信息來源：國家互聯網應急中心

        近日，國家信息安全漏洞共享平臺（CNVD）收錄了 Apache Struts2的兩個中危漏洞，分別是：S2-054拒絕服務漏洞（CNVD-2017-35898，對CVE-2017-15707），S2-055反序列化漏洞（CNVD-2017-27693，對應CVE-2017-7525）。攻擊者可利用上述漏洞對目標系統(tǒng)進行Dos攻擊或反序列化代碼執(zhí)行攻擊。

        一、漏洞情況分析

        2017年12月1日，Apache Strusts 官方發(fā)布了Struts2的兩個中危漏洞，漏洞信息如下：

        S2-054拒絕服務漏洞：Apache Struts REST插件使用了過時的JSON-lib庫，擊者可以通過構造特制的JSON惡意請求造成DOS攻擊。

         S2-055反序列化漏洞：由于Apache Struts調用了存在反序列化漏洞的Jackson JSON庫，導致了反序列化漏洞的產生。

        CNVD對上述漏洞的綜合評級為“中危”。其中FasterXML Jackson-databind存在遠程代碼執(zhí)行漏洞在2017年8月1日，已被CNVD庫收錄（CNVD-2017-27693）。

        二、漏洞影響范圍

        Struts 2.5 – Struts 2.5.14

        三、防護建議

        S2-054修復建議：

        方法一：升級到Apache Struts版本2.5.14.1。

        方法二：使用Jackson處理程序替換默認的JSON-lib處理程序，替換方法：

       http://struts.apache.org/plugins/rest/#use-jackson-framework-as-json-contenttypehandler

        S2-055修復建議：

        方法一：升級到Apache Struts版本2.5.14.1。

        方法二：手動將項目中的com.fasterxml.jackson升級到版本2.9.2，詳情參考：https://github.com/FasterXML/jackson-databind/issues/1599#issuecomment-342983770 

        附：參考鏈接：

        https://cwiki.apache.org/confluence/display/WW/S2-054

        https://cwiki.apache.org/confluence/display/WW/S2-055 

        http://www.securityfocus.com/bid/99623

        http://www.cnvd.org.cn/flaw/show/CNVD-2017-27693

        http://www.cnvd.org.cn/flaw/show/CNVD-2017-35898