阿里云
发表主题 回复主题
  • 3124阅读
  • 5回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-9805:Struts2 REST插件远程执行命令漏洞(S2-052)

级别: 论坛版主
发帖
233
云币
457
2017年9月5日,Struts官方发布一个严重级别的安全漏洞,该漏洞编号为:S2-052,在一定条件下,攻击者可以利用该漏洞远程发送精心构造的恶意数据包,获取业务数据或服务权限,存在高安全风险。 qZ]VS/5A  
具体详情如下:                                                                                                                        
漏洞编号: (R 2P< Zr  
CVE-2017-9805 R8W4 4I*R:  
漏洞名称: ?~y(--.t;T  
Struts2 REST插件远程执行命令漏洞(S2-052) ^Th"`Av5  
官方评级: J,M5<s[Xqt  
严重 Q1&dB{L  
漏洞描述: r`"#c7)  
Struts2使用REST插件使用XStream的实例xstreamhandler处理反序列化XML有效载荷时没有进行任何过滤,可以导致远程执行代码,攻击者可以利用该漏洞构造恶意的XML内容获取服务器权限。 e ~,'|~ C5  
漏洞利用条件和方式: &^D@(m7>{K  
使用REST插件条件下 Y,Zv0-"  
漏洞影响范围: %+W >+xRb  
  • Struts 2.3.x全系版本
  • Struts 2.5 - Struts 2.5.12
"9T`3cM0  
漏洞检测: A-`J!xj#/  
开发人员检查Struts是否使用了REST插件,并在受影响范围内。 Ewsg&CCN  
漏洞修复建议(或缓解措施): DWxh{h">  
  • 目前官方已经发布补丁,建议升级 Apache Struts 2.5.13、Apache Struts 2.3.34版本;
z7pXpy \  
  • 阿里云盾WAF 已发布该漏洞规则,您也可以选用WAF对利用该漏洞的攻击行为进行检测和防御,以规避安全风险。
J#Eh x|  
情报来源: Ck a]F2,  
  • https://cwiki.apache.org/confluence/display/WW/S2-052
cTx/Y&\9  
6zZR:ej  
BiCa "  
X',0MBQ0  
)P+GklI{4  
/%w[q:..h  
FAl6  
"fJ|DE&@<i  
ga9:*G!b{)  
z(68^-V=:  
I_s(yO4pw  
Ou,_l  
z6r/ w  
7f,W zvV  
)#Bfd(F  
?O Nw*"9  
m6<0 hP  
%-|q3 ^s  
-RDs{c`y%N  
}Cg~::,"  
Mwk_S Cy  
CxQ,yd;>  
6^u(PzlA|~  
BQg]$Tr?  
8QBL:7<  
S6X<3L`FfH  
[ 此帖被正禾在2017-09-07 21:43重新编辑 ]
级别: 小白
发帖
17
云币
22
只看该作者 沙发  发表于: 2017-09-06
Re【漏洞公告】CVE-2017-9805Struts2 REST插件远程执行命令漏洞S2-052
大半夜被这熊孩子给折腾醒,不知道POC检测工具什么时候能出来。
级别: 论坛版主
发帖
233
云币
457
只看该作者 板凳  发表于: 2017-09-06
回 1楼(送小孩) 的帖子
POC已经公开了,尽快升级吧!
级别: 小白
发帖
17
云币
22
只看该作者 地板  发表于: 2017-09-07
Re【漏洞公告】CVE-2017-9805Struts2 REST插件远程执行命令漏洞S2-052
S2-053   又双叒叕来了。。。应接不暇啊! kn\>ZgU  
https://cwiki.apache.org/confluence/display/WW/S2-053
级别: 论坛版主
发帖
233
云币
457
只看该作者 4楼 发表于: 2017-09-07
回 3楼(送小孩) 的帖子
心累。。。
级别: 新人
发帖
9
云币
9
只看该作者 5楼 发表于: 2017-09-12
Re【漏洞公告】CVE-2017-9805Struts2 REST插件远程执行命令漏洞S2-052
Struts2 都快被抛弃了吧? 5 Jhl4p}w  
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个