保安警報 (A18-11-01): Apache Struts 及其他基於 Java 系統的 Commons FileUpload 程式庫漏洞

描述:

在2016年發現的 Apache Commons FileUpload 程式庫漏洞影響多個 Apache Struts系統。遠端攻擊者可以向受影響的系統上載特製的檔案來攻擊這個漏洞。

受影響的系統:

• Apache Struts 2.5.11 及之前的版本
• Apache Struts 2.3.36 及之前的版本
• 其他使用了 Commons FileUpload 程式庫 1.3.3 之前版本的基於 Java 系統

影響:

成功利用這個漏洞可導致在受影響的系統上執行任意程式碼。

建議:

受影響系統的管理員應遵從 Apache Software Foundation 給 Stuts 的建議，立即採取行動以降低風險。

• Apache Struts 2.5.11 及之前的版本系統管理員應將 Apache Struts 升級至最新版本以應對以上問題。最新的版本可從以下網址下載:
  https://struts.apache.org/download.cgi
  
  
• Apache Struts 2.3.36 及之前的版本
  產品供應商目前還未為 Apache Struts 2.3.x 版本的提供修補程式，系統管理員應自行手動更新受影響的 Commons FileUpload 程式庫至最新的 1.3.3 版本。

- 更換在 WEB-INF/lib 內的 "commons-fileupload" jar 檔案；或
- 為 Maven-based projects 加入以下的 dependency:

<dependency>
     <groupId>commons-fileupload</groupId>
     <artifactId>commons-fileupload</artifactId>
     <version>1.3.3</version>
</dependency>

請參閱以下網址以了解更多資料:
http://mail-archives.us.apache.org/mod_mbox/www-announce/201811.mbox/%3CCAMopvkMo8WiP%3DfqVQuZ1Fyx%3D6CGz0Epzfe0gG5XAqP1wdJCoBQ%40mail.gmail.com%3E

• 其他基於 Java 系統
  除了 Apache Struts，其他基於 Java 系統也會使用 Commons FileUpload 程式庫。系統管理員應檢查其他系統有否使用含有漏洞的程式庫，若有發現便應為這些程式庫進行相應的更新。

進一步資訊:

https://www.us-cert.gov/ncas/current-activity/2018/11/05/Apache-Releases-Security-Advisory-Apache-Struts
http://mail-archives.us.apache.org/mod_mbox/www-announce/201811.mbox/%3CCAMopvkMo8WiP%3DfqVQuZ1Fyx%3D6CGz0Epzfe0gG5XAqP1wdJCoBQ%40mail.gmail.com%3E
https://issues.apache.org/jira/browse/FILEUPLOAD-279
https://nvd.nist.gov/vuln/detail/CVE-2016-1000031
https://issues.apache.org/jira/browse/WW-4812
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1000031