J2EE是一套全然不同於傳統應用開發的技術架構,包含許多元件,主要可簡化且規範應用系統的開發與部署,進而提高可移植性、安全與再用價值。以下是小編整理的關於Struts2遠端程式碼執行高危漏洞響應,希望大家認真閱讀!
漏洞描述
該漏洞是Apache strut2 最新的一個漏洞,CVE編號CVE-2017-5638.(基於 Jakarta plugin外掛的Struts遠端程式碼執行漏洞),該漏洞會造成RCE遠端程式碼執行,惡意使用者可在上傳檔案時通過修改HTTP請求頭中的Content-Type值來觸發該漏洞,進而執行系統命令,可直接造成系統被控制。黑客通過Jakarta 檔案上傳外掛實現遠端利用該漏洞執行程式碼。
其風險等級為:高危
因為Apache Struts2是一種國內使用非常廣泛的Web應用開發框架,被大量的Web網站所使用。目前,對於此漏洞的利用程式碼已經擴散,對網站安全構成非常高的現實威脅。
影響系統及版本:Struts2.3.5 - Struts 2.3.31、Struts 2.5 - Struts 2.5.10
臨時處理方案
*修改啟動虛擬機器相關選項,修改Struts 2上傳檔案時的上傳解析器為非Jakarta
Struts 2預設用Jakarta的Common-FileUpload的檔案上傳解析器,這是存在漏洞的,預設為以下配置
er=jakarta
指定其他型別的解析器,以使系統避免漏洞的影響:
指定使用COS的檔案上傳解析器
er=cos
或
指定使用Pell的.檔案上傳解析器
er=pell
修復建議
1、如果使用者使用基於Jakarta的多分片檔案上傳解析器,強烈建議使用者立即升級到Apache Struts2.3.32 或 版本。
2、天眼(SkyEye)未知威脅感知系統的流量探針已加入對利用此漏洞的攻擊檢測規則,可以精準地發現相關的攻擊並判定是否攻擊成功,請升級天眼未知威脅感知系統到或以上版本並升級最新的檢測規則。
3、如客戶在無法確認是否使用該框架或相關版本,可通過360網站雲監測服務、或360網站智慧監控系統檢查確認是否爆出該漏洞,從而進行下一步的防禦措施。
4、在漏洞爆出的第一時間,360WAF及360安域產品均已更新產品識別規則庫,將針對該漏洞攻擊進行識別和防護。
5、客戶也可通過 “雲”+“端”的防護方案對該型別漏洞進行防護,從另一個維度解決問題。將方案通過在將安全保護程式碼嵌入到執行中的伺服器應用程式,通過實時攔截所有的系統呼叫並確保呼叫安全,通過與雲端防護系統的聯動,最終實現應用程式自我保護,同時可為客戶提供針對Web系統web攻擊防護、網頁防篡改等安全防護能力。通過該方案的實施部署,針對該型別的漏洞可做到無需升級、智慧防護,從另一個維度根本解決這類漏洞問題。