搜索
搜索

關于

首頁
/
公司新聞
/
Struts 2又現安全漏洞 ,網御星云提供漏洞識別方法~
全部分類

Struts 2又現安全漏洞 ,網御星云提供漏洞識別方法~

  • 分類:公司新聞
  • 作者:
  • 來源:
  • 發布時間:2020-08-17 09:57
  • 訪問量:

【概要描述】網御星云漏洞解決方案

Struts 2又現安全漏洞 ,網御星云提供漏洞識別方法~

【概要描述】網御星云漏洞解決方案

  • 分類:公司新聞
  • 作者:
  • 來源:
  • 發布時間:2020-08-17 09:57
  • 訪問量:
詳情
 
近日,千瘡百孔的Struts2應用又曝出存在新的高危遠程代碼執行漏洞!
 
Apache Struts2框架是一個用于開發Java EE網絡應用程序的Web框架。8月13日,Apache Struts安全團隊為Struts 2發布了兩個新的Struts安全公告:S2-059(CVE-2019-0230)是一個潛在的遠程代碼執行漏洞,S2-060(CVE-2019-0233)是一個拒絕服務漏洞。
 
S2-059
 
通過構造,Struts 2允許開發人員對某些標簽屬性(id)的屬性值進行二次表達式解析,只有Struts標簽屬性中強制使用OGNL表達式時,某些場景下將可能導致遠程代碼執行。
 
更多信息:https://cwiki.apache.org/confluence/display/ww/s2-059
 
S2-060
 
在2.5.22之前的Struts中,將文件上傳到使用getter公開文件的Action時,攻擊者可以構造一個特殊的請求,可以將上傳文件的臨時上傳目錄設置為只讀訪問,從而造成訪問權限錯誤,進而造成拒絕服務攻擊。
 
更多信息:https://cwiki.apache.org/confluence/display/ww/s2-060
 
 
官網公告:
https://struts.apache.org/announce.html#a20200813
 
受影響版本:
Struts 2.0.0 – Struts 2.5.20
 
不受影響版本:
升級到Struts 2.5.22及以上 
 
解決措施及建議
 
這兩個問題都已在2019年11月發布的Apache Struts 2.5.22中修復,如果尚未升級到Struts 2.5.22,我們強烈建議所有用戶升級到Struts 2.5.22。
 
官方下載鏈接:https://struts.apache.org/download.cgi#struts-ga
 
如果升級struts2組件對您的業務有影響,請參考struts官方文章中如何防止ognl注入。(例如可以在沙箱中運行ognl表達式)
 
https://struts.apache.org/security/#proactively-protect-from-ognl-expression-injections-attacks-if-easily-applicable
 
S2-059
 
Struts 2的開發人員不要在標記屬性中使用%{...}或${...}引用未經驗證的用戶可修改輸入的語法。
 
1.將輸入參數的值重新分配給某些Struts的標簽屬性時,請始終對其進行驗證
2.考慮激活Proactive OGNL Expression Injection Protection
3.參考鏈接:https://cwiki.apache.org/confluence/display/ww/s2-059
 
S2-060
 
1.在struts-default.xml文件中,找到struts.excludedPackageNames常數,并將jave.io.以及java.nio.添加到value屬性中
2.參考鏈接:https://cwiki.apache.org/confluence/display/WW/S2-060
 
網御星云漏洞掃描解決方案
 
網御Web應用檢測系統V6.0于2020年8月16日緊急發布針對該漏洞的升級包,支持對該漏洞進行檢測,用戶升級網御Web應用檢測系統漏洞庫后即可對該漏洞進行掃描。升級包為7d_V2.6.6,升級包下載地址:https://leadsec.download.venuscloud.cn/
 
 
請網御Web應用檢測系統V6.0產品的用戶盡快升級到最新版本,及時對該漏洞進行檢測,以便盡快采取防范措施。
 
關鍵詞:

掃二維碼用手機看

上一個: 重慶市高新區領導班子赴網御星云參觀考察
下一個: 數據安全 | 充分發揮數據開放共享“壓艙石”的作用
上一個: 重慶市高新區領導班子赴網御星云參觀考察
下一個: 數據安全 | 充分發揮數據開放共享“壓艙石”的作用
這是描述信息

服務熱線:
400-810-7766 (24H)
E-mail:
shfw@leadsec.com.cn
地址:
北京市海淀區東北旺西路8號中關村軟件園21號

  • 抖音
    抖音
  • 微信
    微信
  • 微博
    微信

版權所有:北京網御星云信息技術有限公司    京ICP備05080314號     

這是描述信息

電話溝通

400-810-7766

微信咨詢

掃一掃添加
微信

成為伙伴

成為伙伴

視頻

視頻

TOP

永盛游戏官网