电话:400-100-6757
Welcome To Tcnet Technology
新闻中心
天创安全通告-Struts2 S2-032安全漏洞
2016-04-27
分享:


尊敬的客户:

Apache官方昨晚发布安全公告(官方编号S2-032/CVE编号CVE-2016-3081)Apache Struts2服务在开启动态方法调用(DMI)的情况下,可以被远程执行任意命令,安全威胁程度为紧急。该漏洞影响范围涉及银行、政府、证券、保险、互联网等行业,江苏天创为您提供了该漏洞的检测方法和修复措施:

漏洞主要问题:

1、可远程执行服务器脚本代码

用户可以构造http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}链接,command goes here可以换成是破坏脚本的路径和参数,比如fdisk -f等,造成破环系统无法运行的目的。

2、重定向漏洞

用户可以构造如知名网站淘宝的重定向连接,形如<a href="http://www.淘宝.com/item00001.html?redirect:http://黑客/getyourPassword">打折新款</a>,引导用户点击后进入钓鱼网站,在界面上让其进行登陆用以获取用户的密码。

 

漏洞影响范围:

1、Struts2 服务动态方法调用-DMI 开启;

2、使用Apache Struts 2.3.18 ~ 2.3.28 之间版本( 2.3.20.2 2.3.24.2 版本除外);

漏洞在线检测地址:

http://eye.vfsec.com/Tools/Struts

漏洞修复方法:

1、禁用动态方法

修改Struts2的配置文件,将“struts.enable.DynamicMethodInvocation”的值设置为false

比如:<constant name="struts.enable.DynamicMethodInvocation" value="false" />

2、升级软件版本

升级Struts版本至2.3.20.22.3.24.2或者2.3.28.1

升级地址:https://struts.apache.org/download.cgi#struts23281

工具下载地址:http://www.tcnet.com.cn/filedown/s2.exe

 

江苏天创科技有限公司

  2016年427