免费产品试用
资讯中心
思客云找八哥紧急发布规则库,全面检查Struts2 远程代码执行漏洞(S2-048)

Apache Struts2 远程代码执行漏洞(S2-048)

发布日期:2017年7月7日

CVE ID:CVE-2017-9791

受影响的版本:

Apache Struts Version: 2.3.x

不受影响的版本:

Apache Struts Version:2.5.10.1

综述:

2017年7月7日,Apache Struts发布最新的安全公告,漏洞编号为S2-048,该漏洞存在Struts2的Struts1一个Showcase插件Action Message类中,通过构建不可信的输入实现远程命令攻击,存在安全风险。

 

 

 

具体详情如下:

漏洞自查:

用户可通过以下方法进行漏洞自查:

在请求参数中加入如下代码

${#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('test','test')}

如在Response Header中出现test:test字段,则表示存在漏洞。

 

 

 

漏洞修复建议(或缓解措施):

关闭Showcase插件

建议升级到最新版本2.5.10.1 地址:https://struts.apache.org/download.cgi#struts25101

开发者通过使用resource keys替代将原始消息直接传递给ActionMessage的方式。如下所示

messages.add("msg", new ActionMessage("struts1.gangsterAdded", gform.getName()));

一定不要使用如下的方式

messages.add("msg", new ActionMessage("Gangster " + gform.getName() + " was added"));

信息来源:

Apache Sturts官方安全公告

https://cwiki.apache.org/confluence/display/WW/S2-048

“找八哥”现全部支持对其代码检查

思客云紧急发布新的安全编码规则文件,可以对用户的代码时行全部安全检查,查找所有可能的安全风险点。如下图所示:

 

 

 

Copyright 2016 All Rights Reserved 思客云(北京)软件技术有限公司  京ICP备16032430号