【高危】- Apache Struts2 曝任意代码执行漏洞(CVE-2017-5638)
■ 漏洞描述
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架。近日爆出的Struts2的漏洞是Struts使用的Jakarta解析文件上传请求包不当,当远程攻击者构造恶意的Content-Type,可能导致远程命令执行。实际上在default.properties文件中,struts.multipart.parser的值有两个选择,分别是jakarta和pell(另外原本其实也有第三种选择cos)。其中的jakarta解析器是Struts 2框架的标准组成部分,且默认情况下jakarta是启用的。
■ 影响范围
Apache Struts 2.3.5 – Struts 2.3.31、Struts 2.5 – Struts 2.5.10。
■ 漏洞修复
如果业务正在使用基于Jakarta的文件上传Multipart解析器,需升级到Apache Struts 2.3.32或2.5.10.1版。
官方版本地址:http://struts.apache.org/。
■ 缓解措施
切换到不同的实现文件上传Multipart解析器。
■ 漏洞详情
https://cwiki.apache.org/confluence/display/WW/S2-045?from=groupmessage&isappinstalled=0。
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架。近日爆出的Struts2的漏洞是Struts使用的Jakarta解析文件上传请求包不当,当远程攻击者构造恶意的Content-Type,可能导致远程命令执行。实际上在default.properties文件中,struts.multipart.parser的值有两个选择,分别是jakarta和pell(另外原本其实也有第三种选择cos)。其中的jakarta解析器是Struts 2框架的标准组成部分,且默认情况下jakarta是启用的。
■ 影响范围
Apache Struts 2.3.5 – Struts 2.3.31、Struts 2.5 – Struts 2.5.10。
■ 漏洞修复
如果业务正在使用基于Jakarta的文件上传Multipart解析器,需升级到Apache Struts 2.3.32或2.5.10.1版。
官方版本地址:http://struts.apache.org/。
■ 缓解措施
切换到不同的实现文件上传Multipart解析器。
■ 漏洞详情
https://cwiki.apache.org/confluence/display/WW/S2-045?from=groupmessage&isappinstalled=0。