开发者社区> 问答> 正文

【漏洞公告】CVE-2017-5638:基于 Jakarta plugin插件的Struts远程代码执行漏洞(S2-045)

Apache Struts 2被曝存在远程命令执行漏洞,漏洞编号S2-045,CVE编号CVE-2017-5638,在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵。
有关该漏洞详情如下:
            



漏洞编号:
CVE-2017-5638
漏洞名称:
基于 Jakarta plugin插件的Struts 远程代码执行漏洞
官方评级:
高危
漏洞描述:
该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息,导致远程攻击者可通过修改HTTP请求头中的Content-Type值,构造发送恶意的数据包,利用该漏洞进而在受影响服务器上执行任意系统命令。
漏洞利用条件和方式:
黑客通过 Jakarta 文件上传插件实现 远程利用该漏洞执行代码。
漏洞影响范围:
  • Struts 2.3.5 - Struts 2.3.31
  • Struts 2.5 - Struts 2.5.10

漏洞修复建议(或缓解措施):
  • Struts 2默认用Jakarta的Common-FileUpload的文件上传解析器,这是存在漏洞的,默认为以下配置:struts.multipart.parser=jakarta,指定其他类型的解析器,以使系统避免漏洞的影响,指定使用COS的文件上传解析器struts.multipart.parser=cos或指定使用Pell的文件上传解析器
  • 阿里云建议您升级Struts 到Struts 2.3.32 或 Struts 2.5.10.1 版本
  • 阿里云云盾WAF已经支持该漏洞防御,点击查看“云盾WAF介绍

提醒:在升级前请做好快照备份。


情报来源:
  • https://cwiki.apache.org/confluence/display/WW/S2-045?from=groupmessage&isappinstalled=0

    


阿里云整套安全产品和服务 云盾 集阿里巴巴集团多年来安全技术研究积累的成果,同时结合阿里云计算平台强大的数据分析能力


最热活动:云产品5折起




展开
收起
正禾 2017-03-07 08:59:10 11942 0
2 条回答
写回答
取消 提交回答
  • 易码当先,码出精彩人生...
    Re【漏洞公告】CVE-2017-5638基于 Jakarta plugin插件的Struts远程代码执行漏洞
    2017-03-09 16:30:06
    赞同 展开评论 打赏
  • Re【漏洞公告】CVE-2017-5638基于 Jakarta plugin插件的Struts远程代码执行漏洞
    厉害了
    2017-03-07 09:52:30
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
低代码开发师(初级)实战教程 立即下载
冬季实战营第三期:MySQL数据库进阶实战 立即下载
阿里巴巴DevOps 最佳实践手册 立即下载

相关实验场景

更多