保安警報 (A17-07-02): Apache Struts 漏洞

描述:

應用了「Struts 2 Struts 1插件」的Apache Struts存在一個漏洞。遠端攻擊者可以向受影響的系統發送特製的URL來攻擊這個漏洞並任意執行程式碼。

受影響的系統:

• Apache Struts 2.3.x

影響:

成功利用這個漏洞的攻擊者可以在受影響的系統上執行任意程式碼。

建議:

受影響系統的管理員應遵從以下「Apache Software Foundation for Struts」的建議，立即採取行動以降低風險。

1. 升級Apache Struts2 至2.5.10.1以應對以上問題。更新版本可從以下網址下載:
   http://www-eu.apache.org/dist/struts/2.5.10.1/
   
   
2. 停用Struts 1插件及刪除之前若已設置的「Showcase Webspp」。
   
   
3. 檢視受影響應用程式的程式碼，當中開發人員應使用「resource keys」以替代傳送原本信息至「ActionMessage」
   
   

更多詳細資料，請瀏覽以下網址

http://struts.apache.org/docs/s2-048.html

進一步資訊:

http://struts.apache.org/docs/s2-048.html
http://struts.apache.org/announce.html#a20170707
http://www.cnvd.org.cn/flaw/show/CNVD-2017-13259
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9791