关于Apache Struts2 新增远程命令执行高危漏洞的情况通报
2014-01-16 10:09
756 查看
近期,CNCERT主办的国家信息安全漏洞共享平台收录了Apache Struts存在一个远程命令执行高危漏洞(编号:CNVD-2013-25061,对应CVE-2013-1966)。综合利用漏洞,可发起远程攻击,轻则窃取网站数据信息,严重的可取得网站服务器控制权,构成信息泄露和运行安全威胁。现将有关情况通报如下:
一、漏洞情况分析
Apache Struts2 是第二代基于Model-View-Controller (MVC)模型的JAVA企业级WEB应用框架。根据分析结果,Apache Struts2的s:a和s:url标签都提供了一个includeParams属性,当该属性被设置为get或all时,Apache Struts2会将用户提交的参数值作为OGNL表达式执行。攻击者通过构造特定的OGNL表达式,进而执行Java代码或操作系统指令。
二、漏洞影响评估
CNVD对该漏洞的评级为“高危”,Apache Struts 2.0.0 - 2.3.14受到漏洞影响。该漏洞与在2012年对我国境内政府和重要信息系统部门、企事业单位网站造成严重威胁的漏洞(CNVD-2012-09285,对应CVE-2012-0392)相比,利用前提条件有所限制,但技术评级相同且受影响版本更多。
2013年4月起,CNVD就陆续接收到漏洞研究者针对该漏洞的相关网站测试案例报告,当中包括多种形式的涉及Windows/Linux平台的漏洞利用代码。
三、漏洞处置建议
5月22日,Apache官方提供了用于修复漏洞的软件升级版本Struts 2.3.14.1,但根据CNVD成员单位测试结果,该版本并未彻底修复漏洞,部分利用代码仍可以成功发起攻击。相关建议如下:
(一)相关用户应密切关注厂商发布的安全公告,下载软件最新版本,做好升级部署。
(二)可以采用临时措施,将页面中使用的includeParams参数值暂时设置为none。(注意:这有可能导致关联代码无法实现原有的一些功能。)
CNCERT/CNVD将继续跟踪事件后续情况,做好国内相关用户受影响情况的监测和预警工作。同时,请国内相关单位做好信息系统应用情况排查工作,及时采取措施。如需技术支援,请联系CNVD。电子邮箱:vreport@cert.org.cn,联系电话:010-82990286。
参考链接:
https://cwiki.apache.org/confluence/display/WW/S2-013 http://www.cnvd.org.cn/flaw/show/CNVD-2012-25061 http://www.nsfocus.net/vulndb/23747
http://www.cnvd.org.cn/flaw/show/CNVD-2013-28979
一、漏洞情况分析
Apache Struts2 是第二代基于Model-View-Controller (MVC)模型的JAVA企业级WEB应用框架。根据分析结果,Apache Struts2的s:a和s:url标签都提供了一个includeParams属性,当该属性被设置为get或all时,Apache Struts2会将用户提交的参数值作为OGNL表达式执行。攻击者通过构造特定的OGNL表达式,进而执行Java代码或操作系统指令。
二、漏洞影响评估
CNVD对该漏洞的评级为“高危”,Apache Struts 2.0.0 - 2.3.14受到漏洞影响。该漏洞与在2012年对我国境内政府和重要信息系统部门、企事业单位网站造成严重威胁的漏洞(CNVD-2012-09285,对应CVE-2012-0392)相比,利用前提条件有所限制,但技术评级相同且受影响版本更多。
2013年4月起,CNVD就陆续接收到漏洞研究者针对该漏洞的相关网站测试案例报告,当中包括多种形式的涉及Windows/Linux平台的漏洞利用代码。
三、漏洞处置建议
5月22日,Apache官方提供了用于修复漏洞的软件升级版本Struts 2.3.14.1,但根据CNVD成员单位测试结果,该版本并未彻底修复漏洞,部分利用代码仍可以成功发起攻击。相关建议如下:
(一)相关用户应密切关注厂商发布的安全公告,下载软件最新版本,做好升级部署。
(二)可以采用临时措施,将页面中使用的includeParams参数值暂时设置为none。(注意:这有可能导致关联代码无法实现原有的一些功能。)
CNCERT/CNVD将继续跟踪事件后续情况,做好国内相关用户受影响情况的监测和预警工作。同时,请国内相关单位做好信息系统应用情况排查工作,及时采取措施。如需技术支援,请联系CNVD。电子邮箱:vreport@cert.org.cn,联系电话:010-82990286。
参考链接:
https://cwiki.apache.org/confluence/display/WW/S2-013 http://www.cnvd.org.cn/flaw/show/CNVD-2012-25061 http://www.nsfocus.net/vulndb/23747
http://www.cnvd.org.cn/flaw/show/CNVD-2013-28979
相关文章推荐
- Apache Struts2 多个前缀参数远程命令执行漏洞及测试方法
- 9.漏洞验证系列--Apache Struts2 远程命令执行(S2-045)
- 【高危漏洞预警】CVE-2017-9805:Struts2 REST插件远程执行命令漏洞(S2-052)
- Apache Struts2远程命令执行漏洞呈爆发趋势
- CNNVD:关于Apache Struts2(S2-045)漏洞情况的通报
- Apache Struts2 远程命令执行漏洞
- Apache Struts2 includeParams属性远程命令执行漏洞(CVE-2013-1966)
- 【S2-052】Struts2远程命令执行漏洞(CVE-2017-9805)
- CVE-2017-9805:Struts2 REST插件远程执行命令漏洞(S2-052) 分析报告
- 利用最新struts2远程执行命令漏洞渗透网站的演示
- Apache Struts远程命令执行漏洞、开放式式重定向漏洞
- Struts2再爆远程命令执行漏洞![W3bSafe]Struts2-048 Poc Shell及防御修复方案抢先看!
- 网站安全加固之apache环境S2-057漏洞 利用POC 远程执行命令漏洞复现
- Struts2远程命令执行漏洞 S2-045 源码分析
- Struts2曝高危远程执行漏洞:中国互联网又遭浩劫
- PKAV 发现 Struts2 最新远程命令执行漏洞(S2-037)
- struts2-045远程命令执行漏洞
- 【S2-053】Struts2远程命令执行漏洞(CVE-2017-12611)
- struts2远程命令执行漏洞
- struts2之高危远程代码执行漏洞,可造成服务器被入侵,下载最新版本进行修复