最新動態更多
新聞公告 更多
優惠活動更多

【高危漏洞公告】Struts2遠程代碼執行漏洞公告

人文網

親愛的人文在線會員:

 

您好!

 

2017年3月6日,Apache Struts 2被曝存在遠程命令執行漏洞,漏洞編號:S2-045,CVE編號:CVE-2017-5638,官方評級為高危,該漏洞是由于在使用基于Jakarta插件的文件上傳功能條件下,惡意用戶可以通過修改HTTP請求頭中的Content-Type值來觸發該漏洞,進而執行任意系統命令,導致系統被黑客入侵。

 

為了確保您的業務可靠的運行,我們建議您通過以下措施防范此漏洞被利用,降低業務安全風險:

 

盡快排查并確認是否使用了Jakarta插件,如果使用了該插件,盡快升級到Struts 2.3.32 或 Struts 2.5.10.1 版本
 

漏洞編號

CVE-2017-5638

漏洞簡介

Struts使用的Jakarta解析文件上傳請求包不當,當遠程攻擊者構造惡意的Content-Type,可能導致遠程命令執行。

實際上在default.properties文件中,struts.multipart.parser的值有兩個選擇,分別是jakarta和pell(另外原本其實也有第三種選擇cos)。其中的jakarta解析器是Struts 2框架的標準組成部分。默認情況下jakarta是啟用的,所以該漏洞的嚴重性需要得到正視。

影響范圍

Struts 2.3.5 – Struts 2.3.31

Struts 2.5 – Struts 2.5.10

修復方案

 

如果你正在使用基于Jakarta的文件上傳Multipart解析器,請升級到Apache Struts 2.3.32或2.5.10.1版;或者也可以切換到不同的實現文件上傳Multipart解析器。

 

產品購買
域名注冊
云服務器
云空間
虛擬主機
服務器租用
服務器托管
企業郵箱
短信驗證碼平臺
開發業務
品牌互動網站設計
電子商務網站
政府/門戶大型網站
程序開發
Android開發
Ios(iphone/ipad)開發
APP Store發布
小程序開發
服務與支持
注冊/登錄
支付方式
幫助中心
提交工單
常用文檔下載
產品價格總覽
域名注冊攻略
如何選擇虛擬主機
備案專區
代理合作
人文精神
我們是誰
公司實力
發展歷程
人文觀點
案例中心
聯系我們
招聘信息
資訊中心
全站導航
掃描關注官方微信
手機人文
全國統一服務熱線:
028-8661 9097
海外用戶請撥打:+86-28-86619097


提交工單
老船长免费试玩