产品咨询:4000 258 365
|
申请产品演示
|
产品咨询:4000 258 365
|
申请产品演示
|
背景介绍
近日,安全研究人员发现著名j2ee框架——struts2存在远程代码执行的漏洞,struts2官方已经确认该漏洞(s2-045),并定级为高危漏洞。
struts2 的使用范围及其广泛,国内外均有大量厂商使用该框架。
struts2是一个基于mvc设计模式的web应用框架,它本质上相当于一个servlet,在mvc设计模式中,struts2作为控制器(controller)来建立模型与视图的数据交互。struts 2是struts的下一代产品,是在 struts 1和webwork的技术基础上进行了合并的全新的struts 2框架。(来源:百度百科)
漏洞描述
使用jakarta插件处理文件上传操作时可能导致远程代码执行漏洞。
漏洞影响
攻击者可以通过构造http请求头中的content-type值可能造成远程代码执行。
poc(来源于网络:http://www.cnblogs.com/milantgh/p/6512739.html )
修复建议
1. 严格过滤 content-type 里的内容,严禁ognl表达式相关字段。
2. 如果您使用基于jakarta插件,请升级到apache struts 2.3.32或2.5.10.1版本。
k8凯发天生赢家官网公告
https://cwiki.apache.org/confluence/display/ww/s2-045
补丁地址
struts 2.3.32:https://cwiki.apache.org/confluence/display/ww/version notes 2.3.32
struts 2.5.10.1:https://cwiki.apache.org/confluence/display/ww/version notes 2.5.10.1
试用申请
