信息來源:FreeBuf
Apache Struts 2是世界上最流行的Java Web服務(wù)器框架之一。然而不幸的是,有安全研究員在Struts 2上發(fā)現(xiàn)了一枚遠(yuǎn)程代碼執(zhí)行漏洞。 目前Apache官方已發(fā)布公告,該漏洞危險級別為高危。
FreeBuf百科:Struts 2
Struts 2是Struts的下一代產(chǎn)品,是在 struts 1和WebWork的技術(shù)基礎(chǔ)上進(jìn)行了合并的全新的Struts 2框架。其全新的Struts 2的體系結(jié)構(gòu)與Struts 1的體系結(jié)構(gòu)差別巨大。Struts 2以WebWork為核心,采用攔截器的機(jī)制來處理用戶的請求,這樣的設(shè)計也使得業(yè)務(wù)邏輯控制器能夠與 ServletAPI完全脫離開,所以Struts 2可以理解為WebWork的更新產(chǎn)品。雖然從Struts 1到Struts 2有著太大的變化,但是相對于WebWork,Struts 2的變化很小。
今天有安全研究員在Struts 2上發(fā)現(xiàn)了一個嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2016-0785),所以Struts 2的開發(fā)者和用戶都應(yīng)該知曉這枚漏洞,以防被不法企圖者惡意利用。
受影響的Struts 2版本
Struts 2.0.0 – Struts Struts 2.3.24.1
修復(fù)建議
當(dāng)重分配傳入Struts標(biāo)簽屬性的參數(shù)時,總是進(jìn)行驗(yàn)證
建議用戶將Struts升級至 2.3.25版本。
FreeBuf將持續(xù)跟蹤報道該漏洞細(xì)節(jié),請關(guān)注。
*參考來源http://struts.apache.org/docs/s2-029.html,轉(zhuǎn)載請注明來自FreeBuf黑客與極客(FreeBuf.COM)