Struts2 S2-049 拒绝服务漏洞分析报告

安全通告

尊敬的客户:

2017年7月11日，Struts2官方公布最新的Struts2漏洞公告－编号S2-049。该漏洞公告中说明：在一定条件下该漏洞可造成拒绝服务。安恒信息应急响应中心已启动“黄色”预警预案。

安恒信息应急响应中心将对该漏洞进行持续关注，并第一时间为您更新相关漏洞信息。

安恒信息应急响应中心

2017年7月12日

漏洞信息

漏洞描述

Struts2是Apache软件基金会负责维护的一个基于MVC设计模式的Web应用框架开源项目。

当开发人员在Struts框架中使用Spring AOP例如Spring Security来做权限控制的时候，则可能存在拒绝服务。

漏洞危害

中

影响版本

Struts 2.5－Struts 2.5.10.1

漏洞利用前置条件

使用Spring Security，并且认证成功的情况下。

风险等级

安恒信息应急响应中心将此漏洞安全风险定级为：中危

漏洞分析

AOP概念:AOP（Aspect Oriented Programming），即面向切面编程，可以说是OOP（Object Oriented Programming，面向对象编程）的补充和完善。OOP引入封装、继承、多态等概念来建立一种对象层次结构，用于模拟公共行为的一个集合。不过OOP允许开发者定义纵向的关系，但并不适合定义横向的关系，例如日志功能。日志代码往往横向地散布在所有对象层次中，而与它对应的对象的核心功能毫无关系对于其他类型的代码，如安全性、异常处理和透明的持续性也都是如此，这种散布在各处的无关的代码被称为横切（cross cutting），在OOP设计中，它导致了大量代码的重复，而不利于各个模块的重用。AOP技术恰恰相反，它利用一种称为"横切"的技术，剖解开封装的对象内部，并将那些影响了多个类的公共行为封装到一个可重用模块，并将其命名为"Aspect"，即切面。所谓"切面"，简单说就是那些与业务无关，却为业务模块所共同调用的逻辑或责任封装起来，便于减少系统的重复代码，降低模块之间的耦合度，并有利于未来的可操作性和可维护性。

使用"横切"技术，AOP把软件系统分为两个部分：核心关注点和横切关注点。业务处理的主要流程是核心关注点，与之关系不大的部分是横切关注点。横切关注点的一个特点是，他们经常发生在核心关注点的多处，而各处基本相似，比如权限认证、日志、事物。AOP的作用在于分离系统中的各种关注点，将核心关注点和横切关注点分离开来。

Spring在使用AOP的时候存在两种代理方式：

如果被代理的类是接口的话则使用jdk自带的动态代理来实现。

当需要代理的类不是代理接口的时候，Spring会切换为使用CGLIB代理。

Spring Security在使用CGLIB在创建Proxy的时候会注册。

org.springframework.aop.framework.Advised接口实现以及属性到动态生成的代理类里面。如下图（Spring Security使用aop cglib动态增加生成的）：

但是Struts2调用Spring Security AOP代理生成的Action，经过ParametersInterceptor拦截器的时候可以设置被代理的Action的属性。从而导致被代理类里面某些动态设置的属性值被篡改，产生拒绝服务。可控属性如下图：

PS：如何导出被代理的类？通过设置jvm参数

-Dcglib.debugLocation="/Users/nike/Desktop/" =后面就是导出的class路径。

漏洞自查

判断是否在Struts2中使用Spring Security来控制访问权限。

修复建议

官方补丁

• 目前官方已发布补丁，用户可升级至Struts2 2.5.12版本。

其他解决方案

• 安恒玄武盾默认规则即可防范该漏洞，如有需要可以联系安恒信息客服人员，将您的网站快速接入到玄武盾。
• 安恒APT（网络战）通报预警平台支持对Struts2 S2-049远程拒绝服务漏洞的检测。 连接云端的APT设备会自动更新策略，未连接云端的APT设备可从百度云盘上下载最新更新包手工更新： 云盘链接 http://pan.baidu.com/s/1hsQQIuK 密码 qnu7
• 安恒WAF已支持对该漏洞的防护。部署WAF产品的用户请确保将规则库升级到最新版本即可防范该漏洞。

- END -