保安警報 (A17-07-02): Apache Struts 漏洞


 

發布日期: 2017 年 7 月 10 日

  
  

描述:

應用了「Struts 2 Struts 1插件」的Apache Struts存在一個漏洞。遠端攻擊者可以向受影響的系統發送特製的URL來攻擊這個漏洞並任意執行程式碼。


受影響的系統:

  • Apache Struts 2.3.x

影響:

成功利用這個漏洞的攻擊者可以在受影響的系統上執行任意程式碼。


建議:

受影響系統的管理員應遵從以下「Apache Software Foundation for Struts」的建議,立即採取行動以降低風險。

1. 升級Apache Struts2 至2.5.10.1以應對以上問題。更新版本可從以下網址下載:

http://www-eu.apache.org/dist/struts/2.5.10.1/

2. 停用Struts 1插件及刪除之前若已設置的「Showcase Webspp」。

3. 檢視受影響應用程式的程式碼,當中開發人員應使用「resource keys」以替代傳送原本信息至「ActionMessage」

更多詳細資料,請瀏覽以下網址

http://struts.apache.org/docs/s2-048.html


進一步資訊:

http://struts.apache.org/docs/s2-048.html
http://struts.apache.org/announce.html#a20170707
http://www.cnvd.org.cn/flaw/show/CNVD-2017-13259
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9791


Back to Advisories