程代码执行漏洞,并将此漏洞编号为S2-045<font face="宋体">(</font><a href="https://cwiki.apache.org/confluence/display/WW/S2-045" target="_blank"><u>https://cwiki.apache.org/confluence/display/WW/S2-045</u></a><font face="宋体">)</font><font face="宋体">漏洞级别为高危。</font></div><div align="left"><font face="宋体">宝塔面板最新版本所使用的</font>apache版本分别是2.2.32/2.4.25,不在影响范围内,故无需担心。如有其他重大安全漏洞曝光,宝塔会在第一时间确认核实。感谢支持。<font face="宋体"><br></font><br><b><font face="宋体">漏洞描述:</font></b></div><div align="left">Struts2是第二代基于Model-View-Controller(MVC)模型的java企业级web应用框架,并成为当时国内外较为流行的容器软件中间件。jakarta是apache组织下的一套Java解决方案的开源软件的名称,包括很多子项目。Struts就是jakarta的紧密关联项目。<br>Struts2 S2-045漏洞是基于Jakarta Multipart parser的文件上传模块在处理文件上传(multipart)的请求时候对异常信息做了捕获,并对异常信息做了OGNL表达式处理。但在在判断content-type不正确的时候会抛出异常并且带上Content-Type属性值,可通过精心构造附带OGNL表达的URL导致远程代码执行。<br><br><b><font face="宋体">漏洞风险:</font></b></div><div align="left"><font face="宋体">黑客可以利用该漏洞通过浏览器在远程服务器上执行任意系统命令</font>(<font face="宋体">当上传的文件的</font>Content-Type无效时,struts返回错误信息时调用了表达式使得命令被执行)<font face="宋体">,将会对受影响站点造成严重影响,引发数据泄露、网页篡改、植入后门、成为肉鸡等安全事件。</font><br><br><b><font face="宋体">修复方案:</font></b></div><div align="left"><font face="宋体">升级</font>Struts2版本至2.3.32 或者 2.5.10.1<br><font face="宋体">下载地址:</font><a href="#struts2510" target="_blank"><u>http://struts.apache.org/download.cgi#struts2510</u></a><br>2、临时缓解措施:<br><font face="宋体">如用户不方便升级,可采取如下临时解决方案:</font><br><font face="宋体">删除</font>commons-fileupload-x.x.x.jar文件(会造成上传功能不可用)<br></div>
页:
[1]