Apache Struts最新漏洞 遠程代碼執行漏洞預警 2018年11月08日
Apache Struts 漏洞描述
某知名的安全組織向Apache Struts官方反饋了該漏洞的詳細細節,其中就包括了之前版本出現的漏洞都是因為commons fileupload上傳庫而導致產生的口袋,目前的apache版本都在使用低版本的commons fileupload庫,大多數都默認使用,導致***者可以利用上傳漏洞,進行遠程代碼執行,提權,***服務器。Apache Struts 2.5.10以上的高版本,不受此次漏洞的影響。
Apache Struts漏洞級別 嚴重
Apache Struts 安全建議:
升級Apache Struts版本的到2.5.18以上的版本
升級Struts的上傳庫,commons fileupload的版本到最新版本1.3.3,Struts commons
fileupload
fileupload/download_fileupload.cgi
第三個安全建議:有些項目的開發與設計,可能牽扯到兼容性的問題,導致Apache Struts 不能直接升級到最新版本,這樣的情況需要客戶直接在Apache Struts 配置文件裏修改安全參數,
參數如下:
<dependency>
<groupId>commons-fileupload</groupId>
<artifactId>commons-fileupload</artifactId>
<version>1.3.3</version>
</dependency>
如果對Apache Struts不是太熟悉的話,也可以直接使用CDN的防護系統,在CDN端做安全過濾,檢測到Apache Struts***的時候,直接CDN前端攔截,前提是保障服務器的源IP不被暴露,防止***者利用host域名綁定來直接***服務器。
Apache Struts最新漏洞 遠程代碼執行漏洞預警 2018年11月08日