Apache Struts 2 使用jakarta Multipart parser的上傳文件模組被發現存在一個漏洞,令攻擊者可以在受影響的應用程式伺服器上執行遠端程式碼。遠端攻擊者可以向受影響的系統發送一個帶有無效 Content-Type 值的特製URL來攻擊這個漏洞。概念驗證程式碼已在互聯網被公開。
成功利用這個漏洞的攻擊可以導致洩漏資訊、網頁被塗改、後門軟件植入、及讓入侵者在受影響的系統上任意執行程式碼。
系統管理員應將Apache Struts2升級至2.3.32或2.5.10.1以應對以上問題。更新版本可從以下網址下載:
系統管理員應遵從Apache Community的建議,立即採取行動以降低風險。
在未能安裝修補程式前,建議參考以下網站的臨時解決方法:
http://www.cnvd.org.cn/flaw/show/CNVD-2017-02474
http://news.xinhuanet.com/itown/2017-03/07/c_136109084.htm
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5638