-
大小: 854KB文件類型: .rar金幣: 2下載: 0 次發布日期: 2021-05-08
- 語言: Java
- 標簽: struts2-core??
資源簡介
一、漏洞簡介
Apache Struts是美國阿帕奇(Apache)軟件基金會負責維護的一個開源項目,是一套用于創建企業級Java Web應用的開源MVC框架,主要提供兩個版本框架產品:Struts 1和Struts 2。
Apache Struts 2.3.5 - 2.3.31版本及2.5 - 2.5.10版本存在遠程代碼執行漏洞(CNNVD-201703-15
2,CVE-2017-5638)。該漏洞與Apache Struts2 (S2-045)遠程代碼執行漏洞原理基本相同,均是由于上傳功能的異常處理函數沒有正確處理用戶輸入的錯誤信息,導致遠程攻擊者可通過發送惡意的數據包,利用該漏洞在受影響服務器上執行任意命令。
二、漏洞危害
攻擊者可通過發送惡意構造的HTTP數據包利用該漏洞,在受影響服務器上執行系統命令,進一步可完全控制該服務器,造成拒絕服務、數據泄露、網站造篡改等影響。由于該漏洞利用無需任何前置條件(如開啟dmi,debug等功能)以及啟用任何插件,因此漏洞危害較為嚴重。
三、修復措施
目前,Apache官方已針對該漏洞發布安全公告,并且漏洞利用代碼已被公布在互聯網上,請受影響用戶及時檢查是否受該漏洞影響。另外,已通過升級方式修復了Apache Struts2 (S2-045)遠程代碼執行漏洞的用戶,不在該漏洞影響的范圍內。
【自查方式】
用戶可查看web目錄下/WEB-INF/lib/目錄下的struts-core.x.x.jar文件,如果這個版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之間則存在漏洞。
【升級修復】
受影響用戶可升級版本至Apache Struts 2.3.32 或 Apache Struts 2.5.10.1以消除漏洞影響。
官方公告: https://cwiki.apache.org/confluence/display/WW/S2-046
https://cwiki.apache.org/confluence/display/WW/S2-046

代碼片段和文件信息
- 上一篇:貪吃蛇JAVA源代碼帶注解
- 下一篇:帶有動畫的java龜兔賽跑源代碼 絕多好的
評論
共有 條評論