最新动态更多
新闻公告 更多
优惠活动更多

【高危漏洞公告】Struts2远程代码执行漏洞公告

人文网

亲爱的人文在线会员:

 

您好!

 

2017年3月6日,Apache Struts 2被曝存在远程命令执行漏洞,漏洞编号:S2-045,CVE编号:CVE-2017-5638,官方评级为高危,该漏洞是由于在使用基于Jakarta插件的文件上传功能条件下,恶意用户可以通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行任意系统命令,导致系统被黑客入侵。

 

为了确保您的业务可靠的运行,我们建议您通过以下措施防范此漏洞被利用,降低业务安全风险:

 

尽快排查并确认是否使用了Jakarta插件,如果使用了该插件,尽快升级到Struts 2.3.32 或 Struts 2.5.10.1 版本
 

漏洞编号

CVE-2017-5638

漏洞简介

Struts使用的Jakarta解析文件上传请求包不当,当远程攻击者构造恶意的Content-Type,可能导致远程命令执行。

实际上在default.properties文件中,struts.multipart.parser的值有两个选择,分别是jakarta和pell(另外原本其实也有第三种选择cos)。其中的jakarta解析器是Struts 2框架的标准组成部分。默认情况下jakarta是启用的,所以该漏洞的严重性需要得到正视。

影响范围

Struts 2.3.5 – Struts 2.3.31

Struts 2.5 – Struts 2.5.10

修复方案

 

如果你正在使用基于Jakarta的文件上传Multipart解析器,请升级到Apache Struts 2.3.32或2.5.10.1版;或者也可以切换到不同的实现文件上传Multipart解析器。

 

产品购买
域名注册
云服务器
云空间
虚拟主机
服务器租用
服务器托管
企业邮箱
短信验证码平台
开发业务
品牌互动网站设计
电子商务网站
政府/门户大型网站
程序开发
Android开发
Ios(iphone/ipad)开发
APP Store发布
小程序开发
服务与支持
注册/登录
支付方式
帮助中心
提交工单
常用文档下载
产品价格总览
域名注册攻略
如何选择虚拟主机
备案专区
人文精神
我们是谁
公司实力
发展历程
人文观点
案例中心
联系我们
招聘信息
资讯中心
全站导航
扫描关注官方微信
手机人文
全国统一服务热线:
028-6787 2288
海外用户请拨打:+86-28-86619097


提交工单