保安警报 (A17-07-02): Apache Struts 漏洞

描述:

应用了「Struts 2 Struts 1插件」的Apache Struts存在一个漏洞。远端攻击者可以向受影响的系统发送特制的URL来攻击这个漏洞并任意执行程式码。

受影响的系统:

• Apache Struts 2.3.x

影响:

成功利用这个漏洞的攻击者可以在受影响的系统上执行任意程式码。

建议:

受影响系统的管理员应遵从以下「Apache Software Foundation for Struts」的建议，立即采取行动以降低风险。

1. 升级Apache Struts2 至2.5.10.1以应对以上问题。更新版本可从以下网址下载:
   http://www-eu.apache.org/dist/struts/2.5.10.1/
   
   
2. 停用Struts 1插件及删除之前若已设置的「Showcase Webspp」。
   
   
3. 检视受影响应用程式的程式码，当中开发人员应使用「resource keys」以替代传送原本信息至「ActionMessage」
   
   

更多详细资料，请浏览以下网址

http://struts.apache.org/docs/s2-048.html

进一步信息:

http://struts.apache.org/docs/s2-048.html
http://struts.apache.org/announce.html#a20170707
http://www.cnvd.org.cn/flaw/show/CNVD-2017-13259
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9791