阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 9597阅读
  • 2回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-5638:基于 Jakarta plugin插件的Struts远程代码执行漏洞(S2-045)

级别: 论坛版主
发帖
241
云币
478
Apache Struts 2被曝存在远程命令执行漏洞,漏洞编号S2-045,CVE编号CVE-2017-5638,在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵。 )e4WAlg8c  
有关该漏洞详情如下: N&6_8=3z  
            
Y|{r vBKjf  
漏洞编号: 4+ASw N9  
CVE-2017-5638 u=p ;A1oy  
漏洞名称: Ss"|1]acP  
基于 Jakarta plugin插件的Struts远程代码执行漏洞 hQgk.$g  
官方评级: AzLbD2Pl  
高危 U%mkhWn  
漏洞描述: }-REBrb-  
该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息,导致远程攻击者可通过修改HTTP请求头中的Content-Type值,构造发送恶意的数据包,利用该漏洞进而在受影响服务上执行任意系统命令。 y3 ({(URU  
漏洞利用条件和方式: {] t\`fjrg  
黑客通过Jakarta 文件上传插件实现远程利用该漏洞执行代码。 ,!o\),N  
漏洞影响范围: t9Enk!@  
  • Struts 2.3.5 - Struts 2.3.31
  • Struts 2.5 - Struts 2.5.10
sD LVYD  
漏洞修复建议(或缓解措施): _&k'j)rg  
  • Struts 2默认用Jakarta的Common-FileUpload的文件上传解析器,这是存在漏洞的,默认为以下配置:struts.multipart.parser=jakarta,指定其他类型的解析器,以使系统避免漏洞的影响,指定使用COS的文件上传解析器struts.multipart.parser=cos或指定使用Pell的文件上传解析器
  • 阿里建议您升级Struts 到Struts 2.3.32 或 Struts 2.5.10.1 版本
  • 阿里云云盾WAF已经支持该漏洞防御,点击查看“云盾WAF介绍
\Dvl%:8   
提醒:在升级前请做好快照备份。 |<|28~#  
`^ieT#(O  
JcvHJ0X~a  
情报来源:
  • https://cwiki.apache.org/confluence/display/WW/S2-045?from=groupmessage&isappinstalled=0
A }>|tm7|  
    
QLn5#x~xb  
J8sJ~FnUj  
阿里云整套安全产品和服务云盾集阿里巴巴集团多年来安全技术研究积累的成果,同时结合阿里云计算平台强大的数据分析能力 SQO>}#qm  
Yv#J`b@y  
]y1$F Ir+  
最热活动:云产品5折起 _~X8/p/Qh  
LG/=+[\{E  
FbNH+?  
TTA{#[=7  
EmtDrx4!(f  
[ 此帖被正禾在2017-03-21 13:13重新编辑 ]
级别: 新人
发帖
4
云币
5
只看该作者 沙发  发表于: 2017-03-07
Re【漏洞公告】CVE-2017-5638基于 Jakarta plugin插件的Struts远程代码执行漏洞
厉害了
级别: 新人
发帖
1
云币
1
只看该作者 板凳  发表于: 2017-03-09
Re【漏洞公告】CVE-2017-5638基于 Jakarta plugin插件的Struts远程代码执行漏洞
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)