安全資訊

漏洞預(yù)警:Apache Struts 2 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2016-0785)

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2016-03-20    瀏覽次數(shù):
 

信息來源:FreeBuf 

123.jpg

Apache Struts 2是世界上最流行的Java Web服務(wù)器框架之一。然而不幸的是,有安全研究員在Struts 2上發(fā)現(xiàn)了一枚遠(yuǎn)程代碼執(zhí)行漏洞。 目前Apache官方已發(fā)布公告,該漏洞危險級別為高危。

FreeBuf百科:Struts 2

Struts 2是Struts的下一代產(chǎn)品,是在 struts 1和WebWork的技術(shù)基礎(chǔ)上進(jìn)行了合并的全新的Struts 2框架。其全新的Struts 2的體系結(jié)構(gòu)與Struts 1的體系結(jié)構(gòu)差別巨大。Struts 2以WebWork為核心,采用攔截器的機(jī)制來處理用戶的請求,這樣的設(shè)計也使得業(yè)務(wù)邏輯控制器能夠與 ServletAPI完全脫離開,所以Struts 2可以理解為WebWork的更新產(chǎn)品。雖然從Struts 1到Struts 2有著太大的變化,但是相對于WebWork,Struts 2的變化很小。

今天有安全研究員在Struts 2上發(fā)現(xiàn)了一個嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2016-0785),所以Struts 2的開發(fā)者和用戶都應(yīng)該知曉這枚漏洞,以防被不法企圖者惡意利用。

受影響的Struts 2版本

Struts 2.0.0 – Struts Struts 2.3.24.1

修復(fù)建議

當(dāng)重分配傳入Struts標(biāo)簽屬性的參數(shù)時,總是進(jìn)行驗(yàn)證

建議用戶將Struts升級至 2.3.25版本。

FreeBuf將持續(xù)跟蹤報道該漏洞細(xì)節(jié),請關(guān)注。

*參考來源http://struts.apache.org/docs/s2-029.html,轉(zhuǎn)載請注明來自FreeBuf黑客與極客(FreeBuf.COM)

 
 

上一篇:“人機(jī)對戰(zhàn)”凸顯人工智能廣闊前景,必須抓住機(jī)遇

下一篇:2016年03月15日 每日安全資訊