阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 2150阅读
  • 1回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-5638:基于Jakarta plugin插件的Struts远程代码执行漏洞(S2-046)

级别: 论坛版主
发帖
241
云币
478
Apache Struts 官方再次发布公告,Struts2再次发现漏洞,官方将最新补丁命名为S2-046,从公布的补丁说明来看,该补丁和S2-045的CVE编号一致约为CVE-2017-5638。  Z,Z4Sp  
有关该漏洞详情如下: RNMd,?dj  
                      
bMp[:dw`y  
漏洞编号: \fD)|   
CVE-2017-5638 49?wEm#  
漏洞名称: H,q-*Kk  
基于Jakarta plugin插件的Struts远程代码执行漏洞(S2-046)  Ww&r  
官方评级: k+5l  
高危 # X`t~Y'  
漏洞描述: .X](B~\!  
该漏洞是在使用[font=&amp]Jakarta Multipart解析器执行文件上传时可能的RCE(类似于S2-045)。 @yj$  
漏洞利用条件和方式: $2J[lt?%  
黑客通过Jakarta 文件上传插件构建文件名内容构造恶意的OGNL内容,实现远程利用该漏洞执行代码。 Hq;*T3E  
S2-046有两个利用方式一个是Content-Disposition的filename存在空字节; =v:}{~M^$  
另一个是Content-Disposition的filename不存在空字节。 WZ6'"Cz`  
其中,当Content-Disposition的filename不存在空字节并想要利用成功的话,还需要满足以下两个条件: 9pMXjsE   
  • a. Content-Length 的长度值需超过Struts2允许上传的最大值(2M);
  • b.数据流需要经过JakartaStreamMultiPartRequest。(在Struts使用Jakarta默认配置时,数据流并没有经过JakartaStreamMultiPartRequest,如果struts.xml包括一下配置,则说明数据流经过了JakartaStreamMultiPartRequest: )
D_)N!,i  
<constant name="struts.multipart.parser" value="jakarta-stream" /> r"&uW !~0  
漏洞影响范围: R}E$SmFg  
  • Struts 2.3.5 - Struts 2.3.31
  • Struts 2.5 - Struts 2.5.10
=_=0l+\}  
漏洞修复建议(或缓解措施): 5I>a|I!j  
  • 严格过滤 Content-Type、filename里的内容,严禁ognl表达式相关字段;
  • 如果您使用基于Jakarta插件,强烈建议您升级到Apache Struts 2.3.32或2.5.10.1版本;
  • 您可以使用阿里云盾态势感知产品进行检测是否存在此漏洞;
  • 同时可以选用阿里云云盾WAF对该漏洞进行防御,点击查看“云盾WAF介绍
jb83Y>  
提醒:在升级前请做好快照备份。 n3" @E<rW  
情报来源:    I1 +A$<Fa  
  • https://help.aliyun.com/knowledge_detail/51234.html
  • https://help.aliyun.com/knowledge_detail/51840.html
  • http://struts.apache.org/docs/s2-045.html
  • http://struts.apache.org/docs/s2-046.html
  • https://community.hpe.com/t5/Security-Research/Struts2-046-A-new-vector/ba-p/6949723#
8I]rC<O6:  
cES8%UC^i  
K +l-A>Ic  
阿里云整套安全产品和服务云盾集阿里巴巴集团多年来安全技术研究积累的成果,同时结合阿里云计算平台强大的数据分析能力 vtw97G  
Sah!|9  
-,qGEJ  
最热活动:云产品5折起 c1M *w9o  
ufB9\yl{~  
iit 5IV  
Aj{G=AT  
f64}#E|w  
RH^; M-'  
;-quK%VO!  
#}+_Hy  
vs2xx`Y<Lq  
Q;k D Jo  
lFV\Go  
30{+gYA  
xzb{g,c   
<Q@{6  
xgJyG.?  
IXU~& 5&J  
[ 此帖被正禾在2017-03-27 10:18重新编辑 ]
级别: 总版主
发帖
7170
云币
15705

只看该作者 沙发  发表于: 2017-03-21
Re:【漏洞公告】CVE-2017-5638:基于Jakarta plugin插件的Struts远程代码执行漏洞(S ..
又要升级了。。。。。。。。。。
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)