關(guān)于Apache Struts2存在S2-054拒絕服務(wù)漏洞與S2-055反序列化漏洞的安全公告

發(fā)布時(shí)間:2017-12-04

近日,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄了 Apache Struts2的兩個(gè)中危漏洞,分別是:S2-054拒絕服務(wù)漏洞(CNVD-2017-35898,對(duì)CVE-2017-15707),S2-055反序列化漏洞(CNVD-2017-27693,對(duì)應(yīng)CVE-2017-7525)。攻擊者可利用上述漏洞對(duì)目標(biāo)系統(tǒng)進(jìn)行Dos攻擊或反序列化代碼執(zhí)行攻擊。

一、漏洞情況分析

2017年12月1日,Apache Strusts 官方發(fā)布了Struts2的兩個(gè)中危漏洞,漏洞信息如下:

S2-054拒絕服務(wù)漏洞:Apache Struts REST插件使用了過(guò)時(shí)的JSON-lib庫(kù),擊者可以通過(guò)構(gòu)造特制的JSON惡意請(qǐng)求造成DOS攻擊。

S2-055反序列化漏洞:由于Apache Struts調(diào)用了存在反序列化漏洞的Jackson JSON庫(kù),導(dǎo)致了反序列化漏洞的產(chǎn)生。

CNVD對(duì)上述漏洞的綜合評(píng)級(jí)為“中?!?。其中FasterXML Jackson-databind存在遠(yuǎn)程代碼執(zhí)行漏洞在2017年8月1日,已被CNVD庫(kù)收錄(CNVD-2017-27693)。

二、漏洞影響范圍

Struts 2.5 – Struts 2.5.14

三、防護(hù)建議

S2-054修復(fù)建議:

方法一:升級(jí)到Apache Struts版本2.5.14.1。

方法二:使用Jackson處理程序替換默認(rèn)的JSON-lib處理程序,替換方法:

http://struts.apache.org/plugins/rest/#use-jackson-framework-as-json-contenttypehandler

S2-055修復(fù)建議:

方法一:升級(jí)到Apache Struts版本2.5.14.1。

方法二:手動(dòng)將項(xiàng)目中的com.fasterxml.jackson升級(jí)到版本2.9.2,詳情參考:https://github.com/FasterXML/jackson-databind/issues/1599#issuecomment-342983770 

附:參考鏈接:

https://cwiki.apache.org/confluence/display/WW/S2-054

https://cwiki.apache.org/confluence/display/WW/S2-055 

http://www.securityfocus.com/bid/99623

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27693

http://www.cnvd.org.cn/flaw/show/CNVD-2017-35898 


 


聯(lián)系電話:010-62199788
公司地址:北京市昌平區(qū)七北路TBD云集中心(42號(hào)院)16號(hào)樓
Copyright 2015-2020 長(zhǎng)安通信科技有限責(zé)任公司版權(quán)所有 All Rights Reserved 京ICP備13045911號(hào)

掃碼關(guān)注

AV综合网站一区,亚洲中文字幕日产乱码高清,日本中文字幕乱码视频在线,无码a级毛片免费视频内谢,久久www免费人成_网站,国产模特私拍福利写真,精精国产XXXX视频在线播放,a在线视频播放免费视