安全動態(tài)

關(guān)于Apache Struts2披露存在遠(yuǎn)程代碼執(zhí)行漏洞(S2-033)的安全公告

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2016-06-05    瀏覽次數(shù):
 
 信息來源:國家互聯(lián)網(wǎng)應(yīng)急中心

            近日,國家信息安全漏洞共享平臺(CNVD)收錄了Apache Struts2 S2-033遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2016-03754,對應(yīng)CVE-2016-3087 )。遠(yuǎn)程攻擊者利用漏洞在啟動動態(tài)方法且安裝部署了REST插件的Struts 2服務(wù)器上遠(yuǎn)程執(zhí)行指令。根據(jù)評估,該漏洞影響要小于或等同于S2-032漏洞的影響范圍。

            一、漏洞情況分析

            Struts2是第二代基于Model-View-Controller (MVC)模型的java企業(yè)級web應(yīng)用框架,并成為當(dāng)時國內(nèi)外較為流行的容器軟件中間件。此前在4月底,官方廠商發(fā)布了修復(fù)S2-032遠(yuǎn)程代碼執(zhí)行漏洞的Struts 2.3.20.3,2.3.24.3,2.3.28.1相關(guān)版本,近日又發(fā)布了S2-033的安全升級公告,但提示的對應(yīng)升級版本號與此前S2-032相同。

            根據(jù)CNVD技術(shù)組成員單位——綠盟科技公司提供的分析情況,在官方提供的版本庫中,刪除了Struts 2.3.20.2和2.3.24.2版本。這兩個版本是通過在DefaultActionMapper.java文件中加入了對method成員變量值的過濾,并針對“action:”濫用的問題禁止了絕大多數(shù)的特殊字符,這兩個版本也可以防范針對S2-032漏洞的攻擊。而最終修復(fù)S2-032S2-033的版本則是直接將method方法引入了OGNL表達(dá)式(Object Graph Navigation Library),通過對OGNL表達(dá)式的過濾來修復(fù)漏洞。綜合上述情況,CNVD認(rèn)為官方發(fā)布S2-033的安全公告只是有針對性地對部署REST插件功能的情形進(jìn)行補(bǔ)充,漏洞技術(shù)成因仍與S2-032相同。

            CNVD對該漏洞的綜合評級與S2-032相同,為“高?!?。

            二、漏洞影響范圍

            漏洞影響使用REST插件的Struts 2.3.20 - 2.3.28 (除2.3.20.3和2.3.24.3以外)版本。

            三、漏洞修復(fù)建議

            用戶可禁用動態(tài)方法調(diào)用(Dynamic Method Invocation),修改Struts2的配置文件struts.xml,將struts.enable.DynamicMethodInvocation設(shè)置為“false”,關(guān)閉動態(tài)方法調(diào)用功能,來規(guī)避該漏洞的攻擊威脅。

            Apache Struts官方已發(fā)布了升級程序修復(fù)該漏洞,CNVD建議用戶升級至struts 2.3.20.3,2.3.24.3,2.3.28.1版本。更新地址:https://cwiki.apache.org/confluence/display/WW/Migration+Guide。

            附:參考鏈接:

            http://struts.apache.org/docs/s2-033.html

            http://www.cnvd.org.cn/flaw/show/CNVD-2016-03754

            http://blog.nsfocus.net/apache-struts2-vulnerability-technical-analysis-protection-scheme-s2-033/ (綠盟科技公司分析結(jié)果)


 
 

上一篇:2016年第九屆CCS企業(yè)云計算高峰論壇廠商預(yù)告

下一篇:2016年06月05日 聚銘安全速遞