NOVOTS KMS 词汇表 Glossary    联系我们 Contact Us
查询 Search  
   
按类别浏览 Browse by Category
NOVOTS KMS .: 病毒安全 .: 如何处理Apache Struts2 远程命令执行高危漏洞和开放重定向高危漏洞

如何处理Apache Struts2 远程命令执行高危漏洞和开放重定向高危漏洞

近期,CNCERT主办的国家信息安全漏洞共享平台收录了Apache Struts存在一个远程命令执行漏洞和一个开放重定向漏洞(编号:CNVD-2013-28972,对应CVE-2013-2251; CNVD-2013-28979,对应CVE-2013-2248)。利用漏洞,可发起远程攻击,轻则窃取网站数据信息,严重的可取得网站服务器控制权,构成信息泄露和运行安全威胁。现将有关情况通报如下: 一、漏洞情况分析 Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。它是WebWork和Struts社区合并后的产物。具体分析情况如下: 1、 Apache Struts远程命令执行漏洞由于Apache Struts2的action:、redirect:和redirectAction:前缀参数在实现其功能的过程中使用了Ognl表达式,并将用户通过URL提交的内容拼接入Ognl表达式中,从而造成攻击者可以通过构造恶意URL来执行任意Java代码,进而可执行任意命令。 2、 Apache Struts开放重定向漏洞Apache Struts 2DefaultActionMapper在处理短路径重定向参数前缀"redirect:"或"redirectAction:"时存在开放重定向漏洞,允许远程攻击者利用漏洞操作"redirect:"或"redirectAction:"后的信息,重定向URL到任意位置。 二、漏洞影响评估 CNVD对远程命令执行漏洞(CNVD-2013-28972)和开放重定向漏洞(CNVD-2013-28979)的评级为“高危”,由于redirect:和redirectAction:此两项前缀为Struts默认开启功能,因此ApacheStruts 2.3.15.1以下版本受到漏洞影响。该漏洞与在2012年对我国境内政府和重要信息系统部门、企事业单位网站造成严重威胁的漏洞(编号:CNVD-2013-25061,对应CVE-2013-1966)相比,技术评级相同且受影响版本更多。 三、漏洞处置建议 厂商已经发布Apache Struts 2.3.15.1以修复此安全漏洞,建议Struts用户及时升级到最新版本。 厂商安全公告:S2-016,S2-017 链接:http://struts.apache.org/release/2.3.x/docs/s2-016.html http://struts.apache.org/release/2.3.x/docs/s2-017.html 软件升级页面:http://struts.apache.org/download.cgi#struts23151

这篇文章对你多有用?

相关文章

article Struts2获得Session和Request对象
在Struts1.*中,要想访问request、response以及ses...

(No rating)  4-1-2012    Views: 1123   
article Struts2+Spring3+MyBatis框架整合
web.xml:

  2-25-2013    Views: 2356   

用户评语

添加评语
当前还没有评语.


.: .: .: .: .:
[ 登陆 ]
北京护航科技有限公司 2006

Novots Technologies Limited