专栏首页安恒信息紧急 | Struts 2最新高危漏洞余波未平, S2-046攻击手段曝光

紧急 | Struts 2最新高危漏洞余波未平, S2-046攻击手段曝光

近日,Apache发布官方安全通告。由于没有正确的处理文件上传,导致Struts 2的Jakarta Multipart解析器中存在严重安全漏洞。攻击者可以通过构造HTTP请求头中的Content-Type值可能造成远程任意代码执行。

该漏洞与不久前安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng所发现的Struts 2高危漏洞(CNNVD编号CNNVD-201703-152,CVE编号CVE-2017-5638)属于同一漏洞,只是利用手法不同,厂商为这个漏洞发布了两篇安全公告(S2-045与S2-046)。如果已经按照之前S2-045漏洞的修复要求将Struts 2升级到了最新版本,就不会受本次安全公告中所述漏洞的影响。

安恒信息再次提示您,使用明鉴Web应用弱点扫描器和网站安全监测平台的用户升级到最新策略版本可以帮助您查找漏洞是否存在,另外以下措施可以有效防范Struts2 S2-045和S2-046漏洞:

  • 升级到Struts2.5.10.1 或者Struts 2.3.32 版本。官方升级地址:

https://dist.apache.org/repos/dist/release/struts/2.5.10.1/

https://dist.apache.org/repos/dist/release/struts/2.3.32/

  • 删除commons-fileupload-x.x.x.jar文件。请注意删除该文件可能导致网站的上传功能或其他应用无法正常使用。
  • 如果升级或删除文件的方式均不可行,建议部署安恒信息的WAF、玄武盾、APT等产品并确保规则库已经升级到最新版本。目前上述产品均已支持Struts2 S2-045和S2-046漏洞的策略更新,可以有效防范该漏洞。

本文分享自微信公众号 - 安恒信息(DBAPP2013)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-03-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 大量Windows 0-day漏洞泄漏,安恒信息提供免费在线检测

    北京时间 2017 年 4 月 14 日晚,黑客团体Shadow Brokers(影子经纪人)再次泄露了一份 117.9 MB 的 NSA 机密文档,内含 23...

    安恒信息
  • “圣诞怪杰”Grinch:比Bash破壳(shellshock)更严重的Linux漏洞

    安全研究人员在Linux操作系统中发现了一个名为圣诞怪杰(Grinch)的漏洞,该漏洞存在于linux系统中,和Bash破壳(shellshock)漏洞(CNN...

    安恒信息
  • 漏洞预警:Apache Struts2 漏洞凶猛来袭 安恒信息提醒用户及时关注并防护

    六月份Apache Struts2的远程代码执行漏洞风暴刚刚过去,今日,国外公共漏洞和暴露平台CVE再次公布了Apache Struts2两个严重漏洞(CVE-...

    安恒信息
  • 安卓被曝已遭利用的新0day,影响多数安卓设备

    谷歌发现一个未修复的安卓0day已遭利用。该0day存在于安卓操作系统的内核代码中,可被攻击者用于获取设备的根权限。颇具讽刺意味的是,这个0day曾在2017年...

    FB客服
  • 【答疑释惑】C语言里面栈和堆的区别

    很多初学者朋友对C语言里面的堆和栈理解的不是太清楚,模模糊糊。他们到底有哪些区别呢?我认为主要从以下几根方面来了解他们的不同之处: 1,变量位置:栈和堆都是程...

    程序员互动联盟
  • PE文件和COFF文件格式分析--概述

            刚工作的时候,我听说某某大牛在做病毒分析时,只是用notepad打开病毒文件,就能大致猜到病毒的工作原理。当时我是佩服的很啊,同时我也在心中埋下...

    方亮
  • 《python算法教程》Day8 - 构建二分搜索树二分搜索树介绍二分搜索树创建代码

    今天是《python算法教程》的第8篇读书笔记,笔记的主要内容是构建二分搜索树。 二分搜索树介绍 若要对一组有序值中执行操作(如查找),二分搜索法是一个优秀的选...

    billyang916
  • 【Golang语言社区】前端编程-javascript使用闭包模拟私有属性和方法

    最近因为做了一个项目,其中涉及到了js私有方法,这个概念在其语言里面是很常见的,很多语言都有private这个关键字,只要在一个类的前面加上private就表示...

    李海彬
  • python稍难一点的说明

    哒呵呵
  • 使用 IDA 破解某app的签名校验

    最近在分析某app的网络通信逻辑,其中的加密解密都在so中完成,且有签名校验,抠取so到写的demo中运行会crash。

    用户2930595

扫码关注云+社区

领取腾讯云代金券