保安警報 (A17-12-01): Apache Struts 多個漏洞

描述:

Apache 發布了新版本的 Apache Struts 以應對影響使用「REST插件」系統的多個漏洞。遠端攻擊者可以向受影響的系統發送特製的 JSON 查詢來攻擊這個漏洞。

受影響的系統:

• Apache Struts 版本 2.5 至 2.5.14

影響:

成功利用這個漏洞的攻擊者可以導致服務受阻斷。

建議:

系統管理員應將 Apache Struts 版本升級至 2.5.14.1 以應對以上問題。更新版本可從以下網址下載:

• https://struts.apache.org/download.cgi

受影響系統的用戶應遵從產品供應商的建議，立即採取行動以降低風險。更多詳細資料，請瀏覽以下網址:

• https://cwiki.apache.org/confluence/display/WW/S2-054
• https://cwiki.apache.org/confluence/display/WW/S2-055

進一步資訊:

https://cwiki.apache.org/confluence/display/WW/S2-054
https://cwiki.apache.org/confluence/display/WW/S2-055
https://www.hkcert.org/my_url/zh/alert/17120401
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7525
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15707