当前位置:论坛首页 > Windows面板

Apache Struts2 曝远程代码执行漏洞,宝塔面板不受影响

2017-3-8 11:44 [复制链接] 0 6044


宝塔声明:
Apache官网发布公告,公布一起针对J2EE框架Struts的远程代码执行漏洞,并将此漏洞编号为S2-045https://cwiki.apache.org/confluence/display/WW/S2-045漏洞级别为高危。
宝塔面板最新版本所使用的apache版本分别是2.2.32/2.4.25,不在影响范围内,故无需担心。如有其他重大安全漏洞曝光,宝塔会在第一时间确认核实。感谢支持。

漏洞描述:
Struts2是第二代基于Model-View-Controller(MVC)模型的java企业级web应用框架,并成为当时国内外较为流行的容器软件中间件。jakarta是apache组织下的一套Java解决方案的开源软件的名称,包括很多子项目。Struts就是jakarta的紧密关联项目。
Struts2 S2-045漏洞是基于Jakarta Multipart parser的文件上传模块在处理文件上传(multipart)的请求时候对异常信息做了捕获,并对异常信息做了OGNL表达式处理。但在在判断content-type不正确的时候会抛出异常并且带上Content-Type属性值,可通过精心构造附带OGNL表达的URL导致远程代码执行。

漏洞风险:
黑客可以利用该漏洞通过浏览器在远程服务器上执行任意系统命令(当上传的文件的Content-Type无效时,struts返回错误信息时调用了表达式使得命令被执行),将会对受影响站点造成严重影响,引发数据泄露、网页篡改、植入后门、成为肉鸡等安全事件。

修复方案:
升级Struts2版本至2.3.32 或者 2.5.10.1
下载地址:http://struts.apache.org/download.cgi#struts2510
2、临时缓解措施:
如用户不方便升级,可采取如下临时解决方案:
删除commons-fileupload-x.x.x.jar文件(会造成上传功能不可用)
使用道具 举报 只看该作者 回复
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

企业版年付运维跟进群

普通问题处理

论坛响应时间:72小时

问题处理方式:排队(仅解答)

工作时间:白班:9:00 - 18:00

紧急问题处理

论坛响应时间:10分钟

问题处理方式:1对1处理(优先)

工作时间:白班:9:00 - 18:00

工作时间:晚班:18:00 - 24:00

立即付费处理

工作时间:09:00至24:00

快速回复 返回顶部 返回列表