保安警報 (A17-03-01): Apache Struts 漏洞


 

發布日期: 2017 年 3 月 8 日

  
  

描述:

Apache Struts 2 使用jakarta Multipart parser的上傳文件模組被發現存在一個漏洞,令攻擊者可以在受影響的應用程式伺服器上執行遠端程式碼。遠端攻擊者可以向受影響的系統發送一個帶有無效 Content-Type 值的特製URL來攻擊這個漏洞。概念驗證程式碼已在互聯網被公開。


受影響的系統:

  • Apache Struts 2.3.5 to 2.3.31
  • Apache Struts 2.5 to Struts 2.5.10

影響:

成功利用這個漏洞的攻擊可以導致洩漏資訊、網頁被塗改、後門軟件植入、及讓入侵者在受影響的系統上任意執行程式碼。


建議:

系統管理員應將Apache Struts2升級至2.3.32或2.5.10.1以應對以上問題。更新版本可從以下網址下載:


  • http://struts.apache.org/download.cgi
  • http://www-eu.apache.org/dist/struts/2.3.32/
  • http://www-eu.apache.org/dist/struts/2.5.10.1/

系統管理員應遵從Apache Community的建議,立即採取行動以降低風險。

在未能安裝修補程式前,建議參考以下網站的臨時解決方法:

  • https://cwiki.apache.org/confluence/display/WW/S2-045
  • https://cwiki.apache.org/confluence/display/S2PLUGINS/Pell+Multipart+Plugin
  • http://www.cnvd.org.cn/webinfo/show/4080

進一步資訊:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-02474
http://news.xinhuanet.com/itown/2017-03/07/c_136109084.htm
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5638

Back to Advisories