通知通报

您当前的位置是:首页>警务资讯>历史性专题>安网2017>通知通报 > 详细内容

关于Struts2开发框架存在高危漏洞的情况通报

来源:日博365娱乐城网络警察支队作者:日博365娱乐城网络警察支队发布时间:2017年06月12日 浏览次数: 次 [字体: ]

近日,国内安全机构研究发现,J2EE框架—Struts2存在远程代码执行漏洞,目前已得到Struts官方确认(漏洞编号S2-045,CVE编号:cve-2017-5638 ),定级为高风险。黑客可以利用该漏洞通过浏览器在远程服务器上执行任意系统命令,会对受影响站点造成严重危害,引发数据泄露、网页篡改、植入后门、成为肉鸡等安全事件。

该漏洞可能影响到国内外大多数使用Struts2开发框架的站点,受影响的软件版本包括:Struts2.3.5-2.3.31, Struts2.5-Sruts2.5.10

鉴于该漏洞危害性较大,请各单位迅速组织技术维护人员对本单位网站进行全面检查,发现使用Struts2开发框架的,及时核查修复漏洞,加强安全防护。

附漏洞修复的参考方法:

方式1:升级struts2,下载链接https://dist.apache.org/repos/dist/release/struts/2.3.32/https://dist.apache.org/repos/dist/release/struts/2.5.10.1/ 

方法2:修改struts2组件中的default.properties文件,将struts.multipart.parser的值由jakarta更改为pell    

方法3: 通过WAF等过滤方式对Content-Type中入侵的关键字:DEFAULT_MEMBER_ACCESS做过滤。

 

 

 

日博365娱乐城网络警察支队

                                                   201739