Apache Struts最新漏洞 远程代码执行漏洞预警

  1. 云栖社区>
  2. 博客>
  3. 正文

Apache Struts最新漏洞 远程代码执行漏洞预警

网站安全 2018-11-09 11:04:52 浏览643
展开阅读全文

2018年11月8日,SINE安全监控检测中心,检测到Apache Struts官方更新了一个Struts漏洞补丁,这个漏洞是Apache Struts目前最新的漏洞,影响范围较广,低于Apache Struts 2.3.35的版本都会受到此次Struts漏洞的攻击,目前apache官方更新的漏洞补丁,主要是修复commonsfileupload上传库出现的安全问题,这个库可以远程执行代码,上传木马后门到网站服务器中去。

e25fcce8ca1c4156b63e041b3c184b09.jpeg

Apache Struts 漏洞描述

某知名的安全组织向Apache Struts官方反馈了该漏洞的详细细节,其中就包括了之前版本出现的漏洞都是因为commons fileupload上传库而导致产生的口袋,目前的apache版本都在使用低版本的commons fileupload库,大多数都默认使用,导致攻击者可以利用上传漏洞,进行远程代码执行,提权,攻击服务器。Apache Struts 2.5.10以上的高版本,不受此次漏洞的影响。

Apache Struts漏洞级别 严重

Apache Struts 安全建议:

升级Apache Struts版本的到2.5.18以上的版本

升级Struts的上传库,commons fileupload的版本到最新版本1.3.3,Struts commons

fileupload

fileupload/download_fileupload.cgi

第三个安全建议:有些项目的开发与设计,可能牵扯到兼容性的问题,导致Apache Struts 不能直接升级到最新版本,这样的情况需要客户直接在Apache Struts 配置文件里修改安全参数,

参数如下:

<dependency>

<groupId>commons-fileupload</groupId>

<artifactId>commons-fileupload</artifactId>

<version>1.3.3</version>

</dependency>

如果对Apache Struts不是太熟悉的话,也可以直接使用CDN的防护系统,在CDN端做安全过滤,检测到Apache Struts攻击的时候,直接CDN前端拦截,前提是保障服务器的源IP不被暴露,防止攻击者利用host域名绑定来直接攻击服务器。

网友评论

作者关闭了评论
网站安全
+ 关注