保安警报 (A18-11-01): Apache Struts 及其他基于 Java 系统的 Commons FileUpload 程式库漏洞

描述:

在2016年发现的 Apache Commons FileUpload 程式库漏洞影响多个 Apache Struts系统。远端攻击者可以向受影响的系统上载特制的档案来攻击这个漏洞。

受影响的系统:

• Apache Struts 2.5.11 及之前的版本
• Apache Struts 2.3.36 及之前的版本
• 其他使用了 Commons FileUpload 程式库 1.3.3 之前版本的基于 Java 系统

影响:

成功利用这个漏洞可导致在受影响的系统上执行任意程式码。

建议:

受影响系统的管理员应遵从 Apache Software Foundation 给 Stuts 的建议，立即采取行动以降低风险。

• Apache Struts 2.5.11 及之前的版本系统管理员应将 Apache Struts 升级至最新版本以应对以上问题。最新的版本可从以下网址下载:
  https://struts.apache.org/download.cgi
  
  
• Apache Struts 2.3.36 及之前的版本
  产品供应商目前还未为 Apache Struts 2.3.x 版本的提供修补程式，系统管理员应自行手动更新受影响的 Commons FileUpload 程式库至最新的 1.3.3 版本。

- 更换在 WEB-INF/lib 内的 "commons-fileupload" jar 档案；或
- 为 Maven-based projects 加入以下的 dependency:

<dependency>
     <groupId>commons-fileupload</groupId>
     <artifactId>commons-fileupload</artifactId>
     <version>1.3.3</version>
</dependency>

请参阅以下网址以了解更多资料:
http://mail-archives.us.apache.org/mod_mbox/www-announce/201811.mbox/%3CCAMopvkMo8WiP%3DfqVQuZ1Fyx%3D6CGz0Epzfe0gG5XAqP1wdJCoBQ%40mail.gmail.com%3E

• 其他基于 Java 系统
  除了 Apache Struts，其他基于 Java 系统也会使用 Commons FileUpload 程式库。系统管理员应检查其他系统有否使用含有漏洞的程式库，若有发现便应为这些程式库进行相应的更新。

进一步信息:

https://www.us-cert.gov/ncas/current-activity/2018/11/05/Apache-Releases-Security-Advisory-Apache-Struts
http://mail-archives.us.apache.org/mod_mbox/www-announce/201811.mbox/%3CCAMopvkMo8WiP%3DfqVQuZ1Fyx%3D6CGz0Epzfe0gG5XAqP1wdJCoBQ%40mail.gmail.com%3E
https://issues.apache.org/jira/browse/FILEUPLOAD-279
https://nvd.nist.gov/vuln/detail/CVE-2016-1000031
https://issues.apache.org/jira/browse/WW-4812
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1000031