尊敬的客户:
Apache官方昨晚发布安全公告(官方编号S2-032/CVE编号CVE-2016-3081),Apache Struts2服务在开启动态方法调用(DMI)的情况下,可以被远程执行任意命令,安全威胁程度为紧急。该漏洞影响范围涉及银行、政府、证券、保险、互联网等行业,江苏天创为您提供了该漏洞的检测方法和修复措施:
漏洞主要问题:
1、可远程执行服务器脚本代码
用户可以构造http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}链接,command goes here可以换成是破坏脚本的路径和参数,比如fdisk -f等,造成破环系统无法运行的目的。
2、重定向漏洞
用户可以构造如知名网站淘宝的重定向连接,形如<a href="http://www.淘宝.com/item00001.html?redirect:http://黑客/getyourPassword">打折新款</a>,引导用户点击后进入钓鱼网站,在界面上让其进行登陆用以获取用户的密码。
漏洞影响范围:
1、Struts2 服务动态方法调用-DMI 开启;
2、使用Apache Struts 2.3.18 ~ 2.3.28 之间版本( 2.3.20.2 与 2.3.24.2 版本除外);
漏洞在线检测地址:
http://eye.vfsec.com/Tools/Struts
漏洞修复方法:
1、禁用动态方法
修改Struts2的配置文件,将“struts.enable.DynamicMethodInvocation”的值设置为false。
比如:<constant name="struts.enable.DynamicMethodInvocation" value="false" />;
2、升级软件版本
升级Struts版本至2.3.20.2、2.3.24.2或者2.3.28.1。
升级地址:https://struts.apache.org/download.cgi#struts23281
工具下载地址:http://www.tcnet.com.cn/filedown/s2.exe
江苏天创科技有限公司
2016年4月27日