Apache 发布了新版本的 Apache Struts 以修补影响「REST插件」和「URLValidator」的多个漏洞。远端攻击者可以向受影响的系统发送特制付有无效XML的查询或异常的网址来攻击这个漏洞。
有报告指漏洞 S2-052 正受到活跃攻击
成功利用这个漏洞的攻击者可以导致服务受阻断及在受影响的系统上执行任意程式码。
系统管理员应将 Apache Struts 版本升级至 2.5.13 或 2.3.34 以应对以上问题。更新版本可从以下网址下载:
受影响系统的用户应遵从产品供应商的建议,立即采取行动以降低风险。
http://struts.apache.org/docs/s2-050.html
http://struts.apache.org/docs/s2-051.html
http://struts.apache.org/docs/s2-052.html
https://www.hkcert.org/my_url/zh/alert/17090601
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9793
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9804
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9805
http://blog.talosintelligence.com/2017/09/apache-struts-being-exploited.html